服务器炸了分析记录
1. 查看剩余内存
free -h
每十秒显示一次
free -h -s 10
2. 查进程pid
top
top这个命令挺有用的,不过目前还没深研究。
在top界面下shift+m,其实也就是输入一个M,会按照内存Memory大小排序。
而这一步最有用的是能拿到占用最多的那个pid号。
如果再输入小c,直接一个c,最后一排的command就变成了运行命令,你就能看见这是谁干的。(这一行笔记真是记神了!!!)
3. 查ps进程
(1) 第一种情况
ps aux | grep mysql
(2) ef
这个ef还可以看父进程PPID
ps ef
(3) pstree
完全的父进程PPID,这个好像没啥学的,参数就一个-p,大不了也就是在后面加一个 |grep pid,来查一下进程。
pstree -p
4. 根据pid号来查进程
(1) ls和ll
ll是ls -l的缩写,ls和ll本质上都是查文件的操作,ls -l或者说ll是查询当前目录的所有文件,并列出详细信息来。
ls还有一些其他的参数,不过那些参数的意思大概都是排序的操作,把所有文件列出来,然后按照某种顺序来排序。
(2) ll /proc ${pid}
这个ll指令并不超纲,就是ll后面跟了一个文件目录。
应该是每一个进程的pid都在/proc(process缩写),这个文件目录下面有一个对应的pid文件夹,这个进程的一系列信息都能在这里面查到。
猜测这个虚拟文件夹应该是/proc根目录,然后按照pid名建一大堆的子目录,然后每个子目录里面的内容差不多,都是那些cmdline 、cwd 、environ 这些文件,访问的时候也是用文件系统来查看的。
https://blog.csdn.net/hiyun9/article/details/51967742
5. curl
curl最后的最后跟的是一个url
比如curl www.baidu.com这个就应该成立
curl中间可以带很多的参数,-a、-k、-L之类的,这些参数都是用来模仿浏览器的,或者你理解成postman发送请求的时候,发送的那一系列的,cookie、浏览器头什么都能设置。
不过看curl最有用的是他最后面跟的那个url。
栋斌和卢韵西:
首先是禁用各种下载和连接IP!!!
<过程操作>0. top 发现 CPU 或 MEM 占用高的可疑命令 (最后一列不是程序的名字,是 COMMAND)
- 查看定时任务: crontab -l
- 删除定时任务两种方式: crontab -e (在本机失败了) ; rm -rf /var/spool/cron/root (这里有不能删除的问题用 chattr -ai 修改文件权限后再删)
- 删除自动下载的 bbb文件夹
- top 或者 ps aux | grep some_words_only_god_knows 确保没有新的进程调起了
- 重启系统 —— 自动把已经在运行的恶意进程挂掉
