butteff
@butteff
Раз в тысячу лет заправляю свитер в носки

Как диагностировать линукс сервер?

Ну вот к примеру что-то пишет на диск, как узнать что, алгоритм действий?
Или вот подтормаживает сервер, что Вы будете делать?
Что Вы смотрите и мониторите на предмет хакерской активности?
Когда Вы понимаете, что есть нагрузки и где?
  • Вопрос задан
  • 2964 просмотра
Пригласить эксперта
Ответы на вопрос 3
alexclear
@alexclear
A cat
Чтобы узнать, что пишет на диск, нужно запустить iotop
Если сервер "подтормаживает", надо посмотреть, что занимает процессор, и процессор ли занят - возможно, занята дисковая подсистема. Обычно команда top справляется с этой задачей.
Все это не имеет никакого отношения ни к информационной безопасности, ни к хакерам.
"Хакерская активность" - это что за активность такая? В чем она обычно проявляется? Если в том, что кто-то взял и сломал дырявый вордпресс, то такое легко ищется по крону путем поиска в .php файлах команды eval. Вообще, просматривать файлы на предмет их изменений - хорошая идея, этим занимаются Tripwire и AIDE. Вторая хорошая идея - разграничивать полномочия так, чтобы "хакерской активности" на сервере не наблюдалось - нельзя сломать сервис, если он публично не доступен. Третья хорошая идея - поставить мониторинг логов сервисов и смотреть аномалии.
Ответ написан
Комментировать
@sys-admin
Про iotop и top уже сказали, стоит добавить так же про iftop, который показывает сетевую активность и через который можно посмотреть, с какой интенсивностью на какие порты идет трафик.

Что касается "хакерской активности," то это понятие весьма обширное и тянет если не на книгу, то на приличную статью точно. В качестве основных действий при подозрении на взлом можно порекомендовать просмотр логов (в частности вывод команд last и lastlog), просмотр списка запущенных демонов на предмет "левых" процессов (часто на взломанных системах хакеры запускают какой-нибудь perl-скрипт или бинарник, который соединяется с подконтрольным злодею хостом для получения команд). Важно: в тех перловых ботах, что мне попадались, зачастую используется хитрая функция, подменяющая имя запущенного скрипта каким-нибудь безобидным (например httpd), при этом если смотреть список процессов от рута командой ps auxwww то этот зловред отобразится в списке примерно так: perl /tmp/bot.pl --name "httpd -DSSL"При этом самого файла /tmp/bot.pl может и не существовать, это значит, что его удалили после запуска, что бы он случайно не попался на глаза админу. Прежде, чем прибить процесс бота, стоит посмотреть с каким сервером он соединяется, т. е. где у него "командный центр," этого можно сделать командой netstat -anp | grep PID_процесса_бота
Ну а дальше уже по вкусу, либо просто вносим этот адрес в черный список на файрволе и идем копать логи веб-сервера, php, ftp и ssh на предмет следов проникновения, либо, если уж совсем руки чешутся, можно посмотреть, каким трафиком обменивается бот с командным центром. Сделать это можно командой
tcpdump -Nn -i имя_сетевого_интерфейса -x host ip_командного_центра
Ответ написан
Комментировать
zoonman
@zoonman
⋆⋆⋆⋆⋆
Скорее не ответ, а дополнение к предыдущим ответам. Мне вот эта картинка помогает

linux_observability_tools.png

И статья тоже рекомендуется www.brendangregg.com/blog/2014-08-23/linux-perf-to...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы