传统的POSIX计算机(Solaris,bsd,unix)使用UTC格式
linux可以处理UTC时间和蹩脚的Windows所使用的local time

到底是使用UTC还是local time可以这样来确定：
如果机器上同时安装有Linux和Windows，建议使用local time
如果机器上只安装有Linux，建议使用utc
确定后编辑/etc/sysconfig/clock, UTC=0 是local time; UTC=1 是UTC(GMT)

确定timezone
运行tzselect,回答问题后会告诉你时区的名称，比如”Asia/Shanghai”,把他记下来(后面我用$timezone代替)

设定timezone
# cp /usr/share/zoneinfo/$timezone /etc/localtime

重新启动或者运行时钟设置脚本使之发生作用

版本差异
由于发行版的差异，以上文件位置可能不同。
一般设置时钟所使用的启动脚本为/etc/rc.d/init.d/setclock
redhat是在/etc/rc.d/rc.sysinit中设置时钟，所以一般要重新启动

CST Central Standard Time (USA) UT-6:00
CST Central Standard Time (Australia) UT+9:30
CST China Standard Time UT+8:00
CST Cuba Standard Time UT-4:00

在unix下通过/etc/localtime这个硬连接指向的/usr/share/zoneinfo下的时区文件表示当前的真正时区。比如 /etc/localtime指向了/usr/share/zoneinfo/Asia/Shanghai这个文件的时候，CST就代表了中国标准时间。

但是很多语言的时间函数库根本不做这个判断，往往就是用一个独立的时区配置文件做时区关键字和GMT的转换。因此很多系统里面CST都变成了GMT-6，也就是美国中部时间。

在zope里面也是如此。而且很奇怪的是有的地方做了正确的判断，有的地方没做正确判断。

比如文件的最后修改时间就是错的，但是如果对一个页面做comment的时候，comment时间就是正确的。

修改Zope中DateTime\DateTime.py的定义为：’cst’:'GMT+8′，就能够解决这个问题。

但是这样做就需要改代码，然后重新编译。

我试着在zope的启动脚本里面加上TZ的环境变量设置，但是没有效果。我想，最根本的解决方法应该是改变unix服务器的时区设置方法吧。

原本以为是网络问题，没大留意。但频繁出现数次，还居然一直持续。

在Cacti中查看，网卡占用居然达到机房百兆宽带的所有，12m/s

查看网卡的实时流量，得到了相同结果。

而且 CPU 也有点不正常，用 Top 命令查看，占用最高的是 Httpd 进程。即 Apache

原以为是受到了页面攻击，但这样在进程里头出现的，还应该有 Nginx 跟 Mysql 才对。

不会就这么孤独地只有 Apache。

正在我继续查找原因，攻击停下来了，网卡流量恢复正常。

查看了所有的 WEB 访问日志，无一是有能够解释到该现状的记录。

因为如果是 页面攻击，就好比是压力测试般，肯定会有某个或几个地址有重复不断的垃圾请求。

但日志上显示得相当悠然。

好了，没过多久，流量又来了！httpd 进程把 2个 cpu核心占用到 100%

网卡冲到 12m/s

使用网络命令 netstat -ant 查看，没有 DDOS 之类攻击所产生的 wait 。

而且链接IP还越来越少，这时候从本地 Ping 服务器的响应基本上是 timeout 了

一但把 Apache 停下来，流量就会消失。再次启动！没过多久又会再来。

为了知道到底是哪个 IP 令我产生这样的事，我安装了既时流量检测工具 iftop

iftop介绍详见：http://www.oschina.net/p/iftop

经检测，传输量最大的 IP 是 60.219.100.3 这个IP，直接访问能打开到网站。

使用 IPtables 命令禁止该IP访问本机！！无效，流量继续！

哟？？？？！！ 再次使用 IPtables 命令禁止本机访问该IP ！！！这下流量终于停了。

哟！！这事情就明白多了，绝对能断点我的服务器成为了肉鸡，受到操控对特定目标进行了攻击。

而进行攻击的木马，不是啥米东西，而是 PHP 程序！

应该是在服务器里头某个虚拟主机网站有漏洞，被放入了 PHP DDOS 攻击木马！

然而，剩下的问题就更加复杂了，如何在海量文件的目录里头找到那个木马？

希望是有一个杀毒程序能帮我扫描到….但我还没能找到这个，如果网友们有的不妨推荐推荐。

我的思路是，开启 Apache 的 Server Status。 这家伙能实时查看到 Apache 正在执行那个程序。

而且详细到执行时间，输出数据量等等…

详细可见：http://www.oschina.net/bbs/thread/12650

好了！这下我就可以坐着等兔子再次跑上门来！

还有一个方法，就是把 PHP safe_mod 打开，能禁用掉一些例如 调用 系统 Shell 参数的语法。

来导致木马无法执行。可以我倒还真想把这兔子抓住，所以现在在等待中…

####################

2010-11-9 更新

####################

PHP safe_mod 不能随意打开！期中一个副作用就是导致 Cacti 无法调用 rrdtools 等参数。

就算设置了例外目录也无效！

最后我在 Apache，PHP 上都配置了 php_admin_value open_basedir 选项。

使得虚拟主机的用户无法越权访问到所属目录外的文件，当然也包括 shell 命令了。

但无效，黑客依然能利用暗藏在目录里头的肉鸡程序发动攻击。

虽然攻击事件在凌晨或者早上！！虽然我没在电脑旁！！

但我使用了 curl 对 ApacheStatus 页面的定时抓取作为了日志！！

与 Cacti 配合，一发现高流量！就追索该时间的日志！！

哈哈！这下子被逮个正着！！！！！

以下是 ApacheStatus 的截图，Req 项特别高的！就是 PHP肉鸡程序送发送的  UDP 攻击数据包。

在此也顺便公布攻击来源，辽宁省盘锦市 联通 119.115.80.102 但也有可能是一台跳板肉鸡。

至此，我服务器上存在漏洞的网站被暂时关闭了，经查看文件修改日期，黑客还放了不少后门程序。

看了得好好清除清除才能再次上线了。

而抓到的肉鸡！用 VI 打开，居然是使用 Zend 加密的！！

有没朋友对加密这东西有办法解决的，短信我，我给你发去研究研究。

iftop 是类似于top的实时流量监控工具。主要用来显示本机网络流量情况及各相互通信的流量集合，如单独同那台机器间的流量大小，非常适合于代理服务器和iptables服务器使用

官方网站：http://www.ex-parrot.com/~pdw/iftop/

安装iftop
安装方法1、编译安装

如果采用编译安装可以到iftop官网下载最新的源码包。

安装前需要已经安装好基本的编译所需的环境，比如make、gcc、autoconf等。安装iftop还需要安装libpcap和libcurses。

CentOS上安装所需依赖包：

yum install flex byacc  libpcap ncurses ncurses-devel libpcap-devel

Debian上安装所需依赖包：

apt-get install flex byacc  libpcap0.8 libncurses5

下载iftop

wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz

tar zxvf iftop-0.17.tar.gz

cd iftop-0.17

./configure

make && make install

configure: error: can’t find pcap.h
You’re not going to get very far without libpcap.
那你需要先安装libpcap，找到相应的rpm文件，比如：

-rw-r–r– 1 root root  108987 Apr  3 08:21 libpcap-0.9.4-8.1.i386.rpm
-rw-r–r– 1 root root  119062 Apr  3 08:21 libpcap-devel-0.9.4-8.1.i386.rpm

安装方法2：(懒人办法，最简单)
直接省略上面的步骤
flibpcap-0.9.4-14.el5.x86_64.rpm
CentOS系统：

yum install flex byacc  libpcap ncurses ncurses-devel

wget ftp://fr2.rpmfind.net/linux/dag/redhat/el5/en/i386/dag/RPMS/iftop-0.17-1.el5.rf.i386.rpm

rpm -ivh iftop-0.17-1.el5.rf.i386.rpm

Debian系统 运行：apt-get install iftop

运行iftop
直接运行： iftop

1、iftop界面相关说明
界面上面显示的是类似刻度尺的刻度范围，为显示流量图形的长条作标尺用的。

中间的<= =>这两个左右箭头，表示的是流量的方向。

TX：发送流量
RX：接收流量
TOTAL：总流量
Cumm：运行iftop到目前时间的总流量
peak：流量峰值
rates：分别表示过去 2s 10s 40s 的平均流量

2、iftop相关参数
常用的参数
-i设定监测的网卡，如：# iftop -i eth1

-B 以bytes为单位显示流量(默认是bits)，如：# iftop -B

-n使host信息默认直接都显示IP，如：# iftop -n

-N使端口信息默认直接都显示端口号，如: # iftop -N

-F显示特定网段的进出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0

-h（display this message），帮助，显示参数信息

-p使用这个参数后，中间的列表显示的本地主机信息，出现了本机以外的IP信息;

-b使流量图形条默认就显示;

-f这个暂时还不太会用，过滤计算包用的;

-P使host信息及端口信息默认就都显示;

-m设置界面最上边的刻度的最大值，刻度分五个大段显示，例：# iftop -m 100M

进入iftop画面后的一些操作命令(注意大小写)

按h切换是否显示帮助;

按n切换显示本机的IP或主机名;

按s切换是否显示本机的host信息;

按d切换是否显示远端目标主机的host信息;

按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;

按N切换显示端口号或端口服务名称;

按S切换是否显示本机的端口信息;

按D切换是否显示远端目标主机的端口信息;

按p切换是否显示端口信息;

按P切换暂停/继续显示;

按b切换是否显示平均流量图形条;

按B切换计算2秒或10秒或40秒内的平均流量;

按T切换是否显示每个连接的总流量;

按l打开屏幕过滤功能，输入要过滤的字符，比如ip,按回车后，屏幕就只显示这个IP相关的流量信息;

按L切换显示画面上边的刻度;刻度不同，流量图形条会有变化;

按j或按k可以向上或向下滚动屏幕显示的连接记录;

按1或2或3可以根据右侧显示的三列流量数据进行排序;

按<根据左边的本机名或IP排序;

按>根据远端目标主机的主机名或IP排序;

按o切换是否固定只显示当前的连接;

按f可以编辑过滤代码，这是翻译过来的说法，我还没用过这个！

按!可以使用shell命令，这个没用过！没搞明白啥命令在这好用呢！

按q退出监控。

#! /usr/bin/perl

$ck=`ps -ef | grep ’sasl’ | grep -v grep`;

if ($ck eq ”){

print “SASL Down, Start up now\n”;

`/etc/rc.d/init.d/saslauthd start`;

}else{

print “SASL Running\n”;

}

1.查看你的系统里面的swappiness

$ cat /proc/sys/vm/swappiness
不出意外的话，你应该看到是 60

2.修改swappiness值为10
$ sudo sysctl vm.swappiness=10
但是这只是临时性的修改，在你重启系统后会恢复默认的60，为长治久安，还要更进一步：

echo 10 > /proc/sys/vm/swappiness

当输入完用户名 root  密码 ***** 回车
哟，又让我再输一次？？
好了，我再输了，还是这样！死活就账号认证的界面登陆不上。

丫的，服务器被黑了？？ 用笔记本登陆却一切正常。
查看服务器安全日志：

# tail -50 /var/log/secure

发现有以下错误：

May  2 18:45:41 server1 login: PAM unable to dlopen(/lib/security/pam_limits.so)
May  2 18:45:41 server1 login: PAM [error: /lib/security/pam_limits.so: wrong ELF class: ELFCLASS32]
May  2 18:45:41 server1 login: PAM adding faulty module: /lib/security/pam_limits.so
May  2 18:45:45 server1 login: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost=  user=root
May  2 18:45:46 server1 login: FAILED LOGIN 1 FROM (null) FOR root, Authentication failure
May  2 18:46:05 server1 login: FAILED LOGIN 2 FROM (null) FOR root, Authentication failure
May  2 18:46:15 server1 login: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
May  2 18:46:15 server1 login: Module is unknown

由于操作系统是 RedHat As5.3 X64 之前的经验暗示我，这很有可能跟 X64 类文件的存放路径有关。
于是编辑登陆配置文件：

# vim /etc/pam.d/login

把最下一行
session    required     /lib/security/pam_limits.so

修改为：
session    required     /lib64/security/pam_limits.so

保存并退出。
再试试在本地登陆，成功！日志没再报错了。
但还是摸不着头脑，是我做了什么设置弄出这个问题来了…..

每次出现这个情况，只需要 service network restart  或者 ifdown/ifup ethX (对于被关闭的网卡端口) 就可以恢复正常。
真有够气愤的。

解决这个问题有2种方法，第一种相对简单，就是在Linux内核中禁用 ACPI 电源管理系统。
但该方法不推荐，因为会导致服务器失去智能电源调节，增加功耗。

另外一种方法就是升级网卡驱动，以下是过程：

首先当然是去 Dell 下载一份最新的 Broadcom NetXtreme II BCM 驱动。
相信只要是 使用 Broadcom NetXtreme II BCM 5709 网卡的服务器都有必要更新，例如 R710 ，R610。

[root@localhost DRIVER]# modinfo bnx2  [首先查看当前驱动版本]
filename:       /lib/modules/2.6.18-164.el5/updates/bnx2.ko
version:        1.9.3
license:        GPL
description:    Broadcom NetXtreme II BCM5706/5708/5709/5716 Driver

[root@localhost DRIVER]# tar zxvf Bcom_LAN_14.1.5_Linux_Source_A00.tar.gz
[root@localhost DRIVER]# cd Bcom_LAN_14.1.5_Linux_Source_A00/NetXtremeII/
[root@localhost NetXtremeII]# rpm -ivh netxtreme2-5.0a.10-1.src.rpm
   1:netxtreme2             ######################## [100%]

[root@localhost NetXtremeII]# cd /usr/src/redhat/
[root@localhost redhat]# rpmbuild –bb SPECS/netxtreme2.spec
[root@localhost redhat]# rpm -ivh RPMS/x86_64/netxtreme2-5.0a.10-1.x86_64.rpm

好了，驱动都安装上了，然后有2个方法让新驱动起效，一是重启服务器。
如果不便重启的话，以下是第二种：

但过程会导致网络断开，而且没有人工干预，会无法连上。
所以如果你并不在本地操作，或者你的服务器与您相隔甚远，建议三思后行。

[root@localhost NetXtremeII]# rmmod bnx2 卸载现有驱动[注意!!!会导致网络中断]
[root@localhost NetXtremeII]# modprobe bnx2  [重新加载驱动]

但是，如果你非逼不得已。
可以用以下小方法：

把以上2个命令写成一个 sh 脚本

[root@localhost redhat]# vim lan_dr_up.sh

rmmod bnx2
modprobe bnx2

:wq

然后赐予可执行权限

[root@localhost redhat]# chmod +x lan_dr_up.sh
[root@localhost redhat]# ./lan_dr_up.sh &  [留意，在执行命令后方带有&符号，意思是让该命令在后台执行就算ssh控制端掉线了，服务器还能自主把新的网卡驱动重新加载。]

好了，下边我们再次查看网卡驱动的版本号

[root@localhost DRIVER]# modinfo bnx2  [首先查看当前驱动版本]
filename:       /lib/modules/2.6.18-164.el5/updates/bnx2.ko
version:        1.9.20d
license:        GPL
description:    Broadcom NetXtreme II BCM5706/5708/5709/5716 Driver

如要退出X-Windows ，就在 X下边 同时按 Ctrl+Alt+F2  

如果想开机吾好启动X-Windows 就~ 

好简单既姐… 

[root@server1 ~]# vi /etc/inittab 

将里边的id:5:initdefault 行中的5改为3即可。

# cd /etc/sysconfig

# vi il8n

——————-文件内容——————

LANG=”zh_CN.GB18030″
SUPPORTED=”zh_CN.UTF-8:zh_CN:zh:en_US.UTF-8:en_US:en:zh_CN.GB18030″
SYSFONT=”latarcyrheb-sun16″ 

———————–：qw 保存退出————————-

有些编译环境，会因 GBK 而编译出错，可以尝试让系统(i18n)扩展支持多字符集解决。

LANG=”zh_CN.GB18030″
SUPPORTED=”zh_CN.UTF-8:zh_CN:zh:en_US.UTF-8:en_US:en:zh_CN.GB18030″
SYSFONT=”latarcyrheb-sun16″