网站被攻击常用检查命令和思路

疑难杂症   网站排障  
查看监控
  • cacti
  • 云监控
系统连接状态
  • tcp状态解释
CLOSED          无连接是活动的或正在进行  
LISTEN          服务器在等待进入呼叫  
SYN_RECV        一个连接请求已经到达,等待确认  
SYN_SENT        应用已经开始,打开一个连接  
ESTABLISHED     正常数据传输状态/当前并发连接数  
FIN_WAIT1       应用说它已经完成  
FIN_WAIT2       另一边已同意释放  
ITMED_WAIT      等待所有分组死掉  
CLOSING         两边同时尝试关闭  
TIME_WAIT       另一边已初始化一个释放  
LAST_ACK        等待所有分组死掉  
  • 查看TCP连接状态
    netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn
    netstat -n | awk '/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}'
    netstat -n | awk '/^tcp/ {++state[$NF]}; END {for(key in state) print key,"\t",state[key]}'
    netstat -n | awk '/^tcp/ {++arr[$NF]};END {for(k in arr) print k,"\t",arr[k]}'
    netstat -n | awk '/^tcp/ {print $NF}'|sort|uniq -c|sort -rn
    netstat -ant | awk '{print $NF}' | grep -v '[a-z]' | sort | uniq -c

  • 查找请求数请20个IP(常用于查找攻来源):
    netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20

  • 用tcpdump嗅探80端口的访问最高的IP
    tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20

  • 查找较多time_wait连接
    netstat -n|grep TIME_WAIT|awk '{print $5}'|sort|uniq -c|sort -rn|head -n20

  • 找查较多的SYN连接
    netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr | more

  • 根据端口查找进程ID
    netstat -ntlp | grep 80 | awk '{print $7}' | cut -d/ -f1


数据库
  • 查看数据库执行的sql
    /usr/sbin/tcpdump -i eth0 -s 0 -l -w - dst port 3306 | strings | egrep -i 'SELECT|UPDATE|DELETE|INSERT|SET|COMMIT|ROLLBACK|CREATE|DROP|ALTER|CALL'

系统Debug分析
  • 调试命令
    strace -p pid

  • 跟踪指定进程的PID
    gdb -p pid


系统日志篇
  • /var/log/audit
    查看安全日志中成功登陆服务器的IP和用户,并统计次数
    cat /var/log/audit/audit.log |grep failed -v|awk '{print $10,$13}' |grep '/' -v |grep old -v |grep acct |awk -F "=" '{print $2,$3}' |awk -F "(" '{print $1,$2}'|awk -F "," '{print $1}'|uniq -c |grep ? -v|sort –d

  • 查看最近20条登陆服务器用户的持续时间、IP、用户
    last |awk '{print $1,$3,$4,$5,$6,$7.$8.$9,$10}'|head -n20

  • /var/log/secure 日志分析
    查看哪些IP扫描过本机
    grep "Failed password" secure|grep invalid|awk '{print $13}'| sort |uniq
    查看成功登陆本机的记录
    cat /var/log/secure |awk '{print $5,$9,$11,$12,$13}'|grep su -v|grep '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}'|awk -F ":" '{print $1,$2}'|uniq -c

  • dmesg
    dmesg 检查硬盘是否运行在DMA模式
    dmesg |grep DMA dmesg 检查网卡是否运行正常
    dmesg |grep eth0 dmesg探测系统内核模块的加载情况
    dmesg |grep acpi