服务器异常问题-记录

最新推荐文章于 2022-04-18 20:36:22 发布
最新推荐文章于 2022-04-18 20:36:22 发布
阅读量592 收藏
点赞数
文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012830826/article/details/89180252
版权

问题描述:登录腾讯云HDG时系统反应较慢,经常崩溃卡死.

  1. 问题分析

    一直发现站内的流量和IP不太正常,读取读取/var/log/secure 很多失败的登录信息

2.1:查看ssh登录记录

云服务器 ECS Linux CentOS 7 下重启服务不再通过 service 操作,而是通过 systemctl 操作。

查看SSH登录记录:systemctl status sshd.service

启动SSH登录:systemctl start sshd.service

重启SSH登录:systemctl restart sshd.service

自启SSH登录:systemctl enable sshd.service

发现外网地址恶意登录。

2.2:/var/log/secure

一直发现站内的流量和IP不太正常,读取/var/log/secure 很多失败的登录信息!

解决方案

  1. 对登陆失败次数过多的ip进行禁止登录

1.1、方法:读取/var/log/secure,查找关键字 Failed,(#cat /var/log/secure | grep Failed)例如(文中的IP地址特意做了删减):

Sep 17 09:08:09 localhost sshd[29087]: Failed password for root from 13.7.3.6 port 44367 ssh2

Sep 17 09:08:20 localhost sshd[29087]: Failed password for root from 13.7.3.6 port 44367 ssh2

Sep 17 09:10:02 localhost sshd[29223]: Failed password for root from 13.7.3.6 port 56482 ssh2

Sep 17 09:10:14 localhost sshd[29223]: Failed password for root from 13.7.3.6 port 56482 ssh2

 

从这些行中提取IP地址,如果次数达到10次(脚本中判断次数字符长度是否大于1)则将该IP写到 /etc/hosts.deny中。

 

  1. 通过脚本讲禁止及允许登录ip

2.1.1、先把始终允许的IP填入 /etc/hosts.allow ,这很重要!比如:

sshd:118.122.120.66:allow (本机地址)

2.1.2、脚本 /usr/local/bin/secure_ssh.sh

 

#! /bin/bash

cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.list

for i in `cat  /usr/local/bin/black.list`

do

  IP=`echo $i |awk -F= '{print $1}'`

  NUM=`echo $i|awk -F= '{print $2}'`

  if [ ${#NUM} -gt 1 ]; then

    grep $IP /etc/hosts.deny > /dev/null

    if [ $? -gt 0 ];then

      echo "sshd:$IP:deny" >> /etc/hosts.deny

    fi

  fi

done

2.1.3、将secure_ssh.sh脚本放入cron计划任务,每1分钟执行一次。

# crontab -e

*/1 * * * *  sh /usr/local/bin/secure_ssh.sh

 

  1. 测试

(先建立black.txt文件)

3.1、原本还想着是不是找个另外的方法测下呢。就在疑问还没有结束的时候,想要不先看看

 

[root@ ~]#  cat /usr/local/bin/black.txt

 

再看看服务器上的hosts.deny

 

[root@ ~]# cat /etc/hosts.deny

 

3.2、从另一个终端窗口继续“暴力”连接服务器。

 

看看服务器上的黑名单文件:

[root@ ~]# cat /usr/local/bin/black.txt

13.26.21.27=6

再看看服务器上的hosts.deny

[root@ ~]# cat /etc/hosts.deny

sshd:13.7.3.6:deny

sshd:92.4.0.4:deny

sshd:94.10.4.2:deny

sshd:94.4.1.6:deny

sshd:11.64.11.5:deny

sshd:13.26.21.27:deny

 

于是加入脚本信息:限制登录过多的失败用户ip访问。

3.3:查看当前登录信息:

w

  1. 启用防火墙

4.1、查看firewall服务状态

 

systemctl status firewalld

4.2、查看firewall的状态

 

firewall-cmd --state

4.3、开启、重启、关闭、firewalld.service服务

 

# 开启

service firewalld start

# 重启

service firewalld restart

# 关闭

service firewalld stop

4.4、查看防火墙规则

 

firewall-cmd --list-all

4.5、查询、开放、关闭端口

 

# 查询端口是否开放

firewall-cmd --query-port=8080/tcp

# 开放80端口

firewall-cmd --permanent --add-port=80/tcp

# 移除端口

firewall-cmd --permanent --remove-port=8080/tcp

#重启防火墙(修改配置后要重启防火墙)

firewall-cmd --reload

 

# 参数解释

1、firwall-cmd:是Linux提供的操作firewall的一个工具;

2、--permanent:表示设置为持久;

3、--add-port:标识添加

  1. 提示

在登陆时密码错误不能超过10次;否则将会禁止当前IP登录。

 

别忘了带红领巾
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
shell脚本练习
passion_for_life的博客
01-11 335
练习1:在/var/log/secure查找连接失败的主机,并统计次数,累计连接失败超过3次,将此主机加入系统黑名单(/etc/hosts.deny) #!/bin/bash cat /var/log/secure | grep "Failed " | awk '{print $11}' | uniq -c | awk '{print $2"="$1}' > /tmp/blacklist...
python TCP服务器v1.4 - 客户端连接服务器异常(异常情况分类)处理
m0_60394896的博客
04-08 2万+
套接字socket.connect(...)返回的异常处理.
web服务访问异常问题记录
qq_33043025的博客
02-16 917
由于.8服务器磁盘爆满,导致磁盘没有空间支持web服务 @查看大于100MB的文件find / -size +100M |xargs ls -lh @mysql的ibd(/var/lib/mysql/system/xxx.idb文件)100GB 表数据太多,状态数据定期清理 @日志服务(/var/log/message文件)20GB https://www.cnblogs.com/zhangdajin/p/13431423.html 只记录错误日志,不记录应用系统日志。 需...
项目上线部署上线服务器上出现的一些问题记录
ss_dsd的博客
01-07 833
首先我是一个开发,对服务器有很多还是不太懂,但是公司人手不够,于是在开发的同时也管理服务器。 最近公司项目要上线,新到了20多台服务器做上线部署用。其中有10台是华为云的;10台中,5台Windows(windows server 2012)、5台linux(centos7.5),这10台服务器出现了一些问题。 我们把项目部署在上面以后运行的时候发现了一些问题记录如下: ①Windows服务器连接数据库慢,打印日志慢 解决方案:给我们的 5台Windows服务器 全部没有挂载(只有C盘),需要进行挂
Linux应急响应入侵排查思路
bylfsj的博客
10-18 638
0x00 前言 ​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结...
查询ssh方式登录记录之/var/log/secure
weixin_43010385的博客
01-21 2316
查询ssh方式登录记录之/var/log/secure 对应目录: >/var/log/secure #ssh方式登录记录储存于此 日志说明: 查询ssh登录失败的主机信息: 【log信息】: Jan 19 00:37:05 kVM20209908-0 sshd[12952]: Failed password for user from 11.167.21.63 port 41412 ssh2 Jan 19 00:37:10 kVM20209908-0 su: pam_unix(su:ses
服务器巡检报告-改.docx
最新发布
06-29
- 对于双电源供电的HP服务器,若出现非绿色指示灯,需确定是哪个电源模块出现问题,并记录。 #### 5. **HP服务器UID灯** - 蓝色:激活状态。 - 闪烁:表示服务器正在被远程访问。 - 在被远程访问时,避免对该服务器...
服务器巡检记录.doc
06-08
巡检过程中,任何异常情况都应详细记录,便于后期分析问题原因和采取纠正措施。同时,定期的服务器巡检有利于预防性维护,降低突发故障的风险,保持IT系统的高效稳定运行。在实际操作中,还应结合监控工具和自动化...
linux服务器异常掉电记录,记录一次断电导致centos7.4系统不能正常进入的解决方案...
weixin_27038245的博客
05-03 3036
情况描述:园区意外断电,导致服务器centos7.4系统不能正常进入,一直卡在进度条界面,按esc或者f5能够看到详细的错误,主要有三个服务报错,如下图:chronyd、Postfix、polkit服务启动失败分析情况:这几个服务都是centos下常见的服务,chronyd是时间同步服务,Postfix是邮件服务,polkit是linux服务器上面的一种服务器方法进程,是不是最后一个服务失败导致系...
服务器维护记录.doc
06-25
4. **设备运行情况**:记录服务器的运行状态,如“正常”、“异常”或“紧急”。这有助于快速识别可能的问题,及时采取措施。 5. **故障排除情况**:详细描述遇到的故障和解决过程,这对于未来的故障诊断和预防具有...
Linux下日志分析--Linux日志
weixin_45300266的博客
03-11 3464
简介 我们在企业里面,当我们把服务器放到了互联网当中去了以后,我们的服务器就可能被入侵。这就需要服务器的运维人员定期的对企业的服务器做定期的入侵检测,排查服务器是否被入侵。 下面将介绍入侵检测所用到的方法有:查看系统日志、查看异常流量、检查可疑进程、文件完整性检测等。 查看系统日志 查看安全相关日志 ssh 远程登陆失败的日志 ...
Linux 入侵排查
m0_63853512的博客
04-18 418
linux应急响应
安全运维 - Linux系统攻击回溯
weixin_30855099的博客
08-21 156
入侵排查思路 (1)- 日志分析 日志分析 默认日志路径: /var/log 查看日志配置情况: more /etc/rsyslog.conf 重要日志: 登录失败记录: /var/log/btmp 最后一次登录: /var/log/lastlog 登录成功记录: /var/log/wtmp 登录日志记录: /var/log/secure 日志分析常用命令: g...
分析安全日志
luminous_you的博客
11-29 1643
定位有多少IP在爆破主机的root帐号: grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more 定位有哪些IP在爆破: grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][09]|[01]?[0-9.
kali linux wps 2019 删除_Linux日志分析
weixin_39728320的博客
10-24 371
0x00 前言Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 本文简介一下Linux系统日志及日志分析技巧。0x01 日志简介日志默认存放位置:/var/log/查看日志配置情况:more /etc/rsyslog.conf比较重要的几个日志: 登录失败记录:/var/log/btmp //lastb 最后一次登录:/var/log...
找不到系统安全日志/var/log/secure文件的问题
热门推荐
haojianxiang的专栏
10-16 2万+
今天打算配置一个服务器防止暴力破解的脚本,原理不复杂,搜索登录错误超过一定次数的ip地址,加入防火墙,但是在找登录日志的时候出现了问题。 一般服务器的ssh登录等操作日志都是/var/log/secure,但我使用是比较新版本的Ubuntu(Ubuntu 16.04.2),找不到这个日志,syslog.conf配置也没找到。最后查到很多linux的新发行版已经不再使用,改为使用rsyslog,找
Linux登录失败自动加入黑名单脚本
m493096871的博客
01-01 1306
测试 #!/bin/bash >/etc/fileno cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '$1>=3 {print $2}'>/etc/fileno for i in `cat /etc/fileno` do  echo "sshd:$i" >> /etc/host...
linux系统错误号,Linux查找系统异常登录的点滴
weixin_28769407的博客
05-12 227
当我们感觉系统异常或者被入侵之后,会需要查看系统异常登陆记录,以下是一些方法小结,也算是备忘。1、查 message[php]cat /var/log/messagecat /var/log/message.1cat /var/log/message.2cat /var/log/message.3cat /var/log/message.4[/php]2、查 secure[php]cat /var...
服务器上几种常见异常的解决方案.
weixin_30491641的博客
11-10 110
由于以前就业时算是公司里对服务器上各种硬件和配置原理较为了解. 一直负责公司服务器日常管理.也算是半路出家. 当然日常工作中前前后后也遇到不少大大小小的问题(硬件/服务器日常配置 数据中心合并方案等等). 有1些常见的异常. 总结一些基本快速的处理方法.如下 (1)配置Asp.net站点ISS报出:服务器应用程序不可用.具体异常信息如下: 服务器应用程序不可用 您试图在此 Web 服务器上访...
2014卫生资格考试:人机对话异常处理-答题包上传失败
- 大面积断网、启用备用服务器、试卷光盘导入失败等其他异常问题,也需要相应的应急计划和解决方案,如备用网络线路、备份服务器和备用试卷导入机制。 人机对话考试模式虽然提高了效率,但也增加了对技术支持的需求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

别忘了带红领巾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值