排障思路--------杀毒

1、尽量搞清楚问题的来龙去脉

不要一会儿就扎到服务器前面，你须要先搞明白对这台服务器有多少已知的状况，还有故障的具体状况。否则你极可能就是在无的放矢。

必须搞清楚的问题有：

• 故障的表现是什么？无响应？报错？

• 故障是何时发现的？

• 故障是否可重现？

• 有没有出现的规律（好比每小时出现一次）

• 最后一次对整个平台进行更新的内容是什么（代码、服务器等）？

• 故障影响的特定用户群是什么样的(已登陆的, 退出的, 某个地域的…)?

• 基础架构（物理的、逻辑的）的文档是否能找到?

• 是否有监控平台可用? 

  （好比Munin、Zabbix、 Nagios、 

  New Relic… 什么均可以）

• 是否有日志能够查看?. （好比Loggly、Airbrake、 Graylog…）

最后两个是最方便的信息来源，不过别抱太大但愿，基本上它们都不会有。只能再继续摸索了。

 

 

2、有谁在?

[plain] view plaincopyprint?

1. $ w  

2. $ last  

用这两个命令看看都有谁在线，有哪些用户访问过。这不是什么关键步骤，不过最好别在其余用户正干活的时候来调试系统。有道是一山不容二虎嘛。（ne cook in the kitchen is enough.）

 

3、以前发生了什么?

[plain] view plaincopyprint?

1. $ history  

查看一下以前服务器上执行过的命令。看一下老是没错的，加上前面看的谁登陆过的信息，应该有点用。另外做为admin要注意，不要利用本身的权限去侵犯别人的隐私哦。

到这里先提醒一下，等会你可能会须要更新 HISTTIMEFORMAT 环境变量来显示这些命令被执行的时间。对要否则光看到一堆不知道啥时候执行的命令，一样会使人抓狂的。

 

4、如今在运行的进程是啥?

[plain] view plaincopyprint?

1. $ pstree -a  

2. $ ps aux  

这都是查看现有进程的。 ps aux 的结果比较杂乱， pstree -a 的结果比较简单明了，能够看到正在运行的进程及相关用户。

 

5、监听的网络服务

[plain] view plaincopyprint?

1. $ netstat -ntlp  

2. $ netstat -nulp  

3. $ netstat -nxlp  

我通常都分开运行这三个命令，不想一会儿看到列出一大堆全部的服务。netstat -nalp倒也能够。不过我毫不会用 numeric 选项 （鄙人一点浅薄的见解：IP 地址看起来更方便）。

找到全部正在运行的服务，检查它们是否应该运行。查看各个监听端口。在netstat显示的服务列表中的PID 和 ps aux 进程列表中的是同样的。

若是服务器上有好几个Java或者Erlang什么的进程在同时运行，可以按PID分别找到每一个进程就很重要了。

一般咱们建议每台服务器上运行的服务少一点，必要时能够增长服务器。若是你看到一台服务器上有三四十个监听端口开着，那仍是作个记录，回头有空的时候清理一下，从新组织一下服务器。

 

6、CPU 和内存

[plain] view plaincopyprint?

1. $ free -m  

2. $ uptime  

3. $ top  

4. $ htop  

注意如下问题:

• 还有空余的内存吗? 服务器是否正在内存和硬盘之间进行swap?

• 还有剩余的CPU吗? 服务器是几核的? 是否有某些CPU核负载过多了?

• 服务器最大的负载来自什么地方? 平均负载是多少?

 

7、硬件

[plain] view plaincopyprint?

1. $ lspci  

2. $ dmidecode  

3. $ ethtool  

有不少服务器仍是裸机状态，能够看一下：

• 找到RAID 卡 (是否带BBU备用电池?)、 CPU、空余的内存插槽。根据这些状况能够大体了解硬件问题的来源和性能改进的办法。

• 网卡是否设置好? 是否正运行在半双工状态? 速度是10MBps? 有没有 TX/RX 报错?

 

8、IO 性能

[plain] view plaincopyprint?

1. $ iostat -kx 2  

2. $ vmstat 2 10  

3. $ mpstat 2 10  

4. $ dstat --top-io --top-bio  

这些命令对于调试后端性能很是有用。

• 检查磁盘使用量：服务器硬盘是否已满?

• 是否开启了swap交换模式 (si/so)?

• CPU被谁占用：系统进程? 用户进程? 虚拟机?

• dstat 

  是个人最爱。用它能够看到谁在进行 IO： 是否是MySQL吃掉了全部的系统资源? 仍是你的PHP进程?

 

9、挂载点 和 文件系统

[plain] view plaincopyprint?

1. $ mount  

2. $ cat /etc/fstab  

3. $ vgs  

4. $ pvs  

5. $ lvs  

6. $ df -h  

7. $ lsof +D /   

• 一共挂载了多少文件系统?

• 有没有某个服务专用的文件系统? (好比MySQL?)

• 文件系统的挂载选项是什么： noatime? default? 有没有文件系统被从新挂载为只读模式了？

• 磁盘空间是否还有剩余?

• 是否有大文件被删除但没有清空?

• 若是磁盘空间有问题，你是否还有空间来扩展一个分区？

 

10、内核、中断和网络

[plain] view plaincopyprint?

1. $ sysctl -a | grep ...  

2. $ cat /proc/interrupts  

3. $ cat /proc/net/ip_conntrack   

4. $ netstat  

5. $ ss -s  

• 你的中断请求是不是均衡地分配给CPU处理，仍是会有某个CPU的核由于大量的网络中断请求或者RAID请求而过载了？

• SWAP交换的设置是什么？对于工做站来讲swappinness 设为 60 就很好, 不过对于服务器就太糟了：你最好永远不要让服务器作SWAP交换，否则对磁盘的读写会锁死SWAP进程。

• conntrack_max 

  是否设的足够大，能应付你服务器的流量?

• 在不一样状态下(TIME_WAIT, …)TCP链接时间的设置是怎样的？

• 若是要显示全部存在的链接，netstat 

  会比较慢， 你能够先用 

  ss 

  看一下整体状况。

你还能够看一下 Linux TCP tuning 了解网络性能调优的一些要点。

 

11、系统日志和内核消息

• 查看错误和警告消息，好比看看是否是不少关于链接数过多致使？

• 看看是否有硬件错误或文件系统错误?

• 分析是否能将这些错误事件和前面发现的疑点进行时间上的比对。

[plain] view plaincopyprint?

1. $ dmesg  

2. $ less /var/log/messages  

3. $ less /var/log/secure  

4. $ less /var/log/auth  

12、定时任务

[plain] view plaincopyprint?

1. $ dmesg  

2. $ less /var/log/messages  

3. $ less /var/log/secure  

4. $ less /var/log/auth  

$ dmesg $ less /var/log/messages $ less /var/log/secure $ less /var/log/auth

• 是否有某个定时任务运行过于频繁?

• 是否有些用户提交了隐藏的定时任务?

• 在出现故障的时候，是否正好有某个备份任务在执行？

 

十3、应用系统日志

这里边可分析的东西就多了, 不过恐怕你做为运维人员是没功夫去仔细研究它的。关注那些明显的问题，好比在一个典型的LAMP（Linux+Apache+Mysql+Perl）应用环境里:

• Apache & Nginx; 查找访问和错误日志, 直接找 

  5xx 

  错误, 再看看是否有 

  limit_zone 

  错误。

• MySQL; 在mysql.log找错误消息，看看有没有结构损坏的表， 

  是否有innodb修复进程在运行，是否有disk/index/query 问题.

• PHP-FPM; 若是设定了 php-slow 日志, 直接找错误信息 (php, mysql, memcache, …)，若是没设定，赶忙设定。

• Varnish; 

  在varnishlog 

  和 

  varnishstat 里, 检查 hit/miss比. 看看配置信息里是否遗漏了什么规则，使最终用户能够直接***你的后端？

• HA-Proxy; 后端的情况如何？健康情况检查是否成功？是前端仍是后端的队列大小达到最大值了？

 

结论

通过这5分钟以后，你应该对以下状况比较清楚了：

• 在服务器上运行的都是些啥？

• 这个故障看起来是和 IO/硬件/网络 或者 系统配置 (有问题的代码、系统内核调优, …)相关。

• 这个故障是否有你熟悉的一些特征？好比对数据库索引使用不当，或者太多的apache后台进程。

 

你甚至有可能找到真正的故障源头。就算尚未找到，搞清楚了上面这些状况以后，你如今也具有了深挖下去的条件。继续努力吧！

本身总结：

一、最重要的看 /etc/passwd 有可能异经常使用户成了root权限。caoyi：0:0 本身成了root，很危险，删掉！！！

二、首先先top d1 看下有没有异常进程有就先 kill -STOP pid 先暂停该进程，千万不要盲目杀死。防止是***，会自动启动进程。。

三、而后  ll -arth  /etc/   /etc/init.d   /usr/sbin   /usr/bin   /bin    /sbin   /tmp    这几个关键目录是否新添了文件尤为是可执行的文件

有可能就是那个异常进程的脚本。。删掉 而后将该目录锁定，，chattr +i 、path。

四、接下来能够 pidof  name（异常进程） kill -9  pid 干掉他

五、若是在pidof没有尽兴，你能够 for i in  /proc/[0-9]* ;do grep  "getty" $i/cmdline;done 找下他的进程号！干掉！

以上都是经过如下杀的几个毒的总结：

1， 十字节***：

    a,   ll -rt /usr/bin        #看最后几个输出有没有十字节病毒程序，好比为： lksnlfjdfdf

    b,  top  观察lksnlfjdfdf 进程的pid

    c， kill -STOP lksnlfjdfdf 进程的pid

    d,   vim /etc/crontab     删除 gcc4.sh 这一行

    e， chattr +i /etc/crontab

    c， rm -f /etc/cron.hourly/gcc4.sh;   rm -f /lib/libudev4.so*;  rm -f /etc/init.d/lksnlfjdfdf; rm -f /usr/bin/lksnlfjdfdf; pkill lksnlfjdfdf

2, m62, ets 一类***：

    a, 查 m62 的pid为pid1，  找到 .sshd 这个进程的pid 为pid2

    b, kill -9 pid1 pid2

    c, 删除系统程序 ps, ss, netstat, lsof 同时删除 /etc/init.d/Dbsecurity*, /usr/bin/.sshd, /usr/bin/bsd-port/*

3, s1 

     a, 查 s1 的pid为pid1，  找到 .sshd 这个进程的pid 为pid2

     b, kill -9 pid1 pid2

    c, 删除 /etc/init.d/Dbsecurity*, /usr/bin/.sshd, /usr/bin/bsd-port/*

4, sshd 被感染

    判断：是否有密码文件 /usr/bin/tk， 有为openssh 被感染，

    暂时修复： 用正常的sshd 替换 感染机器上的 sshd， chmod +x sshd,  service sshd restart

文章出自：http://blog.jobbole.com/36375/