- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вдруг ни с того ни с сего метрика сообщила о недоступности сайтов, пытался подключится на сервер по ssh - не отвечает. Пошел делать hard reboot. Получилось зайти по ssh, делаю рестарт апач идет ошибка -
ну, я хз че такое. по началу не понял. потом уже ясно стало что порт 8080 занят другим процессом. ну, я то не знал что творится и певым делом дай-ка думаю сменю пароль root. Сменил, ребутаю апач - все нормально перезапускается. ЧТо это было и куда копать? Сервер уже год работал даже без ребута. И тут такое... CentOS release 6.8 (Final) 3.14.32-xxxx-grs-ipv6-64.нужно смотреть логи рута, может быть кто-то взломал сервер. Ядро я так понял никто не обновляет у вас на сервере.
ЧТо это было и куда копать?
Все что угодно.
Вообще "netstat -anp" показал бы список процессов по портам.
а кто чем сервер проверяет?
Руками и глазами, grep/sed/sort/awk в помощь.
Берёшь логи, и составляешь фильтр, выделяющий интересующие моменты.
Процессы, что работает, top/ps.
Фаервол отдельная песня.
Ну и мониторинг полезно иметь, чтобы видеть, какой показатель дёрнулся в тот час.
я имел ввиду сканирование файлов сервера на предмет гадостей, которые могли остаться после вторжения.
Да не, фигня это всё. Ничего не заменит опыт и зоркий глаз.
Сканирование find с grep по содержимому.
"could not bind to address 127.0.0.1:8080" - уже что-то сидит на этом порту, например тот же апач.
если апач, к примеру - убить его руками типа
killall apache2 (или killall httpd)
зайти в /var/run - удалить apache2.pid или httpd.pid
попытаться запустить апач.
если не апач, смотреть по netstat что занимает этот порт
далее искать в ps ax
Книжки надо читать, а не в форумах интересоваться кто что делает.
"could not bind to address 127.0.0.1:8080" - уже что-то сидит на этом порту, например тот же апач.
если апач, к примеру - убить его руками типа
killall apache2 (или killall httpd)
зайти в /var/run - удалить apache2.pid или httpd.pid
попытаться запустить апач.
если не апач, смотреть по netstat что занимает этот порт
далее искать в ps ax
да, там были подвисшие процессы апач, и взлом тут ни при чем, просто после хард ребута ти процессы умерли и апач перезапустился.
---------- Добавлено 09.05.2017 в 18:17 ----------
Книжки надо читать, а не в форумах интересоваться кто что делает.
практика лучший учитель, да и потом я же дорвеи делаю а не админю сервера) просто пока сисадмин не нужен был.