.如果一台linux服务器中了botnet病毒,该如何排查

1、病毒木马排查。

11、使用netstat查看网络连接，分析是否有可疑发送行为，如有则停止。

在服务器上发现一个大写的CRONTAB命令，然后进行命令清理及计划任务排查。

(linux常见木马，清理命令chattr -i /usr/bin/sshd; rm -f /usr/bin/sshd; chattr -i /usr/bin/swhd; rm -f /usr/bin/swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;）

12、使用杀毒软件进行病毒查杀。

2、服务器漏洞排查并修复

21、查看服务器账号是否有异常，如有则停止删除掉。

22、查看服务器是否有异地登录情况，如有则修改密码为强密码（字每+数字+特殊符号）大小写，10位及以上。

23、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。

24、查看WEB应用是否有漏洞，如struts, ElasticSearch等，如有则请升级。

25、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。

26、查看Redis无密码可远程写入文件漏洞，检查/root/ssh/下黑客创建的SSH登录密钥文件，删除掉，修改Redis为有密码访问并使用强密码，不需要公网访问最好bind 127001本地访问。

27、如果有安装第三方软件，请按官网指引进行修复。

　　VSFTP是一个FTP服务器软件，如果报错：530 Permission denied。可按下列步骤进行故障排除：

1首先检查系统是否开启了vsftp服务，如果没有开启，先开启该服务。

　　方法1setup--系统服务--自启动服务

　　方法2界面设置，service vsftpd restart

2查看配置

　　vsftpd的配置，配置文件中限定了vsftpd用户连接控制配置。

　　vsftpdftpusers：位于/etc目录下。它指定了哪些用户账户不能访问FTP服务器，例如root等。

　　vsftpduser_list：位于/etc目录下。该文件里的用户账户在默认情况下也不能访问FTP服务器，仅当vsftpd conf配置文件里启用userlist_enable=NO选项时才允许访问。

　　vsftpdconf：位于/etc/vsftpd目录下。来自定义用户登录控制、用户权限控制、超时设置、服务器功能选项、服务器性能选项、服务器响应消息等FTP服务器的配置。

3配置修改完成后，执行service vsftpd restart重启vsftpd服务。

　　上面就是Linux下出现530 Permission denied报错的解决方法介绍了，当你在进行vsftp操作时出现该报错可使用上面的方法解决，先排除故障配置查看配置，修改配置重启vsftpd即可。

掉包表现为request time out

time=200ms只是网络延时为200ms

TTL=50就是Time To Live值为50。没过一路由器值减一。值减为0时网络将该包丢弃。好像Linux/Unix系统TTL初值为64。很有可能被测主机为Linux/Unix系统

网络故障是在所难免的，重要的是应快速隔离和排除故障。网吧的维护人员应该具备基本的网络知识，能够解决一些常见的网络问题。本文列举几种常见的网络故障问题分析一下，希望能够提高大家的分析能力和解决故障的能力。

　　故障一、100Mb的局域网速度没有10Mb的局域网速度快

　　具体表现：由于所有工作站都是10-100Mb自适应网卡，而原来的全部采用的是10Mb的交换机，现将网络升级一下，全部换成100Mb交换机，发现交换机更换后，速度还没有原来快。部分机器甚至不能上网。

　　故障分析：我们用ping命令ping一下该局域网的网关，发现掉包现象严重，用测线仪检查一下双绞线，发现一切正常。检查一下网线时，发现网线是原来用的三类线，不支持100Mb的网络。由于我们在网络升级的时候，只升级了网络交换设备，忽视了升级传输介质——网线。

　　解决办法：更换网线

　　说明：大家在升级网络的时候，一定要检查一下自己的配套设备如网卡、网线是否支持100Mb的网络工作环境，不要盲目升级其中一项，造成小马拉大车的不配套现象。要根据自己的资源，合理利用。对于目前的网络，大家在布线时，不如一步到位，选购安普（AMP）超五类网线，一是方便日后的升级，二者也可以使自己的网络速度得到稳定。

　　故障二、新开的网吧，经常掉线或者无法登录网络

　　具体表现：一家新开的网吧，面积三百平方，五十台机器，配备了专用的机房，放置交换机和服务器。结果发现机器调试时，经常掉线或者无法登录网络。

　　故障分析：用ping命令检查时，发现严重丢包和超时，网络全部用测线仪测试，一切正常。无意中发现从交换机到工作的距离太长，仔细测量了一下距离，100米。双绞线的传输距离一般不超过100米，实际传输距离在95米左右。网吧业主只为了追求高档，配备了专用的机房，却忽视了网线传输距离的极限。

　　解决方法：将交换机的位置重新安置。

　　说明：在综合布线时，一定要将交换机的位置选择好，中心交换机最好放在网吧的中心位置。下面的交换机也应该放在所连接的计算机的中心。这样的安置方法，一是节约网线，二是可以使网络达到最佳的传输状态。

　　故障三、IP地址与地址串发生冲突

　　具体表现：所有机器，IP地址在网络中设置是唯一，总有两台机器，在启动的时候，出现一个地址与IP地址冲突与一串地址冲突。更改IP地址后依旧。而且在冲突时，只有一台机器可以上网。

　　故障分析：仔细看了一下冲突的提示，是一串地址，会不会是物理地址冲突呢，也就是MAC地址冲突导致的呢？但总不能每台每台查找吧。用IPbook超级网上邻居吧，朋友提示到。用IPbook超级网上邻居，扫描整个网络段，结果发现两台机器的网卡的MAC地址是完全相同的。

　　解决办法：更换网卡。更换网卡后，问题解决。

　　说明：所有工作在网络中的网络设备，包括网卡、交换机、路由器都有一个物理地址，叫MAC地址。MAC地址包含了该网络设备的厂商和在全球网络设备中唯一的序列号。所有的网络数据交换，都是基于MAC地址的交换，而不是基于IP地址的交换。因此，假如MAC地址冲突，IP地址不冲突的话，也会造成网络中断,因为数据找不到终点。因此，大家在购买网卡的时候，一定要买正品，不要为了贪图便宜，买了次品。假如是网卡MAC地址冲突，更换一块，还是小事。假如是交换机发生MAC地址冲突，那你就麻烦大了。

　　故障四、100Mb的网络网络速度不稳定

　　具体表现：网卡采用10-100Mb自适应网卡，交换机为全双工10-100Mb交换机。在上网的时候，网络速度时快时慢

　　故障分析：用ping命令检查的时候，也没有掉包现象，一切正常，偏偏下速度不正常。检查了网络设置，也正常。后来仔细看了一个交换机的指示灯，发现交换机老是在10Mb和100Mb两种工作状态下转换。问题搞定了。

　　解决方法：发现问题了，如何不让他自动切换工作状态呀。仔细看了机器中网卡的属性，值中指定的速度是AUTO，我把他改成100Mb Full后。测试了一下，一切正常了。

　　说明：一些网络问题的发生，要首先检查一下所有的网络设备，然后分析一下原因，相信解决问题的速度会很快的。

　　故障五、网络中所有机器全部IP地址冲突

　　具体表现：机器启动后，所有的机器出现IP地址冲突。检查了一下IP地址设置，没有重复。工作使用WinXP操作系统。

　　故障分析：所有的工作站开机后，进入桌面，自动弹出IP地址冲突的提示，而每台客户机使用的是固定的IP地址，没有地址冲突。于是决定在XP的DOS下查看一下网络配置。运行了一下ipconfig /all,发现网络中有一个DHCP服务器在运行，给这台机器动态分配的IP地址与其他机器的IP地址发生了冲突。说明一下，DHCP服务器是网管在进行网络克隆时，为了方便建立的。结果网络克隆结束后，忘记把服务停止了。

　　解决方法：1、把DHCP服务器关闭 2、把DHCP服务的IP地址池更改一下，排除所有正在使用的固定的IP地址。

主要是硬盘~~和BIOS设置问题~~最好在BIOS里设置硬盘启动

硬件问题。

一个镜像阵列的磁盘失效或没有响应，该阵列仍然工作，但故障容错已关闭。

1关闭电源，并替换失效的驱动器。

2取消镜像关系。

3选择替换的驱动器并重建。

4继续启动

应该是有个硬盘坏了，换吧。

当然也有可能是误报，可以尝试断电后把所有硬盘拔插一次重新开机。如果还是显示这个错误信息，那就只能换硬盘了。

你试试重新加载BIOS。大概是掉电引起的吧。如果再找不到硬盘之类再换个接口试试。他们能翻译出来比我好点，但愿我的回答对你有帮助