|
|
51CTO旗下网站
|
|
移动端

2.5 案例一:闪现Segmentation Fault 为哪般(1)

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍案例一:闪现Segmentation Fault 为哪般。

作者:李晨光来源:机械工业出版社|2014-11-26 20:32

【51CTO技术沙龙】10月27日,让我们共同探索AI场景化应用实现之道

2.5 案例一:闪现Segmentation Fault 为哪般(1)

这是一起电商网站首页篡改案,管理员小王对各方调查取证,几经周折,对系统进程、TCP 连接和Apache 的访问日志进行分析,最终找到了原因。当你看完事件描述后,你知道小王在Apache 日志中到底发现了哪些蛛丝马迹?你知道Apache 出现的段错误表示什么含义?小王今后该如何防止这种事件再次发生呢?

难度系数:★★★

关键日志:Apache 访问日志

故事人物:小王(系统管理员)

事件背景

小王在国内一家电商网站(westshop.com)的运维部工作,职位是系统管理员,是名副其实的“救火队长”,经常干着费力不讨好的工作,工资不高,每个月除去开销再给家中父母寄些钱,就所剩不多了。

圣诞节临近,公司决定进行今年最后一轮打折促销活动,为此各个部门都开始了紧锣密鼓的部署工作。小王所在的IT 部门,除了日常维护,开始加紧为接下来的大量访问做一些系统扩容的准备工作。由于工作紧张,小王无暇顾及系统的安全问题,处于“亚健康”状态的系统一直带病运行着。随着节日的临近,网站用户访问数量激增,网站流量也不停地刷新记录。

可好景不长,在系统运行了一段时间之后,一天,公司接到电话:有人反映主页被篡改了,而且访问网站时断时续。老板得知此事,十分恼火,立即吩咐小王尽快排除故障。小王接到任务后,并不慌张,因为他每天都重复干着一件事,那就是“备份、备份再备份”,但是为了搞清楚事情真相,以便向老板交待,他开始了系统取证工作。

1.检查系统进程

由于担心程序被替换,事先小王就在他的home 目录下加密保存了一些重要的系统文件的副本,例如md5、ps、top 及netstat 等。他先用top 命令查看了系统进程列表。显示如下:


从命令结果显示上看,CPU 利用率达到55.58。这是为什么?接着他重启了Apache 服务器,这台物理服务器上运行大概10 多个子站点,在重启httpd 的那一刻,网站打开速度很快,但几分钟后就急剧下降,而且 Load Average 的值很快就飙升到30~40 且一直居高不下。不一会儿CPU 利用率就全占满了。这种情况表明站点可能受到了DoS 攻击。

2.查看并发数

首先执行命令:

  1. #ps -ef|grep httpd|wc -l  
  2. 2458 

结果表示Apache 能够处理2458 个并发请求。

查看详细连接情况:

  1. #netstat -na|grep -i "80"|wc -l  
  2. 2341 

从以上结果看,没什么异常。netstat –na 命令会打印系统当前网络连接状态,而grep -i"80"是用来提取与80 端口有关的连接的,wc -l 进行连接数统计。

注意:

用下面这种方法也可以得到连接信息:

  1. #netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'  
  2. FIN_WAIT_1 286  
  3. FIN_WAIT_2 360  
  4. SYN_SENT 3  
  5. LAST_ACK 32  
  6. CLOSING 1  
  7. CLOSED 36  
  8. SYN_RCVD 144  
  9. TIME_WAIT 2520  
  10. ESTABLISHED 2352 

注意:

SYN_RCVD 表示正在等待处理的请求。

ESTABLISHED 表示正常数据传输状态。

TIME_WAIT 表示处理完毕,等待超时结束的请求。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

网管员必读—-网络安全

本书共10章,介绍的内容包括恶意软件(包括病毒、木马和蠕虫等)的深度防御方法,黑客的主要类型和防御方法,企业网络内、外部网络防火墙系...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊