Linux操作系统的/tmp目录保存临时文件,那么这个目录下的临时文件究竟会保存多久,何时被清理,通过什么方式(哪个服务)来维护清理工作呢?
我又来消灭挖矿木马了,这次消灭的挖矿文件为config.json;zhihuatnail.so;sshd2这三个矿马。
/home/zhongli_interface 清理文件的路径,-type f 清理文件类型为文件,f修改成d 就是文件夹。 -mtime +3 清理三天前的文件,清理文件名为.tmp结尾的文件,-exec 执行的命令,{} \; 固定格式。 设置定时任务
原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html
近日,深信服安全团队捕获到一款新型的Linux挖矿木马,该木马通过bash命令下载执行多个功能模块,通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散,且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。
常见应用服务,都会记录日志,方便问题查询和故障定位。linux系统本身也会有日志输出。
Hive作业在运行时会在HDFS的临时目录产生大量的数据文件,这些数据文件会占用大量的HDFS空间。这些文件夹用于存储每个查询的临时或中间数据集,并且会在查询完成时通常由Hive客户端清理。但是,如果Hive客户端异常终止,可能会导致Hive作业的临时或中间数据集无法清理,从而导致Hive作业临时目录占用大量的HDFS空间。本篇文章Fayson主要介绍如何解决清理Hive作业产生的临时文件。
故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。 安装busybox 系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。 BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。 > busybox top image-20210629223207356 终于看到了这个kthreaddi进程,上网一查这个东西
公司的项目使用Jetty部署的。由于是从兄弟公司弄来的项目,因此部署的脚本的Jetty配置啊,都是从兄弟公司弄来的。但是遇到了一个棘手的问题,就是,jetty在部署war包的时候会将包的文件解压到/tmp目录下 这就造成了一个问题,当Linux自动清理这个目录的时候,我们的部分文件就会丢失。
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。
jps位于jdk的bin目录下,其作用是显示当前系统的java进程情况,及其id号。 jps相当于Solaris进程工具ps。不象”pgrep java”或”ps -ef grep java”,jps并不使用应用程序名来查找JVM实例。因此,它查找所有的Java应用程序,包括即使没有使用java执行体的那种(例如,定制的启动 器)。另外,jps仅查找当前用户的Java进程,而不是当前系统中的所有进程。
Linux系统下文件数据储存在"块"中,文件的元信息,例如文件的创建者、文件的创建日期、文件的大小等。这种储存文件元信息的区域就叫做inode,中文译名为"索引节点"。
Linux系统下文件数据储存在"块"中,文件的元信息,例如文件的创建者、文件的创建日期、文件的大小等。这种储存文件元信息的区域就叫做inode,中文译名为"索引节点"。inode也占用硬盘空间,硬盘格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是inode区(inode table),存放inode所包含的信息。
研发小伙伴反馈,他手里的服务器出问题了,负载高居不下。查看进程,发现一个进程名为 spreadQlmnop,CPU占用 395%,这是什么鬼?我告诉他,你被挖矿了。
前一段时间我处理了一次应急响应,我还输出了一篇文章 Linux应急响应笔记。这两天又处理了一次病毒入侵,在前一次的基础上,这次应急做了一些自动化脚本,应急响应效率有了一定程度的提升,故另做一份笔记。
Apache ActiveMQ是最流行的开源、多协议、基于 Java 的消息代理。它支持行业标准协议,用户可以从多种语言和平台的客户端使用AMQP协议集成多平台应用程序。
笔者最近在使用开源物联网框架thingsboard时,发现docker内部的java进程通过jps命令查不到,凡是通过jps能查到的java进程,以linux系统为例都会在/tmp/hsperfdata_当前用户/(如/tmp/hsperfdata_root/)目录下创建以java进程id命名的文件,最终排查是因为thingsboard启动时传入了-XX:+PerfDisableSharedMem这个jvm参数导致,jvm参数里面有以下参数控制着该文件
tmpwatch递归删除给定时间内未访问的文件,通常用于清理用于临时存放空间的目录,并可以设置文件超期时间,默认单位以小时计算。
在 kubernetes 中,Deployment、DaemonSet会持续运行任务,这些 pod 中的进程在崩溃退出时会重新启动,永远达不到完成态。你也许会遇到这样的场景,当需要运行一个一次性的可完成的任务,其进程终止后,不应该再重新启动,那么 Job 资源类型完全符合你。Kubernetes 中通过 Job 资源提供了对此的支持,它允许你运行一种 pod,该 pod 在内部进程成功结束时,不重启容器。一旦任务完成,pod 就被认为处于完成状态。在发生节点故障时,该节点上由 Job 管理的 pod 将按照 ReplicaSet 的 pod 的方式, 重新安排到其他节点,以确保任务能够成功完成,所以 Job 通常用于执行一次性任务或批处理作业。Job 还可以控制 Pod 的数量,确保一定数量的 Pod 成功完成任务。Job 的一些常用使用场景:
如果你用过linux,那你肯定听说过rm的故事,由这个恐怖的命令引发的灾难比比皆是。比如,rm -rf /*,感兴趣的可以尝试一下,后果自负。
生产上有40多个微服务部署的应用,每个应用都会产生日志,随着时间的增长,日志量不断增大,现需要清理。有两个重要的应用日志需保留90天,其它应用保留20天。
亲手搭建的博客系统经常会宕机,一直想着定时检测tomcat服务挂掉之后进行重启操作。昨天终于有时间,就把这个事情做了一下,最终可以正常工作。本篇就记录一下我解决 linux 环境定时重启 tomcat 这件事情。
运维告警里比较常见的就是磁盘空间超过告警阀值的情况,遇到这种情况是最常见的,只要不影响业务以及不是快速占满磁盘的情况下,就可以慢慢着手解决问题。以下是比较常用的步骤。
在Linux系统中,任何东西都是以文件形式存在的,包括目录和设备在内,它们都拥有读取、写入和执行权限(需配置)。当管理员在设置文件权限时,必须根据Linux用户的具体情况来进行设置。
在Linux操作系统中,tmp目录是一个临时目录,用于存储临时文件。这个目录通常位于根目录下,命名为/tmp。本文将详细介绍Linux中的tmp目录,包括它的作用、权限、使用方法和安全性等方面。
这条命令的作用是将标准输出1重定向到/dev/null中。 /dev/null代表linux的空设备文件,所有往这个文件里面写入的内容都会丢失,俗称“黑洞”。那么执行了>/dev/null之后,标准输出就会不再存在,没有任何地方能够找到输出的内容。
近日,腾讯云安全团队监测到部分云上及外部用户机器存在安全漏洞被入侵,同时植入 watchdogs 挖矿病毒,出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器。攻击者主要利用 Redis 未授权访问入侵服务器并通过内网扫描和 known_hosts 历史登录尝试感染更多机器。(对此,腾讯云安全团队第一时间发布了病毒预警——预警 | 中招 watchdogs 感染性挖矿病毒,如何及时止损?)
用来查看基于HotSpot JVM里面所有进程的具体状态, 包括进程ID,进程启动的路径等等。与unix上的ps类似,用来显示本地有权限的java进程,可以查看本地运行着几个java程序,并显示他们的进程号。使用jps时,不需要传递进程号做为参数。
这里我们用官方的源就行了,不需要更改。kali自2020版以后,源会根据所在国家地理位置自行选择合适的源进行下载。网上的教程都是好几年前的,有些软件你没法正常安装的原因就是用了过时的源! 官方源
在使用docker时,往往会出现磁盘空间不足,导致该问题的通常原因是因为docker中部署的系统输出了大量的日志内容。
前几天同事问我一个问题,说在unix环境下有个目录下的文件/文件夹太多了,已经报了开始报系统错误了,客户希望能够定时进行这些目录的清理。 我连到那个环境去查看,ls都需要等待很长时间没有反应,最后尝试使用find命令,根据文件名来查找的时候反应才相对要快一些。 同事计划使用crontab来实现。 使用的命令大体如下: 59 23 1 1,4,7,10 * find /xxxx/tmp -mtime +90 -type d -print|xargs rm –rf 其中关键的地方是使用了xargs,根据我之
最近做易生信培训时新购了一块阿里云,用于演示分析流程搭建和配置。短期使用,上面没有数据,也没做什么防范,结果不曾想,被挖矿病毒盯上了,给了一个近距离接触病毒的机会。
我们时常会有一些定期定时的任务,如周期性的清理一下/tmp,周期性的去备份一次数据库,周期性的分析日志等等。而且有时候因为某些因素的限制,执行该任务的时间会很尴尬。本课程将带你很好的利用 Linux 系统的计划工具
公司服务器tomcat经常自动挂掉,具体原因无法找到。所以做了这次调整。让Linux自动检测tomcat是否宕机
首先是来自服务器的硬盘告警,DBA上去转了一圈,说是系统根目录有一个mysql的临时目录/tmp,这个目录存在mysqld已经删除但是没有释放资源的文件,他没有办法恢复,从log中找不到任何蛛丝马迹,找了两个业务,查了一遍服务,也没有发现异常的点,问题逐渐演变成:
在这现代的岁月,数码世界日益发展,凡是涉及计算,必然离不开那浩如烟海的数据,庞大如巨鲸的文件。若将目光转向我们的服务器,尤其是 Linux 服务器,垃圾文件的积累便如那墙角的蛛网,初时无人觉察,久之则令人难以忍受。清理这些垃圾文件,虽说并非什么艰深的技术,但若处理不当,则可能殃及系统稳定,亦或是误删了重要文件,令人扼腕叹息。今儿个,咱们就来聊聊,如何在 Linux 服务器上安全地清理垃圾文件。
一个redis 程序占用cpu 46%,虽然redis-server 有定时清理过期的键,但也不会占用这么高的CPU吧,一般都是0.3% 看看这个进程什么鬼 systemctl status 14561 然后找到了它的父亲进程
今天给各位渗透测试同行们提供一种Linux提权方法,在这篇文章中,我们将介绍如何使用Cron Jobs来实现Linux下的权限提升,并获取远程主机的root访问权。
https://github.com/pedroqin/shell_script/tree/master/linux_recycle_bin
shell 是一个应用程序,它连接了用户和 Linux 内核,让用户能够更加高效、安全、低成本地使用 Linux 内核,这就是 shell 的本质。
在使用Linux外部源代码编译PetaLinux工程时,遇到错误“.kernel-meta/bsp_definition: Directory nonexistent”。执行“petalinux-build -x mrproper -f”清理PetaLinux工程,并且在Linux外部源代码目录执行“make mrproper”清理Linux外部源代码,再次编译PetaLinux工程,也遇到同样错误。
病毒总是层出不穷,每天都能遇到很多主机因为没有做好安全防护被入侵的情况,本文来根据DbSecuritySpt来讲解下病毒处理过程。
由于PHP的工作机制,它并没有一个daemon线程,来定时地扫描session信息并判断其是否失效。当一个有效请求发生时,PHP会根据全局变量 session.gc_probability/session.gc_divisor(同样可以通过php.ini或者ini_set()函数来修改) 的值,来决定是否启动一个GC(Garbage Collector)。默认情况下,session.gc_probability = 1,session.gc_divisor =100,也就是说有1%的可能性会启动GC。
Github地址:https://github.com/grantjenks/python-diskcache
/etc/ld.so.preload 被加载了木马so文件,需要先清理ld.so.preload 动态加载项
Linux作为许多服务器和网络环境的核心,具备高度的灵活性和强大的功能。本指南旨在深入介绍Linux系统中常用的命令和日志文件,帮助安全运维人员更有效地管理和保护Linux环境。
root用户讲可执行文件进行编译,保证文件的正常授权运行,给予ROOT权限执行 domo.c
因为burp代理一直挂着的,此时burp被动爬取网站目录,可以看到有cdn-cgi下有一个login 访问一下
由于Linux没有回收站功能,所以线上服务器上所有要删除的文件都会先移动到系统/tmp目录下,然后定期清除/tmp目录下的数据。这个策略本身没有问题,但是通过检查发现这台服务器的系统分区中并没有单独划分/tmp分区,这样/tmp下的数据其实占用了根分区的空间。既然找到了问题,那么删除/tmp目录下一些占空间较大的数据文件即可,检查/tmp下最大的三个数据文。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
