.sysync.pl与.sysdbs都是隐藏文件,可以通过ls –la列表查看到。
3. 查看进程,可以检查到以下异常进程
有些服务器上还可以看到一些javas的异常进程,请确认这些javas进程,是否应用程序调用的java。4. 在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件
Ubuntu中文论坛的“BigSnake.NET“结合arpalert写了一个脚本来做arp防火墙,我感觉效果不错。(具体请看“参考资料”。)我这里再稍加概括:
1)安装arpalert和Perl的ARP模块(在Ubuntu中叫libnet-arp-perl软件包)
2)按照参考资料中的说明得到arpdef.pl文件。
3)按照参考资料中的说明修改arpalert.conf。
注:一定要看原文,我这里仅是简单概括。
用途
tcpdump简义:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。
tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
语法
tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>]
[-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]
参数说明:http://write.blog.csdn.net/postedit/72898655
-a 尝试将网络和广播地址转换成名称。
-c<数据包数目>收到指定的数据包数目后,就停止进行倾倒 *** 作。
-d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
-dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
-ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
-e 在每列倾倒资料上显示连接层级的文件头。
-f 用数字显示网际网络地址。
-F<表达文件>指定内含表达方式的文件。
-i<网络界面>使用指定的网络截面送出数据包。
-l 使用标准输出列的缓冲区。
-n 不把主机的网络地址转换成名字。
-N 不列出域名。
-O 不将数据包编码最佳化。
-p 不让网络界面进入混杂模式。
-q 快速输出,仅列出少数的传输协议信息。
-r<数据包文件>从指定的文件读取数据包数据。
-s<数据包大小>设置每个数据包的大小。
-S 用绝对而非相对数值列出TCP关联数。
-t 在每列倾倒资料上不显示时间戳记。
-tt 在每列倾倒资料上显示未经格式化的时间戳记。
-T<数据包类型>强制将表达方式所指定的数据包转译成设置的数据包类型。
-v 详细显示指令执行过程。
-vv 更详细显示指令执行过程。
-x 用十六进制字码列出数据包资料。
-w<数据包文件>把数据包数据写入指定的文件。
案例
tcpdump -s 0 -i eth1 -w 94ip.cap
注:监听 ETH1网站 保存文件为94ip.cap
网云互联(www.94ip.net/www.94ip.com)是一家从事服务器安全防护、入侵检测、服务器代维等为一体的公司,免费服务器安全检测,并有24小时在线运维工程师为您服务。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)