输出!输出!输出!
日志!日志!日志!
当linux发生故障时,首先关注点就要集中在对外的输出信息,比如当磁盘满了之后,启动时就会在启动界面有输出,对于这点,没什么好说的,遇到问题,稳住,莫要慌,认真仔细的观察,总能找出蛛丝马迹。
然后呢?如果对外的输出找不出问题,或是没有输出的话,那就去看日志,看日志也有顺序的,什么顺序呢?假如说是nginx出错了,你要怎么办呢?
1. 看nginx是否对外有信息输出
2.看nginx程序自己的日志,access.log,error.log
3.看/var/log/messages 应用日志
4.运行dmesg命令查看系统日志
值得一提的是dmesg命令,这个命令记录的是当前内存中的系统日志,如果系统重启的话就会针当前的系统保存到/var/log/dmesg目录里面,也就是dmesg所显示的内容与/var/log/dmesg不一样!注意!!
那我们怎样发现系统是否已经被黑客入侵了呢?
1. 查/var/log/secure日志文件,比如把最后2000条登录信息里面过滤出登录成功的过滤出来,看是否有可疑的,可做成定时任务,定时检查,如果有可疑的IP,或是出现暴力破解的IP,就将IP出来,放到/etc/hosts.deny文件里面去。
2. 查/tmp目录和/var/tmp目录,这两个目录的权限都是777,黑客如果入侵成功了,第一步就会在这两个目录里面创建一些攻击文件,然后慢慢提权,所以这两个目录也要重点关注。
3.定时任务所涉及到的所有目录都要重点关注,比如/var/spool/cron/USER文件、/etc/crontab 文件,还有下列与定义任务相关的目录都要关注,由其是cron.d这个目录,黑客经常在这些目录或文件下添加一些破坏性质的内容。
[user1@kk ~]$ cd /etc/cron 这些目录都要注意。
cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ crontab cron.weekly/