怎么打开core文件

core文件是由应用程序收到系统信号后崩溃产生的，该文件中记录了程序崩溃的原因(例如收到那种信号)，调用堆栈和崩溃时的内存及变量值等等的信息。 打开core文件与编译时使用的编译器有关，但绝大多数linux程序是使用gcc编译器编译的，因此可使用对应gdb调试器打开，命令格式如下： $ gdb 应用程序文件名 core文件名 举例： $ gdb /usr/bin/gedit ~/core------ 查看由gedit崩溃产生的core文件 (gdb) bt------ 或者backtrace, 查看程序运行到当前位置之前所有的堆栈帧情况) (gdb) quit ------ 退出 如果不知道core文件由哪个文件产生的，可使用file命令显示 $ file cor

以下几种方法检测linux服务器是否被攻击：\x0d\x0a1、检查系统密码文件 \x0d\x0a首先从明显的入手，查看一下passwd文件，ls _l /etc/passwd查看文件修改的日期。 \x0d\x0a2、查看一下进程，看看有没有奇怪的进程 \x0d\x0a\x0d\x0a重点查看进程：ps _aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd _s \x0d\x0a/tmp/.xxx之类的进程，着重看inetd \x0d\x0a_s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中\x0d\x0a也仅仅是inetd \x0d\x0a_s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。\x0d\x0a3、检查系统守护进程 \x0d\x0a检查/etc/inetd.conf文件，输入：cat /etc/inetd.conf | grep _v “^#”，输出的信息就是这台机器所开启的远程服务。 \x0d\x0a一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。\x0d\x0a4、检查网络连接和监听端口 \x0d\x0a输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。 \x0d\x0a输入netstat _rn，查看本机的路由、网关设置是否正确。 \x0d\x0a输入 ifconfig _a，查看网卡设置。 \x0d\x0a5、检查系统日志 \x0d\x0a命令last | \x0d\x0amore查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系\x0d\x0a统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现\x0d\x0asyslog被非法动过，那说明有重大的入侵事件。 \x0d\x0a在linux下输入ls _al /var/log \x0d\x0a检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。 \x0d\x0a6、检查系统中的core文件 \x0d\x0a通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能\x0d\x0a100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core \x0d\x0a_exec ls _l {} \依据core所在的目录、查询core文件来判断是否有入侵行为。\x0d\x0a7、检查系统文件完整性 \x0d\x0a检查文件的完整性有多种方法，通常通过输入ls _l \x0d\x0a文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm _V \x0d\x0a`rpm _qf 文件名` \x0d\x0a来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man \x0d\x0arpm来获得更多的格式。

1、先用#ulimit -a可以查看系统core文件的大小限制（第一行），core文件大小设置为0, 即没有打开core dump设置；

[cpp] view plain copy print?

root@XZX:~/cnnic/project/dnsx/dnsX# ulimit -a

core file size          (blocks, -c) 0

data seg size           (kbytes, -d) unlimited

scheduling priority             (-e) 0

file size               (blocks, -f) unlimited

pending signals                 (-i) 46621

max locked memory       (kbytes, -l) 64

max memory size         (kbytes, -m) unlimited

open files                      (-n) 1024

pipe size            (512 bytes, -p) 8

POSIX message queues     (bytes, -q) 819200

real-time priority              (-r) 0

stack size              (kbytes, -s) 8192

cpu time               (seconds, -t) unlimited

max user processes              (-u) 46621

virtual memory          (kbytes, -v) unlimited

file locks                      (-x) unlimited

root@XZX:~/cnnic/project/dnsx/dnsX# ulimit -a

core file size          (blocks, -c) 0

data seg size           (kbytes, -d) unlimited

scheduling priority             (-e) 0

file size               (blocks, -f) unlimited

pending signals                 (-i) 46621

max locked memory       (kbytes, -l) 64

max memory size         (kbytes, -m) unlimited

open files                      (-n) 1024

pipe size            (512 bytes, -p) 8

POSIX message queues     (bytes, -q) 819200

real-time priority              (-r) 0

stack size              (kbytes, -s) 8192

cpu time               (seconds, -t) unlimited

max user processes              (-u) 46621

virtual memory          (kbytes, -v) unlimited

file locks                      (-x) unlimited

2、接下来使用#ulimit -c [kbytes]可以设置系统允许生成的core文件大小；

ulimit -c 0 不产生core文件

ulimit -c 100 设置core文件最大为100k

ulimit -c unlimited 不限制core文件大小

执行#ulimit -c unlimited，然后#ulimit -a查看结果如下（第一行）：

[cpp] view plain copy print?

root@XZX:~/cnnic/project/dnsx/dnsX# ulimit -a

core file size          (blocks, -c) unlimited

data seg size           (kbytes, -d) unlimited

scheduling priority             (-e) 0

file size               (blocks, -f) unlimited

pending signals                 (-i) 46621

max locked memory       (kbytes, -l) 64

max memory size         (kbytes, -m) unlimited

open files                      (-n) 1024

pipe size            (512 bytes, -p) 8

POSIX message queues     (bytes, -q) 819200

real-time priority              (-r) 0

stack size              (kbytes, -s) 8192

cpu time               (seconds, -t) unlimited

max user processes              (-u) 46621

virtual memory          (kbytes, -v) unlimited

file locks                      (-x) unlimited

root@XZX:~/cnnic/project/dnsx/dnsX# ulimit -a

core file size          (blocks, -c) unlimited

data seg size           (kbytes, -d) unlimited

scheduling priority             (-e) 0

file size               (blocks, -f) unlimited

pending signals                 (-i) 46621

max locked memory       (kbytes, -l) 64

max memory size         (kbytes, -m) unlimited

open files                      (-n) 1024

pipe size            (512 bytes, -p) 8

POSIX message queues     (bytes, -q) 819200

real-time priority              (-r) 0

stack size              (kbytes, -s) 8192

cpu time               (seconds, -t) unlimited

max user processes              (-u) 46621

virtual memory          (kbytes, -v) unlimited

file locks                      (-x) unlimited

此时，core dump设置打开了，再执行程序出现段错误时，在当前工作目录下产生了core文件，然后我们就可以用gdb调试core文件了。

例如：

#gdb ./test core.2065

注：Linux下的C程序常常会因为内存访问错误等原因造成segment fault(段错误)，此时如果系统core dump功能是打开的，那么将会有内存映像转储到硬盘上来，之后可以用gdb对core文件进行分析，还原系统发生段错误时刻的堆栈情况。这对于我们发现程序bug很有帮助。

很多系统默认的core文件大小都是0，我们可以通过在shell的启动脚本/etc/bashrc或者~/.bashrc等地方来加入 ulimit -c 命令来指定core文件大小，从而确保core文件能够生成。

除此之外，还可以在/proc/sys/kernel/core_pattern里设置core文件的文件名模板，详情请看core的官方man手册。

需要说明的是：上述方法只是在当前shell中生效,重启之后，就不再有效了。永久生效的办法是如下：

永久生效办法：

#vi /etc/profile 然后，在profile中添加：

ulimit -c 1073741824

(但是，若将产生的转储文件大小大于该数字时，将不会产生转储文件)

或者

ulimit -c unlimited

这样重启机器后生效了。 或者， 使用source命令使之马上生效。

#source /etc/profile

三、指定内核转储的文件名和目录

修改完内核转储设置后，当程序core dump后发现确实在本地目录产生了core文件，但是如果程序多次core dump时，core文件会被覆盖，原因是每次core dump后生成的文件名默认都叫core，接下来就分享下如果想在每次core dum时产生的core文件都带上进程号怎么操作，或者你想把内核转储文件保存到其他目录怎么办？

1、core dump文件名自动加上进程ID

#echo 1 > /proc/sys/kernel/core_uses_pid

最后生成的core dump文件名会加上进程ID.

2、另外可以通过修改kernel的参数，指定内核转储所生成的core文件的路径和文件名。

可以通过在/etc/sysctl.conf文件中，对sysctl变量kernel.core_pattern的设置。

#vim /etc/sysctl.conf 然后，在sysctl.conf文件中添加下面两句话：

kernel.core_pattern = /var/core/core_%e_%p

kernel.core_uses_pid = 0

保存后退出。

注：如果/proc/sys/kernel/core_uses_pid 这个文件的内容被配置成1，即使core_pattern中没有设置%p，最后生成的core dump文件名仍会加上进程ID。

这里%e, %p分别表示：

%c 转储文件的大小上限

%e 所dump的文件名

%g 所dump的进程的实际组ID

%h 主机名

%p 所dump的进程PID

%s 导致本次coredump的信号

%t 转储时刻(由1970年1月1日起计的秒数)

%u 所dump进程的实际用户ID

可以使用以下命令，使修改结果马上生效。

#sysctl –p /etc/sysctl.conf

请在/var目录下先建立core文件夹，然后执行a.out程序，就会在/var/core/下产生以指定格式命名的内核转储文件。查看转储文件的情况：

#ls /var/core

core_a.out_2456

---