- 博客(117)
- 资源 (3)
- 收藏
- 关注
RSS订阅
原创 JAVACORE与HEAPDUMP生成方法
目录前言JAVACORE篇:Windows平台:ORACLE JDK:HOTSPOTIBM JDK:V9LINUX平台: HEAPDUMP篇:Windows平台:ORACLE JDK:HOTSPOTIBM JDK:V9LINUX平台:前言在项目上我们经常要生成javacore和heapdump来进行分析。这里总...
2016-11-01 10:52:41
25593
6
原创 【案例72】Apache检测到目标 URL 存在 http host 头攻击漏洞的解决方案
HTTP Host 头是 HTTP 请求中的一个重要部分,它用于指定请求的目标主机和端口。攻击者可以通过操纵 Host 头的值,将请求发送到恶意或未经授权的服务器,从而导致多种安全问题,如跨站脚本攻击(XSS)、缓存中毒、服务器端请求伪造(SSRF)等。在网络安全中,我们经常会遇到各种漏洞和攻击,其中 http host 头攻击漏洞是一种比较常见的安全问题。最近,我在处理一个项目时,检测到目标 URL 存在 http host 头攻击漏洞,下面我将分享两种Apache解决这个问题的方法。
2024-09-14 17:16:37
590
原创 【案例71】配置https之后 IE打不开登陆页面 Uclient没有问题
IE访问的是login.jsp Uclient不是。通过 F12 查看源文件发现网页中就是调用的https://127.0.0.1:80/Client/java.exe也就是生成html就错了login.jsp ,主要就是调用的 a.jsp。但是通过IE访问却走了https://127.0.0.1:80 ,删除httpd中所有关于80端口的配置,问题依旧。为了保障之前功能逻辑OK,改为当https的时候走443,非https的时候走80。配置https之后 IE打不开登陆页面 Uclient没有问题。
2024-09-14 16:38:27
712
原创 【案例69】IHS过载导致系统异常
但是IHS依旧轮询的把请求分发到02、03上,等待相关服务反馈结果。但由于服务异常,导致无结果返回,因此就处于等待挂载。此报错很清晰,网关多次访问ERP程序,系统超时,所以怀疑是服务宕机或者夯住了导致的。分别访问01、02、03这几个节点,发现只有01能直接登录访问。查看NMC线程信息,发现01上也挂了大量的线程卡主。发现卡主的信息和文件服务器相关,排查文件服务器配置发现。查看负载端口连接数,发现相关的有大量的连接处于被占用未释放或者等待状态。停止IHS释放链接,拉起02、03服务后系统恢复正常。
2024-09-13 11:35:13
309
原创 【案例67】Npart批量启动服务卡顿严重分析过程
去掉相关参数,部署参数到sysconfig中,再次通过Npart批量重启发现。再次观察启动日志发现,启动卡在连接数据库层面。通过Npart启动NC服务,发现只启动一个,大概3min左右即可启动成功。但是批量启动服务需要几十分钟才可以把服务启动成功,启动卡在获取“wenjian”图标处。查看nc-log.log发现有大量报错:获取参数FIP020失败,根据CPU个数获取最大线程数,请检查参数配置。通过checkDB脚本测试,正常应该5s钟有返回值,但是通过测试发现大概1min才会有结果返回。
2024-09-04 16:57:36
258
原创 【案例66】支付指令客户端崩溃分析全过程
月底,需要给人员开工资,但是财务人员在点击【支付状态指令】节点,点击状态确认后,系统直接崩溃,页面都卡掉。人员已经2天未发工资,情况比较紧急。更改Uclient模式从分离模式改为嵌入模式,发现只要输入密码点击确定,系统就会退出转圈。更换Uclient的系统工作目录,问题稳定复现。
2024-09-04 16:48:51
951
原创 【案例65】WebSphere启动比tomcat启动慢的测试
1.在原先慢的WAS环境下,添加-Dsun.reflect.inflationThreshold=15,可以有效提升was下的响应速度,和Tomcat下速度相当,但该参数=15的情况我们Tomcat以前还没有使用过。b.设置nodeagent的initialHeapSize="1024" maximumHeapSize="2048"(安装NC全模块的时候建议这个)-Xshareclasses:none和-Dsun.reflect.inflationThreshold=0这两个参数,响应速度都较快。
2024-08-29 18:47:26
325
原创 【案例64】无法从套接字读取更多的数据
系统突然间登录报如下错误:SELECT * FROM sm_user WHERE user_code_q=?无法从套接字读取更多的数据。
2024-08-29 18:28:43
630
原创 【案例63】SSL RC4 加密套件支持检测 (Bar Mitzvah)修复方案
找到SSL 密码组配置,Apache 中为:SSLCipherSuite、Nginx 中为:ssl_ciphers。找到ssl 配置文件 > 禁用RC4 密码组 > 重启服务 > 检查是否禁用成功 > 完成。如果可能,请重新配置受影响的应用程序以避免使用 RC4 密码。RC4 密码在伪随机字节流的生成中存在缺陷,导致引入了各种各样的小偏差,降低了其随机。攻击者可利用大量的密文推测明文,导致远程主机信息泄露。RC4,如果不存在,新增即可。如果配置中存在:RC4 密码组,如图。该攻击者可能会推测出明文。
2024-08-28 11:10:59
813
原创 【案例61】update driver error
顾问在保存数据源时报“update driver error”错误,重启服务器,重启sysConfig.bat后问题依旧。之前碰到这类问题发现是权限的问题。所以先去检查了相关文件夹的权限。查看控制台发现客户用的是非Administrator用户登录,是用TEST用户登录的。所以检查了相关的用户对此文件夹的权限。查看权限如下调整完发现问题依旧,查看sysconfig控制台日志发现,找不到sqlserver的相关驱动造成的。
2024-08-27 11:10:44
358
原创 【案例59】WebSphere类加载跟踪开启方法
WAS加载代码时,模块开发怀疑是WebSphere本身加载某个类的代码出现了问题。但不知道怎么排查。故寻求帮助。
2024-08-26 18:02:26
486
原创 【案例57】记一次类加载导致系统卡死
单独访问从机上的服务做相同单据,显示被锁,nmc中也有相关线程出现。怀疑从机到主机PK锁服务网络不通导致PK锁服务未接收到相关请求的原因造成的。删除单独的锁服务器,恢复master解锁后,单子可以删除。经过排查发现,在单独访问主机的server,直接做相关单子无异常现象。但是NMC中可以看到相关线程都存在PKlockServer的进程,说明已经创建了独立的PK锁。查看相关的线程信息发现是在做类加载。排查了nmc,发现在master上有很多堵塞线程,都在做锁相关线程。开放相关PK锁服务的端口后,问题解决。
2024-08-23 18:48:38
152
原创 【案例56】安全设备导致请求被拦截
访问相关报表第二次访问发现有相关的连接问题服务器访问相关节点,发现相关节点无此问题。从客户的客户端访问缺有问题。在nclog中发现如下日志,链接被重置。直接访问服务器无丢包现象。客户端未开防火墙。装了杀毒软件已经卸载。问题稳定重现。怀疑防火墙或者安全防护设备拦截所致。客户起初不认可。经过与客户IT中心沟通,发现客户端到服务器端有硬件设备。XXX的防火墙。查看防火墙日志发现有大量的从客户端到服务器端的拦截。经过沟通,发现客户的NC相关的安全补丁都未使用安装导致的。1、临时需要开放相关的限制。
2024-08-23 18:29:17
363
原创 【案例53】SqlServer 事务日志已满解决方案
1、手动收缩日志文件。在数据库上点击右键 → 选择 属性 → 选择 选项,把模式改为简单2、右键数据库-任务-收缩-文件类型-下拉选择日志-收缩操作-在释放未使用....(默认收缩到1MB)-最后点击确定。3、最后别忘了回到第一步骤把恢复模式改为完整!
2024-08-23 16:03:00
362
原创 【案例50】护网行动导致系统锁单卡死
顾问在系统监视器中发现了大量的锁,手动解锁无效果。查询数据库发现大量的锁表查看数据库中有很多TX-row lock contention 事件。源头为批量审批,查看nmc对应的堆栈信息发现在发送信息。非标准产品堆栈,让客开查了下代码,是再向致远oa发东西,一直没有返回结果。询问了客户得知为护网行动,封闭了相关的IP和端口所致。
2024-08-20 16:57:02
326
原创 【案例49】ORA-01000:超出打开游标的最大数
在登录系统时提示报错:ORA-01000 超出打开游标的最大数。游标就是看成是指向结果集的指针。可以把它看成一种资源,或者一种数据结构。ORA-01000是开发中常见的异常。这个异常表示程序中打开的游标数目> 数据库中设定的可以打开的最大游标数。这个异常通常由2个原因导致1)、 数据库中设置的太小2)、在 java jdbc程序中通常是代码中打开的resultset 或 preparedstatment 没有被关闭。
2024-08-20 16:28:51
781
原创 【案例48】接口信息“错误”导致安全漏洞修复未成功
客户反馈,公安局大数据中心通报,他们的系统有 NC Cloud jsinvoke 接⼝存在任意⽂件上传漏洞,攻击者通过漏洞可以上传任意⽂件⾄服务器中,获取系统权限。需要限时修复。顾问按照修复方案打上了安全补丁后,公安局复测后发现问题依旧。
2024-08-19 11:29:10
328
原创 【案例46】Oracle更换数据库密码后产生Library Cache Lock导致系统卡死
经过沟通,中午修改过数据库的密码。经过排查发现此IP为文件服务器,文件服务器是一个独立的ncchome,怀疑是文件服务器的数据源密码没有修改。但是对于正常的系统,由于口令的更改,可能存在某些被遗漏的客户端,不断重复尝试,从而引起数据库内部长时间的 Library Cache Lock的等待,这种情形非常常见。这个特性的作用是,如果用户输入了错误的密码尝试登录,那么随着登录错误次数的增加,每次登录前验证的时间也会增加,以此减缓可能对于数据库重复的口令尝试攻击。重新启动了监听,发现过一段时间,又变的很卡。
2024-08-19 09:42:42
622
原创 【案例45】报表计算卡死问题排查
与顾问沟通,发现是实施为了不倒库,方便查询,所以直接连了生产环境在做相关的报表测试,在修改相关的语义模型。这就是测试环境连了生产环境的数据源,导致数据库锁,影响生产环境的报表计算。在测试服务器nctest上排查端口为53134的为pid=92323的java进程。相关锁源头的blocking_session为1144。由程序触发,很有可能在nctest服务器上有nchome在连这个数据源。查看1144的执行机器名为nctest,非NC生产环境所在机器。建议后续请导出库,不要直接连生产环境。
2024-08-13 18:40:40
426
原创 【案例44】Oracle启用“_optimizer_skip_scan_enabled” 参数导致NC系统卡死问题
客户反映系统卡顿,很多操作耗时都比较长,通过nmc监控,线程耗时主要集中在数据库上。
2024-08-13 18:12:30
368
原创 【案例43】打开节点-后台任务日志优化案例
通过SPR日志发现 打开节点-后台任务日志节点sql调用严重。通过nmc查看,后台线程耗时20s ,基本都卡在sql层面一直在执行如下sql看下执行计划。
2024-08-13 15:40:40
241
原创 【案例42】“”引发的“血案”--建表带双引号
在dba_tables中发现与FIP_OPERATINGLOG有关的表有4张。其中一只有张表是小写的状态,直接drop 显示表和视图不存在。最终发现是在顾问在创建表的时候用了【“表名”】,所以在那dba_tables中记录了小写的copy1,导致抽取工具在读user_segments时状态不对导致导出异常。询问可以直接drop掉相关表, drop table FIP_OPERATINGLOG_copy1,但在dba_tables 再次查看相关表发现不存在。再次drop 带双引号的表。再次导出发现依旧报错。
2024-08-12 11:57:45
292
原创 【案例41】NC5.X系列部署EJB后,负载端口失效
该问题为NC5系列特有的问题,为部署后plugin-cfg.xml可能会被刷新导致http启动默认为初始的plugin-cfg.xml插件,80分发端口失效。根据上述操作后,重启http服务,问题解决,可将生成的插件放在别的文件夹下面,已备后续使用。无需每次都生成,直接用备份即可。客户反映NC5.x版本服务器重新部署EJB后,server端口好用, 80分发端口无法登录问题。注意,路径为本人测试环境,请自行找自己环境的真实路径。备份在 /ufida下,可直接复制到指定目标。
2024-08-12 11:41:31
140
原创 【案例40】Apache中mod_proxy模块的使用
3、sticky-session粘连,就是说用户一旦访问了某个 Balancer Member,就给他个 cookie,让他在后面的请求都访问那个 Balancer Member。:配置了apache的情况,包括uap集群,配置https等场景下均适用;4、ProxyRequests : 在使用ProxyPass指令的时候,ProxyRequests指令通常都应该是关闭 的。修改${HTTPD_HOME}/conf/httpd.conf,增加以下模块(取消注释,如有其他依赖, 则相应取消注释)
2024-08-07 14:39:36
685
原创 【案例39】访问测试环境却显示生产信息
但生产环境崩溃,仔细排查,走测试环境的负载端口,超级管理员登录系统,信息却为生产环境的帐套信息。在ierp/bin/servicedeploy/dedicateserver.properties 文件中找到了相关信息。这个文件配置的是正式环境的 master 导致服务远程调用时走正式环境的master服务,导致报错,以及这些风险行为。看着状态,像是测试环境的服务和生产环境的master进行了匹配。于是在测试环境中全文搜索了生产环境的master的IP地址。通过代理端口访问,发现相关的帐套信息为生产的。
2024-08-07 14:30:29
388
原创 【案例38】Can’t get connection from database 排查详细记录
15、怀疑驱动程序有问题,把相关驱动替换到nchome中,发现测试不通过,经过咨询得知12.2版本的驱动基于的jdk编译版本过高用不了。删除掉冗余代码后,再次测试,测试通过。17、这类问题,之前很多碰到的是dns解析不通过,于是检查了IPV4的DNS解析配置地址发现里面配置了DNS解析地址为公网地址,但是服务器未开通公网。与顾问电话沟通发现,此数据库是客户从8i一直升级到12C的,非直接安装的12C版本。6、查询了process参数发现配置为150,很低,扩展到2000,重启了数据库服务,问题依旧未解决。
2024-08-07 11:50:50
948
原创 【案例37】NetWork Error
首先给/data/nginx/proxy_temp授权 chown -R root:root,reload后发现文件夹所属主、组变为非同一用户,排查Nginx的主进程为root用户,子进程为nginx用户,这就是为什么文件夹所属主、组变为不一致的原因。通过IP+端口的形式,绕过Nginx看是否系统会异常,如果正常则判断问题发生在Nginx上,但客户做了限制无法通过这个形式访系统。排查Nginx配置文件后发现,Nginx配置了相关client_max_body_size参数。1)、相关文件夹授权有问题。
2024-08-07 11:14:32
356
原创 【案例36】Apache未指向新的openssl
再次通过查看modules/mod_ssl.so文件发现apache无法指定到新的openssl版本(1.1.1q),直接报libssl.so.10 => not found。查看mod_ssl文件,这应该如上述图片所示为新的版本文件,不应该叫libssl.so.10 ,而应该生成新的文件名并指向新的路径。libssl.so.10指向的是openssl1.0.2k版本。查看新版openssl路径发现与类库ssl有关的文件为:libcrypto.so、libssl.so两个文件。发现也指向1.0.2k版本。
2024-08-07 11:06:13
282
原创 【案例35】销售订单公式问题导致系统宕机
应该是在查询销售订单,表体量太大,又走了公式,显示公式:handleBodyLoadFormula。目前看是显示公式导致的。是订单参照订单时,订单表体存在很多数据,但是又执行大量显示公式导致,建议转单模板。远程排查,发现在服务器从机上defalut-7发生了内存溢出,宕机。经过顾问反馈,发现系统现在出现卡顿,NCC一直在转圈。销售订单相关操作,vo太多了导致内存占用过多。使用MAT抓取相关线程信息。别加显示公式,会有效率问题。
2024-08-07 10:59:35
230
原创 【案例34】数据源密码保存不上
查看了相关的prop.xml发现存密码的字段,正常应为加密状态,但是这显示null。在相关的启动日志中排查发现,报数据源连接异常的错误。由于项目交接,sysConfig启动异常,他们在原jdk路径做了个软链,把操作系统的JDK改为了1.8.131版本后,sysconfig才正常打开。排查了相关ncchome的文件夹权限,prop.xml的权限,都为775,权限没问题。后续把软链取消,重新配置了JDK,更新JDK版本为1.8.202。排查了相关的生产和测试环境的区别,发现JDK版本有差异。
2024-03-19 16:56:39
408
1
hs-err-pidXXX.log 文件分析利器
2024-08-29
pdksh-5.2.14(32位和64位rpm)
2024-08-20
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人