linux有许多的版本,主要关注redhat(centos)和ubuntu这两个主流版本
以下命令基本都需要root权限,执行命令前记得加sudo
第一步
top,ps命令查看系统资源和负载情况,查看是否有异常的程序,kill命令杀掉异常程序或高负载程序
第二步
查看/etc/passwd是否有异常或隐藏用户,usermod -L xxx禁用该用户
第三步
查看开机启动日志
一般在此目录下/etc/rsyslog.conf,里面包含了其他各种配置文件的位置,只要找到该文件的位置,其他文件的位置就基本知道了一般都在/var/log
如果没有/etc/rsyslog.conf,可以到/etc/rsyslog.d文件下找找,把异常程序都给注释掉或者删除掉
- >/var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该文件获得相关的事件记录信息。
- >/var/log/cron:记录crond计划任务产生的事件消息。
- >/varlog/dmesg:记录Linux系统在引导过程中的各种事件信息。
- >/var/log/maillog:记录进入或发出系统的电子邮件活动。
- >/var/log/lastlog:最近几次成功登录事件和最后一次不成功登录事件。
- >/var/log/rpmpkgs:记录系统中安装各rpm包列表信息。
- >/var/log/secure:记录用户登录认证过程中的事件信息。有可能是 /var/log/auth.log
- >/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。
- >/var/log/utmp:记录当前登录的每个用户的详细信息
以上文件的位置不一定准确,要根据找到的rsyslog文件指定的位置去找
lastlog,wtmp,utmp,是二进制文件不可以直接查看,使用命令last或lastlog,w,users,who等命令查看
第四步
查看cron定时任务
cat /etc/crontab或者查看其他的/etc/cron.daily,/etc/cron.weekly,/etc/cron.monthly
查看是否有异常的程序,注释掉或者删除掉