排障思路--------殺毒

1、儘量搞清楚問題的來龍去脈

不要一會兒就扎到服務器前面，你須要先搞明白對這臺服務器有多少已知的狀況，還有故障的具體狀況。否則你極可能就是在無的放矢。

必須搞清楚的問題有：

• 故障的表現是什麼？無響應？報錯？

• 故障是何時發現的？

• 故障是否可重現？

• 有沒有出現的規律（好比每小時出現一次）

• 最後一次對整個平臺進行更新的內容是什麼（代碼、服務器等）？

• 故障影響的特定用戶羣是什麼樣的(已登陸的, 退出的, 某個地域的…)?

• 基礎架構（物理的、邏輯的）的文檔是否能找到?

• 是否有監控平臺可用? 

  （好比Munin、Zabbix、 Nagios、 

  New Relic… 什麼均可以）

• 是否有日誌能夠查看?. （好比Loggly、Airbrake、 Graylog…）

最後兩個是最方便的信息來源，不過別抱太大但願，基本上它們都不會有。只能再繼續摸索了。

 

 

2、有誰在?

[plain] view plaincopyprint?

1. $ w  

2. $ last  

用這兩個命令看看都有誰在線，有哪些用戶訪問過。這不是什麼關鍵步驟，不過最好別在其餘用戶正幹活的時候來調試系統。有道是一山不容二虎嘛。（ne cook in the kitchen is enough.）

 

3、以前發生了什麼?

[plain] view plaincopyprint?

1. $ history  

查看一下以前服務器上執行過的命令。看一下老是沒錯的，加上前面看的誰登陸過的信息，應該有點用。另外做爲admin要注意，不要利用本身的權限去侵犯別人的隱私哦。

到這裏先提醒一下，等會你可能會須要更新 HISTTIMEFORMAT 環境變量來顯示這些命令被執行的時間。對要否則光看到一堆不知道啥時候執行的命令，一樣會使人抓狂的。

 

4、如今在運行的進程是啥?

[plain] view plaincopyprint?

1. $ pstree -a  

2. $ ps aux  

這都是查看現有進程的。 ps aux 的結果比較雜亂， pstree -a 的結果比較簡單明瞭，能夠看到正在運行的進程及相關用戶。

 

5、監聽的網絡服務

[plain] view plaincopyprint?

1. $ netstat -ntlp  

2. $ netstat -nulp  

3. $ netstat -nxlp  

我通常都分開運行這三個命令，不想一會兒看到列出一大堆全部的服務。netstat -nalp倒也能夠。不過我毫不會用 numeric 選項 （鄙人一點淺薄的見解：IP 地址看起來更方便）。

找到全部正在運行的服務，檢查它們是否應該運行。查看各個監聽端口。在netstat顯示的服務列表中的PID 和 ps aux 進程列表中的是同樣的。

若是服務器上有好幾個Java或者Erlang什麼的進程在同時運行，可以按PID分別找到每一個進程就很重要了。

一般咱們建議每臺服務器上運行的服務少一點，必要時能夠增長服務器。若是你看到一臺服務器上有三四十個監聽端口開着，那仍是作個記錄，回頭有空的時候清理一下，從新組織一下服務器。

 

6、CPU 和內存

[plain] view plaincopyprint?

1. $ free -m  

2. $ uptime  

3. $ top  

4. $ htop  

注意如下問題:

• 還有空餘的內存嗎? 服務器是否正在內存和硬盤之間進行swap?

• 還有剩餘的CPU嗎? 服務器是幾核的? 是否有某些CPU核負載過多了?

• 服務器最大的負載來自什麼地方? 平均負載是多少?

 

7、硬件

[plain] view plaincopyprint?

1. $ lspci  

2. $ dmidecode  

3. $ ethtool  

有不少服務器仍是裸機狀態，能夠看一下：

• 找到RAID 卡 (是否帶BBU備用電池?)、 CPU、空餘的內存插槽。根據這些狀況能夠大體瞭解硬件問題的來源和性能改進的辦法。

• 網卡是否設置好? 是否正運行在半雙工狀態? 速度是10MBps? 有沒有 TX/RX 報錯?

 

8、IO 性能

[plain] view plaincopyprint?

1. $ iostat -kx 2  

2. $ vmstat 2 10  

3. $ mpstat 2 10  

4. $ dstat --top-io --top-bio  

這些命令對於調試後端性能很是有用。

• 檢查磁盤使用量：服務器硬盤是否已滿?

• 是否開啓了swap交換模式 (si/so)?

• CPU被誰佔用：系統進程? 用戶進程? 虛擬機?

• dstat 

  是個人最愛。用它能夠看到誰在進行 IO： 是否是MySQL吃掉了全部的系統資源? 仍是你的PHP進程?

 

9、掛載點 和 文件系統

[plain] view plaincopyprint?

1. $ mount  

2. $ cat /etc/fstab  

3. $ vgs  

4. $ pvs  

5. $ lvs  

6. $ df -h  

7. $ lsof +D /   

• 一共掛載了多少文件系統?

• 有沒有某個服務專用的文件系統? (好比MySQL?)

• 文件系統的掛載選項是什麼： noatime? default? 有沒有文件系統被從新掛載爲只讀模式了？

• 磁盤空間是否還有剩餘?

• 是否有大文件被刪除但沒有清空?

• 若是磁盤空間有問題，你是否還有空間來擴展一個分區？

 

10、內核、中斷和網絡

[plain] view plaincopyprint?

1. $ sysctl -a | grep ...  

2. $ cat /proc/interrupts  

3. $ cat /proc/net/ip_conntrack   

4. $ netstat  

5. $ ss -s  

• 你的中斷請求是不是均衡地分配給CPU處理，仍是會有某個CPU的核由於大量的網絡中斷請求或者RAID請求而過載了？

• SWAP交換的設置是什麼？對於工做站來講swappinness 設爲 60 就很好, 不過對於服務器就太糟了：你最好永遠不要讓服務器作SWAP交換，否則對磁盤的讀寫會鎖死SWAP進程。

• conntrack_max 

  是否設的足夠大，能應付你服務器的流量?

• 在不一樣狀態下(TIME_WAIT, …)TCP鏈接時間的設置是怎樣的？

• 若是要顯示全部存在的鏈接，netstat 

  會比較慢， 你能夠先用 

  ss 

  看一下整體狀況。

你還能夠看一下 Linux TCP tuning 瞭解網絡性能調優的一些要點。

 

11、系統日誌和內核消息

• 查看錯誤和警告消息，好比看看是否是不少關於鏈接數過多致使？

• 看看是否有硬件錯誤或文件系統錯誤?

• 分析是否能將這些錯誤事件和前面發現的疑點進行時間上的比對。

[plain] view plaincopyprint?

1. $ dmesg  

2. $ less /var/log/messages  

3. $ less /var/log/secure  

4. $ less /var/log/auth  

12、定時任務

[plain] view plaincopyprint?

1. $ dmesg  

2. $ less /var/log/messages  

3. $ less /var/log/secure  

4. $ less /var/log/auth  

$ dmesg $ less /var/log/messages $ less /var/log/secure $ less /var/log/auth

• 是否有某個定時任務運行過於頻繁?

• 是否有些用戶提交了隱藏的定時任務?

• 在出現故障的時候，是否正好有某個備份任務在執行？

 

十3、應用系統日誌

這裏邊可分析的東西就多了, 不過恐怕你做爲運維人員是沒功夫去仔細研究它的。關注那些明顯的問題，好比在一個典型的LAMP（Linux+Apache+Mysql+Perl）應用環境裏:

• Apache & Nginx; 查找訪問和錯誤日誌, 直接找 

  5xx 

  錯誤, 再看看是否有 

  limit_zone 

  錯誤。

• MySQL; 在mysql.log找錯誤消息，看看有沒有結構損壞的表， 

  是否有innodb修復進程在運行，是否有disk/index/query 問題.

• PHP-FPM; 若是設定了 php-slow 日誌, 直接找錯誤信息 (php, mysql, memcache, …)，若是沒設定，趕忙設定。

• Varnish; 

  在varnishlog 

  和 

  varnishstat 裏, 檢查 hit/miss比. 看看配置信息裏是否遺漏了什麼規則，使最終用戶能夠直接***你的後端？

• HA-Proxy; 後端的情況如何？健康情況檢查是否成功？是前端仍是後端的隊列大小達到最大值了？

 

結論

通過這5分鐘以後，你應該對以下狀況比較清楚了：

• 在服務器上運行的都是些啥？

• 這個故障看起來是和 IO/硬件/網絡 或者 系統配置 (有問題的代碼、系統內核調優, …)相關。

• 這個故障是否有你熟悉的一些特徵？好比對數據庫索引使用不當，或者太多的apache後臺進程。

 

你甚至有可能找到真正的故障源頭。就算尚未找到，搞清楚了上面這些狀況以後，你如今也具有了深挖下去的條件。繼續努力吧！

本身總結：

一、最重要的看 /etc/passwd 有可能異經常使用戶成了root權限。caoyi：0:0 本身成了root，很危險，刪掉！！！

二、首先先top d1 看下有沒有異常進程有就先 kill -STOP pid 先暫停該進程，千萬不要盲目殺死。防止是***，會自動啓動進程。。

三、而後  ll -arth  /etc/   /etc/init.d   /usr/sbin   /usr/bin   /bin    /sbin   /tmp    這幾個關鍵目錄是否新添了文件尤爲是可執行的文件

有可能就是那個異常進程的腳本。。刪掉 而後將該目錄鎖定，，chattr +i 、path。

四、接下來能夠 pidof  name（異常進程） kill -9  pid 幹掉他

五、若是在pidof沒有盡興，你能夠 for i in  /proc/[0-9]* ;do grep  "getty" $i/cmdline;done 找下他的進程號！幹掉！

以上都是經過如下殺的幾個毒的總結：

1， 十字節***：

    a,   ll -rt /usr/bin        #看最後幾個輸出有沒有十字節病毒程序，好比爲： lksnlfjdfdf

    b,  top  觀察lksnlfjdfdf 進程的pid

    c， kill -STOP lksnlfjdfdf 進程的pid

    d,   vim /etc/crontab     刪除 gcc4.sh 這一行

    e， chattr +i /etc/crontab

    c， rm -f /etc/cron.hourly/gcc4.sh;   rm -f /lib/libudev4.so*;  rm -f /etc/init.d/lksnlfjdfdf; rm -f /usr/bin/lksnlfjdfdf; pkill lksnlfjdfdf

2, m62, ets 一類***：

    a, 查 m62 的pid爲pid1，  找到 .sshd 這個進程的pid 爲pid2

    b, kill -9 pid1 pid2

    c, 刪除系統程序 ps, ss, netstat, lsof 同時刪除 /etc/init.d/Dbsecurity*, /usr/bin/.sshd, /usr/bin/bsd-port/*

3, s1 

     a, 查 s1 的pid爲pid1，  找到 .sshd 這個進程的pid 爲pid2

     b, kill -9 pid1 pid2

    c, 刪除 /etc/init.d/Dbsecurity*, /usr/bin/.sshd, /usr/bin/bsd-port/*

4, sshd 被感染

    判斷：是否有密碼文件 /usr/bin/tk， 有爲openssh 被感染，

    暫時修復： 用正常的sshd 替換 感染機器上的 sshd， chmod +x sshd,  service sshd restart

文章出自：http://blog.jobbole.com/36375/