无法向会话状态服务器发出会话状态请求。请确保 ASP.NET State Service (ASP.NET 状态服务)已启动，并且客户端端口与服务器端口相同。如果服务器位于远程计算机上，请检查 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aspnet_state\Parameters\AllowRemoteConnection 的值，确保服务器接受远程请求。如果服务器位于本地计算机上，并且上面提到的注册表值不存在或者设置为 0，则状态服务器连接字符串必须使用“localhost”或“127.0.0.1”作为服务器名称。

无法连接 StateService 的原因有很多种，我遇到的情况是：

VS 中使用 IISExpress 调试项目，系统没有安装 IIS，

ASP.NET 状态服务是开启状态，

没有对系统作任何修改，无缘无故无法连接。

修改注册表、配置防火墙无效（我没有用到远程连接），

执行 aspnet_regiis -i -enables 无效，

重装 .NET Framework 4.8 Developer Pack 无效，

差点就重装系统了。

最终的解决方法是：

在“启用或关闭 Windows 功能”中勾选安装：Internet Information Services -> 万维网服务 -> 应用程序开发功能 -> ASP.NET 4.8

重启系统。

〓 系统

功能	命令	--help	示例
关机	halt		halt
重启	reboot		reboot
系统监视器	top	系统时间, 运行天数, 当前登录用户数, 系统负载 总进程数, 运行中的, 睡眠的, 停止的, 未响应的 Cpu(s):us 用户, sy 系统, ni XX, id 空闲, wa 等待, hi XX, si XX Mem, 已使用, 空余, 缓冲 Swap, 已使用, 空余, 缓冲 快捷键： M 按占内存排序 P 按占Cpu排序 1 显示每个 Cpu k 杀死进程 q 退出	top
查看进程	ps	aux -ef	列出包含 java 的进程 ps aux |grep java  ps -ef |grep java
查看内存及 Swap 用量	free	-b,-k,-m,-g 按单位显示	free -m
查看系统时间	date	显示 CST 时间 -R 显示时区 -u 显示 UTC 时间	date
查看硬件时间	clock		clock
设置系统日期			date -s 月/日/年
设置系统时间			date -s 时:分:秒
将系统时间写入到硬件时间			clock -w
查看系统版本			cat /etc/*release
升级系统软件			yum update -y

〓 文件

功能	命令	--help	示例
进入目录	cd		cd .. # 上一层目录 cd /root # 根目录
列出目录	ls	白色：表示普通文件 蓝色：表示目录 绿色：表示可执行文件 红色：表示压缩文件 浅蓝色：链接文件 红色闪烁：表示链接的文件有问题 黄色：表示设备文件 灰色：表示其他文件	ls
创建目录	mkdir		mkdir XXX
删除目录	rm		rm -rf XXX
删除文件	rm		rm XXX
复制文件	cp		cp XXX YYY
复制目录	cp	-r 复制目录及目录内的所有项目 -v 详细显示进行的步骤	cp -rv XXX YYY
重命名文件	mv	-i: 若指定目录已有同名文件，则先询问是否覆盖旧文件; -f: 在mv操作要覆盖某已有的目标文件时不给任何指示;	mv 源文件 目标文件
移动文件	mv		mv 一个或多个文件 目标目录
下载文件	wget	下载到当前目录	wget http://XXX.tar.gz
计算文件/目录的磁盘用量	du	-a 不仅显示目录，同时显示文件 -h 容易阅读方式显示 --max-depth=N 可指定计算深度	du -ah --max-depth=1 | sort -n
查找文件	find		find /home -name *.apk

〓 tar

功能	命令	--help	示例
tar	tar	-z 是否压缩 -c 打包 -x 解包 -v 详细地列出处理的文件 -f	打包：tar -cvf abc.tar abc 解包：tar -xvf abc.tar 压缩打包：tar -zcvf abc.tar.gz abc 解压解包：tar -zxvf abc.tar.gz

〓 磁盘

功能	命令	--help	示例
查看所有磁盘及分区	fdisk -l		fdisk -l
查看当前挂载	df	-h 按可阅读的方式打印数值和单位 -T 显示文件系统类型	df -hT
管理磁盘分区	fdisk /dev/***	进入后的操作说明： m 显示命令菜单 d 删除一个分区 n 创建一个分区（e 扩展分区；p 主分区） t 改变分区ID q 不保存退出 w 保存退出	fdisk /dev/vdb
格式化分区	mkfs.*** /dev/***N		mkfs.xfs /dev/vdb1
挂载分区	mount /dev/***N /***		mount /dev/vdb1 /www
卸载分区	umount /dev/***N		umount /dev/vdb1
开机自动挂载	vi /etc/fstab	配置文档格式：设备 挂载点 文件系统类型 defaults 0 0	打开：vi /etc/fstab 配置：/dev/vdb1 /www xfs defaults 0 0

〓 网络

功能	命令	--help	示例
查看 IP 配置	ifconfig		ifconfig
配置网卡 IP		配置文件目录：/etc/sysconfig/network-scripts/ 配置文件格式： DEVICE=eth0 / eth0:0 / ... # 在配置多线时若使用 cp 命令复制配置文件，必须修改此项以防止冲突 HWADDR=XX:XX:XX:XX:XX:XX # 网卡地址 TYPE=Ethernet # 以太网 UUID=******** ONBOOT=yes # 开机启动 NM_CONTROLLED=yes BOOTPROTO=static # 使用静态 IP IPADDR=192.168.1.2 # IP 地址 NETMASK=255.255.255.XXX # 子网掩码 GATEWAY=192.168.1.1 # 网关 DNS1=114.114.114.114 DNS2=8.8.8.8	vi ifcfg-XXXN(:N)
重启网卡		使配置生效	service network restart

〓 防火墙

功能	命令	--help	示例
配置 iptables		添加需要允许的端口的方法同 22 端口	vi /etc/sysconfig/iptables
重启使配置生效			service iptables restart

〓 用户/权限

功能	命令	--help	示例
添加用户	useradd	-g 组名 # 加入到该组 -s /bin/false #不允用户直接登录系统	useradd –g 组名 用户名 -s /bin/false
修改密码	passwd		passwd 用户
查看所有用户			cut -d : -f 1 /etc/passwd
查看可以登录系统的用户			cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1
删除用户		-r, --remove                  remove home directory and mail spool	userdel 用户
添加用户组	groupadd		groupadd 组名
为组添加用户（用户必须已存在）	gpasswd		gpasswd -a 用户 组
将用户移出组	gpasswd		gpasswd -d 用户 组
查看用户所属组	groups		groups 用户
查看组中有哪些用户	groupmems		groupmems -g 组 -l
更改文件/目录所有者	chown	-R 递归处理所有的文件及子目录	chown -R 用户:组 ***
更改文件/目录权限	chmod	-R 以递归方式更改所有的文件及子目录	chmod -R 777 ***

〓 vi 编辑器

功能	命令	--help	示例
打开文件	vi		vi XXX
进入编辑模式		按 a/i/o/Insert 等
进入末行模式/命令模式		按 Esc后： :w 保存不退出 :q 退出（提示是否保存） :wq 保存并退出 :w XXX 另存到文件 XXX :q! 不保存退出

〓 计划任务

功能	命令	--help	示例
设置计划任务	crontab	详细步骤见本页底部	crontab -l # 查看计划任务 crontab -e # 编辑计划任务

〓 网站

功能	命令	--help	示例
简单审查日志	cat | grep		cat 日志文件 | grep 关键词1 | grep 关键词2 | more
日志分析	goaccess		见下文

〓 goaccess

功能	命令	--help	示例
安装	yum install goaccess
日志格式	NCSA Commbined Log Format		date_format %d/%b/%Y log_format %h %^[%d:%^] "%r" %s %b "%R" "%u"
参数	-f	需要解析的日志文件
参数	-e	指定 IP 地址统计
参数	-p	指定配置文件	可以将上面的日志格式内容保存到文件 ~/.goacessrc
参数	-H	显示 HTTP 协议信息
参数	-M	显示 HTTP 方法信息
生成文件			goaccess -f 日志文件 -p ~/.goaccessrc > 目标文件.htm

〓 lnmp

功能	命令	--help	示例
重启 LNMP			/root/lnmp restart
重启 MySQL			/etc/init.d/mysql restart
重启 PureFTPd			/root/pureftpd restart
安装 LNMP		http://lnmp.org/install.html
常见问题		http://lnmp.org/faq.html
状态管理命令		http://lnmp.org/faq/lnmp-status-manager.html
相关软件目录及文件位置		http://lnmp.org/faq/lnmp-software-list.html
防跨站、跨目录安全设置（仅支持 PHP 5.3.3 以上版本）		http://www.vpser.net/security/lnmp-cross-site-corss-dir-security.html
查看 Nginx 版本			nginx -V
查看 MySQL 版本			mysql -V
查看 PNP 版本			php -v
查看 Apache 版本			httpd -v
查内存			cat /proc/meminfo
php.ini			vim /usr/local/php/etc/php.ini
MySQL 配置文件			vim /etc/my.cnf
添加网站			/root/vhost.sh
添加 ProFTPd 用户			/root/proftpd_vhost.sh

〓 nginx

功能	命令	--help	示例
启动/停止/重启	service nginx 或 /etc/rc.d/init.d/nginx		service nginx start service nginx stop service nginx restart
伪静态	在 .conf 文件中配置		rewrite ^(.*)/read-htm-(.*)\.html(.*)$ $1/read.php?$2.html? last; rewrite ^(.*)/thread-htm-(.*)\.html(.*)$ $1/thread.php?$2.html? last; rewrite ^(.*)-htm-(.*)$ $1.php?$2 last; rewrite ^(.*)/simple/([a-z0-9\_]+\.html)$ $1/simple/index.php?$2 last; rewrite ^(.*)/data/(.*)\.(htm|php)$ 404.html last; rewrite ^(.*)/attachment/(.*)\.(htm|php)$ 404.html last; rewrite ^(.*)/html/(.*)\.(htm|php)$ 404.html last;
防盗链	在 .conf 文件中配置	HttpRefererModule	location ~* \.(gif|jpg|png|swf|flv)$ { valid_referers none blocked *.0574bbs.com *.eyuyao.com 0574bbs.com eyuyao.com; if ($invalid_referer) { rewrite ^/ http://web1.eyuyao.com/yyad/src/3122.jpg; # return 404; } }
浏览器缓存	在 .conf 文件中配置		location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; }

〓 vsftpd

功能	命令	--help	示例
安装			yum install vsftpd
查看是否已安装			rpm -q vsftpd
启动/停止/重启	service vsftpd		service vsftpd start service vsftpd stop service vsftpd restart
配置文件			vi /etc/vsftpd/vsftpd.conf

〓 MySQL

功能	命令	--help	示例
登录	mysql		mysql -u username -p
登出			exit
查看信息			status;
查询当前正在执行的 SQL 语句			show processlist;
删除指定时间之前的日志	PURGE		PURGE MASTER LOGS BEFORE '2015-1-1 0:00:00';

〓 scp 远程文件/目录传输命令 (yum install openssh-clients) 用法

scp 会把文件权限（读取/写入/执行）带过来，但所有者为当前执行 scp 命令的用户。

scp 低版本有许多漏洞，用完最好 yum remove openssh-clients

scp 采用直接覆盖的机制，如需判断文件无差异则跳过，应改用 rsync 命令。查看 rsync 详细使用方式及与 scp 对比

功能	命令	--help	示例
若远程服务器 SSH 端口非默认	scp	-P 端口号
下载远程服务器上的文件到本地	scp		scp 远程用户@远程服务器:远程文件 本地文件
下载远程服务器上的目录到本地	scp	-P 端口 -v 显示进度 -r 递归	scp -r 远程用户@远程服务器:远程目录 本地目录 实例：scp -r root@x.x.x.x:/a/b/ /c/d/ 结果：/c/d/b/，即将整个 b 复制到 d 下（注意与 rsync 命令的区别）
将本地文件上传到远程服务器	scp		scp 本地文件 远程用户@远程服务器:远程文件
将本地目录上传到远程服务器	scp	最终目录结构参：远程->本地	scp -r 本地目录 远程用户@远程服务器:远程目录

〓 rsync 远程文件/目录传输命令 (yum install rsync) 用法查看 rsync 详细使用方式及与 scp 对比

rsync 会把文件权限（读取/写入/执行）带过来，所有者也会带过来。

相比于 scp 最大的优势就是可以增量同步

功能	命令	--help	示例
下载远程服务器上的目录到本地	rsync	-a 递归 -v 详细 -p, -- perms 保持权限 -g, -- group 保持属组 -o, --owner 保持属主 -r 递归 --progress 打印 --delete 删除已不存在的文件 -u 表示仅更新较新的文件 -z 表示在传输过程中进行压缩 -e 'ssh -p 2222' 指定其它端口	rsync 远程用户@远程服务器:远程目录 本地目录 实例：rsync -avu --progress root@x.x.x.x:/a/b/ /c/d/ 结果：/c/d/，即将 b 内的文件(夹)复制到 d 下（注意与 scp 命令的区别）
将本地文件上传到远程服务器	rsync		rsync 本地文件 远程用户@远程服务器:远程文件
将本地目录上传到远程服务器	rsync	最终目录结构参：远程->本地	rsync 本地目录 远程用户@远程服务器:远程目录

〓 ftp 客户端 (yum install ftp)

功能	命令	--help	示例
登录	ftp		ftp 目标服务器
列出远程当前路径目录/文件	ls		ls
创建远程目录	mkdir		mkdir 目录名
删除远程目录（空）	rmrmdir		mkdir 目录名
进入远程目录	cd		cd 目录名
显示远程当前路径	pwd		pwd
重命名远程文件	rename		rename 原文件名 新文件名
上传文件	put		put 本地文件名
下载文件	get		get 远程文件名
批量下载文件	mget	需要单个确认
批量下载文件【lftp】	mirror	参数有很多	mirror
返回 shell（不退出）	!		!
返回 ftp（接上步）	exit ftp		exit ftp
结束	bye quit		bye quit

〓 iftop

流量监控工具 教程 

〓 GoAccess

实时网站日志分析工具 官网 

〓 Cacti

网络流量监测图形分析工具 官网  百科 

常见问题笔记

加硬盘

• 插入新硬盘

• 若有 RAID，则先设置，使操作系统能认到硬盘

• 使用 fdisk 命令对新设备进行分区

• 使用 mkfs 命令对新分区进行格式化

• 使用 mount 命令进行挂载

• 设置开机自动挂载（vi /etc/fstab）

更改 MySQL 数据库目录位置

• 停止 MySQL 服务

• 将原数据目录转移或复制到新位置（若是复制，则修改所有者使原来一致）

• 找到 my.cnf 配置文件（一般在 /etc/），修改 datadir 值为新路径

• 启动 MySQL 服务

502 Bad Gateway 问题排查

• 查看 PHP 日志，路径：/usr/local/php/var/log

• 一般为“server reached pm.max_children setting (10), consider raising it”连接数问题，在“/usr/local/php/etc”下的所有配置文件中查找并修改相关设置即可（如改成 1000）。

计划任务（实例：定时备份数据库并通过 FTP 同步至其它服务器）

• 创建可执行文件：vi dotask.sh

• dotask.sh 的内容示例：
  

  DATE_TIME=`date +%Y_%m_%d_%H%M%S`;
  FILE_NAME=数据库名_backup_$DATE_TIME.sql;
  cd /home/mysqlbackup/;
  mysqldump -u数据库用户名 -p数据库密码 数据库名>$FILE_NAME;
  tar -zcf $FILE_NAME.tar.gz $FILE_NAME;
  rm $FILE_NAME;
  
  ftp -v -n FTP地址 << END
  user FTP用户名 FTP密码
  bin
  put 本地目录文件 目标路径文件
  bye
  END
  

  
  文件名乱码问题可以在行末加“;”来解决

• 赋予执行权限：chmod 777 dotask.sh （ls 命令时呈绿色）

• 编辑计划任务：crontab -e

• crontab 书写规则：
  

  # 分 时 日 月 周 文件路径
  0 3 * * * /home/dotask.sh
  30 4 * * * /home/dotask2.sh
  

  
  更多帮助 

• 重启 crond：/etc/init.d/crond restart

netstat

• netstat -an | grep xxx.xxx.xxx.xxx 可查看此 IP 的 TCP 请求及端口

安装过程就不介绍了，主要记一下被动模式和端口开放设置。

FileZilla Server 默认以 21 端口安装，阿里云的安全组配置“入方向”规则：

协议类型：自定义 TCP，端口范围：21/21，授权对象 0.0.0.0/0

如果要配置“被动模式”，那么在 FileZilla Server 菜单中选择“Edit”- Settings

切换到“Passive mode settings”，打勾“Use custom port range”，并填写端口范围，譬如 30000-40000，确定。

同样在阿里云安全组中配置“入方向”规则：

协议类型：自定义 TCP，端口范围：30000/40000，授权对象 0.0.0.0/0

这样就可以使用被动模式连接了。

如果无法连接，可尝试打开 Windows Server 2016 的“服务器管理器”，选择右上角“工具”-“高级安全 Windows 防火墙”-“入站规则”-“新建规则”，将上述端口设为允许连接。

本文不定时更新！

A： MySQL 执行 SHOW FULL PROCESSLIST 

Q： 查看连接数和慢查询，适用于 MySQL 数据库无法连接 1040

A： iftop -i eth0

Q： 查看占用带宽的IP（命令：iftop -i eth0 -F ip/24），添加到安全组、防火墙、宝塔的黑名单中。

命令 grep -l "x.x.x.x" /www/wwwlogs/*.log 可以在 wwwlogs 目录下的所有 .log 文件中查找指定的恶意 IP。

A： goaccess -f xxx.log

Q： 实时分析网站日志，查看请求最多的IP

A： net.xoyozo.weblog 日志分析工具

Q： 自制的 Web 日志分析工具，可按多种方式排序，纠出可疑访问

A： 重启 web 服务器

Q： 有时候能解决 CPU 和内存消耗的问题，如果一会儿又升高，则需要找另外的原因

Q： 500 服务器内部错误

502 Bad Gateway

504 Gateway Time-out

A： 查看 php 日志，可能的路径：

/usr/local/php/var/log/php-fpm.log

/www/server/php/[版本]/var/log/php-fpm.log

Q： RDS MySQL IOPS 使用率高的原因和处理

A： 根据时间点查看慢查询

Q： Discuz! 论坛界面错乱、表情不显示、模块缺失、登录失败、发帖失败等等

A： 进入管理中心 - 工具 - 更新缓存，能解决大部分问题

Q： Discuz! 浏览帖子提示“没有找到帖子”

A： 进入数据库，修复表 pre_forum_post 或分表

Q： CPU 100% 或内存 100%，负载100+

A： 原因有很多，以下是一些建议：

Windows 在任务管理器中查看进程

当前是否有正常的大流量访问（譬如民生类论坛的某个帖子突然火了）特别是重启无效的情况

对比网站日志大小可大致确定哪个网站被大量恶意请求。

观察：命令 top

排查：通过关闭网站来确定是某网站的问题，通过关闭功能确定是某功能的问题，如果 nginx 崩溃请参下条

案例：通过修改 mobcent 文件夹名确定是安米的文件被疯狂请求导致的，更新插件和 mobcent 包解决问题。

如果都是正常访问，top 看到很多 php-fpm，而且个个占用 CPU 还不小，那么根据服务器硬件配置来修改 php 的并发量，如宝塔面板在 php 设置 - 性能调整 页，300 并发方案的推荐配置是：

max_children：300
start_servers：30
min_spare_servers：30
max_spare_servers：180

另外，memcached 或 redis 的配置也可以进行相应的修改。

另一个案例是 kswapd0 进程占满 CPU，原因是内存不足导致 swap 分区与内存频繁交换数据。同样调整 php 的设置即可。

也可以通过 iftop 来查询占用带宽较多的 IP 并封禁（出方向），如果 CPU 能降下来，那这个 IP 就是罪魁祸首。

Q： 阿里云 ECS 的 CPU 突然达到 100%，并持续到次日 0:00 左右

A： 可能 ECS 是 t5 规格，受 CPU 积分制度限制，积分耗尽时 CPU 不工作。解决方法是更换其它规格产品或升配。

Q： ASP.NET 所在服务器 CPU 突然达到 50% 或 100%，并持续

A： 首先确定哪个网站，再依次排查网站各功能。可能是 HttpWebRequest 请求远程数据时长时间未返回结果导致的程序阻塞。

Q： nginx 服务停止

A： 查看 nginx 日志

WDCP 路径：/www/wdlinux/nginx-1.0.15/logs/error.log

Q： 公网出带宽 100%，其它指标正常

A： Windows 在任务管理器-性能-资源监视器-网络 查看占用带宽的进程PID，然后在任务管理器-详细信息中的找到对应的用户（如果为每个网站分别创建了用户，就能知道是哪个网站占用了带宽）；如果是被 PID 为 4 的 System 占用大部分带宽，也可以尝试重启 IIS 来解决。

CentOS 使用 nethogs 查看占用带宽的进程PID和USER，如果为每个网站分别创建了用户，就能知道是哪个网站占用了带宽，否则只能一个个关闭网站来判断，不知道大家有没有好的方法？当然还可以直接用 iftop 命令查看占用带宽的 IP。另外，查看每个网站在那个时间段的日志文件的大小也能大概看出是哪个网站被采集了。

A： Linux 显示每个用户会话的登入和登出信息

utmpdump /var/log/wtmp

参考：http://www.tulaoshi.com/n/20160331/2050641.html

Q： RDS 的 CPU 100%

A： 如果是突然持续占满（同时伴随 ECS 资源使用率下降，页面出现 502），很大可能是受攻击（或社交网站推送突发事件等），查看“慢查询”，添加相关索引；如果是 Discuz! 论坛，可尝试修复优化表 pre_common_session。

如果是数日缓步上升，或新项目上线，考虑 SQL 慢查询，思路：MySQL / SQL Server。

MySQL：SHOW FULL PROCESSLIST

SQL Server：sp_who

Q： php 网站的服务器，内存在数天内缓慢上升

A： 大概是 php-fpm 占用过多，或进程数太多

更改 php 的配置（如 max_spare_servers），执行：service php-fpm reload

Q： 进程 cloudfs 占用内存过多

A： 参：https://xoyozo.net/Blog/Details/cloudfs-cache

Q： RDS 磁盘占用过大

A： 参：https://xoyozo.net/Blog/Details/how-to-use-rds

Q： ECS 受到 DDoS 攻击怎么办？

A： 参：https://xoyozo.net/Blog/Details/aliyun-ddos-without-bgp

Q： 如果 ECS 和 RDS 各项指标都没有异常，但网页打开慢或打不开502，TTFB 时间很长，是什么原因？（ECS 的 CPU 100%，RDS 的连接数上升，也可参考此条）

A： 数据库有坏表，尝试优化/修复表（慢 SQL 日志中锁等待时间较长的表？），或主备切换。show full processlist 时看到许多

DELETE FROM pre_common_session WHERE  sid='******'  OR lastactivity<******  OR (uid='0' AND ip1='*' AND ip2='*' AND ip3='*' AND ip4='*' AND lastactivity>******)

Q： Discuz! 创始人(站长)密码被改

A： 数据库找到 pre_ucenter_members 表，复制其它的已知登录密码的账号，复制其 password 和 salt 两个字段的值到创始人账号中，创始人账号即可用该密码登录了。

Q： 通过 iftop 观察到，Discuz! 网站从 RDS 数据库到 ECS 网站服务器私网流量非常大，远大于公网流量

A： 可能是缓存出问题了，尝试卸载重装 Redis 来解决。

Q： 宝塔面板中安装的 Redis 经常自动停止

A： 尝试卸载重装 Redis 来解决。

Q： 马甲客户端出现“您的网络有些问题”

A： 原因有许多，其中一个就是新建了一个数据表，然后 /source/class/table/ 下面丢失了对应的文件，具体可以找官方排查原因。

Q： 排查服务器安全需要检查哪些日志？

A： Web日志、登录日志（/var/log/secure）等。

Q： 带宽波形以几分钟为周期呈锯齿状波动是什么原因？

A： 该现象主要由防火墙流量管控机制与检测周期设置共同作用所致。防火墙基于预设的带宽阈值执行安全防护策略，当检测到流量峰值超过设定阈值时，将自动触发限流策略拒绝后续请求。待流量回落至安全阈值后，系统自动恢复服务访问权限。若防火墙的带宽采样检测周期设置过长（如以分钟为单位的检测间隔），将导致系统对实时流量变化的响应出现迟滞。这种周期性的检测机制会使带宽监控数据在阈值临界点附近呈现规律性的锯齿状波动特征。

优化建议：可通过调整防火墙的流量检测周期至更小时间粒度（如10-15秒），或采用动态流量整形策略，以实现更平滑的带宽控制效果。

补充说明：对于阿里云监控数据的调用，建议注意接口调用频率管控。高频调用云监控API接口将触发阿里云的API计费策略，可能产生额外的资源消耗成本。

其它案例

1. 某台 ECS 上的多个网站出现 502，查询到 CPU / 内存 / 带宽 都比平时高，但都未满。用 iftop 看到连接的一个远程 Redis 占用内网带宽非常高。尝试重启远程 Redis 未果。尝试重启 ECS 上的 nginx 未果。尝试重启 ECS 未果。进入 ECS 的宝塔面板，重启 PHP 有效。

知其然，才能使其安——王震

 

常见的攻击手法

SQL 注入

文件上传

弱口令

Nday 攻击

XSS

社会工程学

等等……

 

被黑原因总结

不知道	不及时	不在意
不知道自用系统安全动态	不及时更新系统安全补丁	不在意个人信息安全
不知道常见黑客攻击手段	不及时修复漏洞	不在意用户数据安全
不知道该如何修复	不及时排查被黑系统	不在意各种安全软件提示、提醒
不知道今后该如何防御		不在意细节

 

那些年，醉人的“三字经”

网站渗透娱乐版	针对企业的实战版
进谷歌 找注入 没注入 就旁注 没旁注 用0day 没0day 猜目录 没目录 就嗅探 爆账户 找后台 传小马 放大马 拿权限 挂页面 放暗链 清数据	搞企业 先扫描 默认密 都知道 社工库 找一找 邮箱号 先列好 九头蛇 跑一跑 搞不定 放大招 发邮件 凭伪造 没邮箱 搞网站 二级域 皆可爆 老漏洞 没修好 新漏洞 刷一票 干研发 Git 找 原代码 全都要 CDN 可以跳 防火墙 可以撬 堡垒机 可以绕 云防护 可以秒 是企业 没有哪家搞不了

 

攻击手法统计

Nday攻击：45%

漏洞攻击：35%

其他攻击：15%

0day攻击：5%

 

一些箴言

80%的安全问题都是已知的安全问题，但是能抵御已知安全问题的网站只有20%

弱口令虽然看起来很弱，但是忽视弱口令只会让你的网站变得更弱

没有百分之百的安全，你所做的一切不是为了让自己无坚不摧，只是让自己不再弱不禁风

80%的系统安全问题都是可以通过升级补丁来解决，但是能做到这点的人只有20%

SQL注入存在十几年了，依然是主流攻击手段，可见安全比的不是谁更先进，而是谁更细心

不要得罪你的开发人员，这就跟你吃饭不要得罪服务员一样，你不知道他下一秒会不会在你的菜里吐口水

 

还有一句

永远不要觉得你安装的安全防护软件真的可以保护你的安全

 

服务器安全注意事项

不安装不必要的软件

排查所有系统弱口令

关闭不常用的端口

控制目录权限

不在服务器上下载、打开非官方提供软件

不在服务器上打开他人发来的网页链接

 

如何排查暗链？

利用查看网站的源代码来检查黑链

使用站长工具“网站死链检测”功能来检查黑链

用 FTP 查看网站文件的修改时间来检查黑链

接入 webscan.360.cn 检测

 

后门排查

Windows 下，D 盾、安全狗、主机卫士

Linux 下，Seay 一句话扫描脚本、主机卫士 Linux 版

用 FTP 查看网站文件的修改时间来排查恶意后门

接入 webscan.360.cn 等在线检测

 

安全类书籍推荐

《Web 安全深度剖析》——张炳帅 著

《白帽子讲 Web 安全》——吴瀚清 著

《Web 前端黑客技术揭秘》——钟晨呜（余弦）著

《黑客攻防技术宝典 Web 实战篇》——国外某黑客 著

 

联系方式

官网：www.flsec.com

《SQL Server 2012 数据库服务搭建流程》

安装 .net 3.5 并重启！

知识一、安装，选 64 位版本，安装功能：
    实例：数据库引擎服务及子项全选，其它暂时用不到
    共享：管理工具-完整
知识NN、若实例安装到其它磁盘，确保目录有“NETWORK SERVICE”权限！！！
知识二、卸载，参：http://technet.microsoft.com/zh-cn/library/hh231731.aspx
    必须严格按照说明卸载，否则会出现卸载不干净，重装装不上的问题。
    若不幸遇上 0x851A001A，参：http://social.msdn.microsoft.com/Forums/zh-CN/8f4d5cf8-4ab8-4a37-81df-7c294f994515/sql-server-2012-install-error-851a001a
    用户名好像是：NT Service\MSSQLSERVER
知识三、18456错误：
    服务器身份验证：SQL Server 和 Windows 身份验证模式
    具体设置在：SSMS - Windows 身份验证模式 登录后 - 对象资源管理器 - 选中当前服务器 - 右键属性 - 安全性
    SQL Server 配置管理器 - SQL Server 服务 - 重启
知识四、修改端口：
    SQL Server 配置管理器 - SQL Server 网络配置 - 相应实例的协议 - TCP/IP - IP 地址 - 将所有1433改掉
    SQL Server 配置管理器 - SQL Server 服务 - 重启
知识五、sa - 登录 - 禁用
知识六、维护计划：
    开启 SQL Server 代理，并在服务里设置自动(延时)
    SSMS - 当前服务器 - 管理 - 维护计划 - 右键 维护计划向导 每天4:03:02
    工具箱-拖入：收缩数据库-重新组织索引-重新生成索引-更新统计信息-清除历史记录-备份数据库（完整）-“清除维护”任务

    编辑每项任务，在“所有用户数据库”中勾选“忽略未处理联机状态的数据库”，这是关键，如果不勾选，一旦某个数据库被设置为脱机，备份就会出错。

    在新建的维护计划上右键，执行，完成以后，右键“查看历史记录”，如有错误作相应修改
    完整备份+差异备份方式：http://www.cnblogs.com/zhangq723/archive/2012/03/13/2394102.html 从“下面我来讲一下”开始做

需要开放远程连接的，在防火墙设置允许通过的程序，如：
D:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Binn\sqlservr.exe

创建或还原数据库

一、（还原时）改：
    常规 - 目标 - 数据库(B)
    文件 - 表格“还原为”列 - 改文件名如：dbTest.mdf / dbTest_log.ldf
二、（还原时）dbTest - 安全性 -  用户 - 删除原用户，默认那些用户不要删
三、（还原后）属性 - 文件 - 数据库文件 - 逻辑名称，初始大小全是0
    如不需要日志，则：属性 - 选项 - 恢复模式 - 简单
四、安全性 - 登录名 - 新建登录名：
    常规 - 填写登录名 - SQL Server 身份验证 - 取消“强制实施密码策略” - 默认数据库
    用户映射 - 映射对应数据库 - 勾：db_owner / public （若只读则勾：db_datareader / public）
    用户映射确定后再检查一次，第一次有可能未设置成功

最小化安装 CentOS 6.4，配置网络

一条一条执行：
yum -y update
yum -y install wget
yum -y install vim
yum -y install screen
screen -S lnmp

安装 LNMP：http://lnmp.org/install.html
下载安装一条龙

不要升级各软件，以防不测

PHP 防跨站：执行一段命令，替换 vhost.sh 文件，以后添加网站就会自动添加 HOST 防跨站、跨目录的配置

更改数据库路径（/home/mysql/var）
http://bbs.vpser.net/thread-1558-1-1.html 第20条
端口（为了 pureftpd 能安装成功，还是不要改端口了）

防火墙加端口
vim /etc/sysconfig/iptables
service iptables restart

FreeTDS：使 php 支持 mssql

安装 PureFTPd
添加FTP用户时，UID和GID必须>1000，譬如添加一个xWeb组和用户：
groupadd -g 2000 xWeb
useradd -u 2000 -g xWeb -s /sbin/nologin -M userDefault
useradd -u 2001 -g xWeb -s /sbin/nologin -M userFang
useradd -u 2002 -g xWeb -s /sbin/nologin -M user2
useradd -u 2003 -g xWeb -s /sbin/nologin -M user3
然后 chown xUser:xWeb -R /home/wwwroot/网站目录
这样PHP木马就不能上传。非www用户每站一个，防止跨站
要写入的目录chown为www用户，这样PHP能创建目录及上传文件，允许公共写入，使FTP能操作写入（未验证PHP创建的新目录FTP有没有写入权限，即继承），所有要写入的目录必须 deny all

chown userFang:xWeb -R /home/wwwroot/fang.eyuyao.com/
chown www:www -R /home/wwwroot/fang.eyuyao.com/uploads/
chown www:www -R /home/wwwroot/fang.eyuyao.com/eyy/src/
chown www:www -R /home/wwwroot/fang.eyuyao.com/index/Runtime/
chown www:www -R /home/wwwroot/fang.eyuyao.com/admin/Runtime/
—————————————————————————————————
#设置目录不允许执行PHP（其实是使符合正则的路径不可读）
#找到网站的 .conf 配置文件，在 location ~ .*\.(php|php5)?$ 的上面插入：
location ~ /upload/.*\.(php|php5)?$
    {
        deny    all;
    }

#支持 ThinkPHP（使用 rewrite）
location ~ /index\.php/.*$
    {
        if (!-e $request_filename) { 
            rewrite  ^/index\.php(/.*)$  /index.php?s=$1  last;
            break;
        }
    }
—————————————————————————————————
重启 LNMP    /root/lnmp restart
重启 MySQL    /etc/init.d/mysql restart
重启 PureFTPd    /root/pureftpd restart
查看 Nginx 版本    nginx -V
查看 MySQL 版本    mysql -V
查看 PNP 版本    php -v
查看 Apache 版本    httpd -v
查内存        cat /proc/meminfo
php.ini        vim /usr/local/php/etc/php.ini
iptables 路径    /etc/sysconfig/iptables
MySQL 配置文件    vim /etc/my.cnf
添加网站        /root/vhost.sh
添加ProFTPd用户    /root/proftpd_vhost.sh
—————————————————————————————————
遇到问题：
中文URL问题解决方案，FTP用强制UTF-8，单个文件传。否则在win下打包的zip在linux下解压后，编码不是utf-8，导致打开URL 404
能用记事本打开的文件若包含中文，应另存为 utf-8 编码。

ThinkPHP 项目修改配置文件后，必须删除 /index/Runtime/* 缓存文件！！！

推荐：参考此文：如何升级 ASP.NET 项目 MySql.Data 和 Connector/NET 至 8.0.x

-------------------------------------------------------------------------------------------------------

这是 MySQL 官方提供的，用来帮助 .NET 开发者使用 LINQ 来方便操作 MySQL 数据库的解决方案。

我们所需要的软件全部被封装在 MySQL Installer 套件当中，非常方便。

下载后选择“Custom”自定义选择需要安装的产品和功能：

• MySQL Server - 在本机安装 MySQL 数据库，如果我们直接连接远程数据库则不需要安装

• MySQL for Visual Studio - 是一款 Visual Studio 插件，用于连接和管理 MySQL 数据库

• Connector/NET - ADO.NET 托管提供程序

使用也非常方便：

1. 在“服务资源管理器”中添加连接，更改数据源为“MySQL”。（如果没有该项，重启计算机试试；仍然没有，重新运行 MySQL Installer，选择“Modify ...”，勾选对应 VS 版本的“Visual Studio Integration”和“Entity Framework Designer Integration”）

2. 项目中“添加新项”，在“数据”中选择“ADO.NET 实体数据模型”，即 Entity Framework，而非“LINQ to SQL 类”，根据需要选择表、视图和存储过程

Windows Server 服务器上安装 MySQL Server 过程中（或安装完成后再次运行 MySQL Installer）可配置端口（同时配置防火墙）。

建议勾选安装 MySQL Workbench 来管理 MySQL 数据库。

新建用户时，主机填“%”即该用户允许远程连接。

如果报以下错误：

不支持直接到存储查询(DbSet、DbQuery、DbSqlQuery)的数据绑定。应使用数据填充 DbSet (例如通过对 DbSet 调用 Load)，然后绑定到本地数据。对于 WPF，绑定到 DbSet.Local。对于 WinForms，绑定到 DbSet.Local.ToBindingList()。

记得在绑定时加一个 .ToList() 即可。

如果发布后报以下错误：

找不到请求的 .Net Framework Data Provider。可能没有安装。

那么在服务器上安装 Connector/NET 即可。

如果在 VS 中连接此 EF 时如果遇到：

您的项目引用了最新版的实体框架；但是，找不到进行数据连接所需的与此版本兼容的实体框架数据库提供程序。请退出向导，安装兼容提供程序，重新生成您的项目，然后再执行此操作。

或

指定的架构无效。错误 0152: 未找到具有固定名称“MySql.Data.MySqlClient”的 ADO.NET 提供程序的实体框架提供程序。请确保在应用程序配置文件的“entityFramework”节中注册了该提供程序。有关详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkId=260882。

那么，只需在 NuGet 中搜索并重新安装 MySql.Data.Entity ，重新生成项目。如果仍然提示，请检查 Connector/NET 是否有更新。 

6.10.4 版本相关的问题参：MySQL Connector/Net 6.10.4 不支持 VS

以某论坛配置 memcache 只允许本机 IP 访问 11211 端口为例：

一句一句执行：

service iptables status // 查询当前防火墙状态

iptables -A INPUT -s 127.0.0.1/24 -p tcp --dport 11211 -j ACCEPT // 允许本地回环

iptables -A INPUT -s X.X.X.X/24 -p tcp --dport 11211 -j ACCEPT // 允许本机内网IP

iptables -A INPUT -s X.X.X.X/24 -p tcp --dport 11211 -j ACCEPT // 允许本机公网IP

iptables -A INPUT -p tcp --dport 11211 -j DROP // 禁止其它IP

service iptables status // 查询当前防火墙状态

service iptables save // 保存规则

微软已经开始正式对系统更新的使用者强制检查其所使用的 XP系统是否为盗版的检查，若发现盗版，系统自动更新后,每次启动都提示"您可能是软件盗版的受害者",进入桌面后右下角启动栏里有一个五角星的图案.

相关报道：
即日起微软将启动「正版Windows客户权益独享计划1.0 」 (Windows Genuine Advantage 1.0 , WGA 1.0)，用户进入下载中心必须验证是否正版软件，若为盗版软件则不能下载，但是自动更新（Automatic updates）不在此限，所有的用户都可以自动更新修补漏洞。用户在第一次进入Windows update、Microsoft update及Download Center网站进行下载时，将被要求参与WGA验证程序。客户须要下载一个ActiveX控制程序，此程序将自动验证用户计算机所使用的是否为正版 Windows软件。若通过验证，将会有一组Download Key储存在客户计算机中，作为将来进入微软网站进行下载动作时计算机自动辨识之用，微软表示，此验证流程不搜集任何可用来辨认或联络使用者的信息。验证流程已经改善并简化。验证程序将自动验证用户计算机所使用的是否为正版Windows软件，用户不再需键入25码的产品序号，就可以轻松的完成验证过程，大幅降低客户进行验证时的负担。换句话说使用盗版Windows操作系统的用户，将不能直接从下载中心下载Windows Media Player、Antispy等软件，但是依然可以透过自动更新来修补漏洞。

手工解决方法：

方法一：
1.IE => 工具=>Internet 选项 => 程序=> 管理加载项=>IE已经使用的加载项=>Windows Genuine Advantage Validation Tool=>禁用=>然后再上线更新，这样就不会验证了。此WGA（Windows Genuine Advantage Notifications）组件对应文件：legitchechcontrol.dll。WGA是反盗版自动更新验证ActiveX组件,这个正版检验程序植入系统后，会在每次系统启动时，透过网络回报讯息给微软的网站。没更新过的计算机里没有此组件,So..先去update下载此组件后再用此方法去停用此组件,以后即可自动更新了。

2、移除验证码:
计算机=>控制面板=>添加或删除程序=>Windows Installer 3.1(KB893803)=>删除=>重新下载更新档=>windows genuine advantage 不要勾选=>完成。保证不会再出现了（Windows Installer 3.1是修复windows installer安装错误或者提示无法修复MSI出错的微软官方补丁）

3.重启你的计算机，进入安全模式，登陆管理员帐号－－保证你拥有进入Windows\system32以及Windows\system32\dllcache路径的权限。在这两个路径下均有一个名为WGATray.EXE的文件。你必须将两个路径下的WGATray.EXE均删除－－这将阻止Windows在启动时弹出“盗版XP”气球。
在删除Windows\system32下的WGATray.EXE可能需要一点技巧：
步奏一：WGATray.EXE图标-->右键-->删除-->出现删除确认框后先不要按‘确定’按钮
步奏二：Ctrl+Alt+Del-->打开进程管理器-->找到WGATray.EXE-->删除-->出现删除确认框后先不要按‘确定’按钮
步奏三：先按打开进程管理器的删除确认键，然后用最快速度按步奏一的删除确认键。
步奏四：如果Windows\system32下的WGATray.EXE不会出现，代表操作成功。继续删除Windows\system32\dllcache下的WGATray.EXE。

4.进入注册表，进入
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon\Notify
删除其中的“WGALOGON”文件夹－－这将Windows将无法加载任何有关WGA的DLL文件。
重启计算机，你将暂时告别微软正版增值计划的“骚扰”。

方法二：

在进入Window update 网页后选择「Express(快速)」或「Custom(自订)」按钮前，在 IE 地址栏输入：
void(window.g_sDisableWGACheck='all')
再按下ENTER后,再选取你要更新的方法"快速","自订"即可
此法可以用来破解微软反盗版的检查。系统就不会查你是用什么版本的WIN了

能保证系统更新还是很有必要的。系统更新的目的多数就是防止电脑病毒的需要。

对于使用VOL免激活版（上海政府、xx银行等）的用户，可以使用替换序列号的简单办法。因为目前尚有部分VOL序列号未被封，并且可以通过正版验证。
HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT （番茄花园版就是使用的这个序列号）
MRX3F-47B9T-2487J-KWKMF-RPWBY（工行版）
QC986-27D34-6M3TY-JJXP9-TBGMD（台湾交大学生版）

点击下载此文件

替换后请到C:\Documents and Settings\All Users\Application Data下删除Windows Genuine Advantage文件夹。以后即可通过正版验证。

如果XP是很老的破解版本（比如零售版的破解版本）用户，无法使用上述序列号，请下载RemoveWGA工具。RemoveWGA 是一个专门用来清除 WGA 的小程序，使用者只要通过它，就可以阻止微软的 WGA 在系统每次启动时企图连回微软网站的动作，且使用它并不需要担心微软的正版验证机制，你还是一样能够正常的使用 Windows update 的功能，两者之间并没有任何冲突。虽然系统仍是破解的，但将不会再有任何提示，和以前没有变化。注：该工具会被部分杀毒软件识别为病毒。如须使用，下载前可能需要暂时禁用或者关闭一下病毒防火墙。使用过后再恢复。
华军下载地址：http://www.onlinedown.net/soft/6914.htm