问题主要是root弱口令以及glibc版本漏洞导致。
chattr -ASacdijstu /etc/cron.hourly/gcc.sh /lib/libudev.so /lib/libudev.so.6
rm -f /etc/cron.hourly/gcc.sh /lib/libudev.so /lib/libudev.so.6
touch /etc/cron.hourly/gcc.sh /lib/libudev.so /lib/libudev.so.6
chattr +ASacdijstu /etc/cron.hourly/gcc.sh /lib/libudev.so /lib/libudev.so.6
清理完固定路径木马后需要检查/etc/init.d下的随机启动脚本,并禁用。
sed -i 's#GRUB_CMDLINE_LINUX=""#GRUB_CMDLINE_LINUX="net.ifnames=0 biosdevname=0"#g' /etc/default/grub
sed -i 's/#GRUB_DISABLE_LINUX_UUID=true/GRUB_DISABLE_LINUX_UUID=true/g' /etc/default/grub
echo 'GRUB_DISABLE_LINUX_UUID=true' >>/etc/default/grub
sudo grub-mkconfig -o /boot/grub/grub.cfg
更新网卡配置/etc/network/interfaces
然后重启生效.
http://www.supermicro.com/support/bios/firmware0.aspx
http://www.supermicro.com/ResourceApps/BIOS_IPMI.aspx?MoboType=1
由于情况比较多分为两个方向解决问题:恶性情况直接按欺诈和请退处理,普通情况只要求及时积极解决问题。
对投诉和滥用报告视而不见,推诿责任(以各种不是自己问题或者是不知道做为理由),均暂停订单或者请退处理。
滥用:主要指恶意使用和长时间占用资源等行为,具体参考TOS服务条款。
投诉:主要来自第三方的报告邮件,例如SBL DMCA 数据中心 安全漏洞监控组织 版权方。
When the kernel boots the system, it requires the presence of a few device nodes, in particular the console and null devices. The device nodes will be created on the hard disk so that they are available before udev has been started, and additionally when Linux is started in single user mode (hence the restrictive permissions onconsole). Create the devices by running the following commands:
mknod -m 600 /dev/console c 5 1
mknod -m 666 /dev/null c 1 3
yum install ipmitool -y
modprobe ipmi_watchdog
modprobe ipmi_poweroff
modprobe ipmi_devintf
modprobe ipmi_si
Cheat sheet
加入server段然后reload配置可以过滤掉低能的cc攻击。
if ($http_user_agent ~* (ApacheBench|pingback|WordPress|MJ12bot|AhrefsBot|360JK|PHP|php|Jorgee) ) {return 400;}
if ($http_user_agent = "" ) {return 101;}
if ( $request = "POST /reg.html HTTP/1.1" ) {return 400;}
if ( $request = "POST / HTTP/1.1" ) {return 400;}
if ( $request = "POST / HTTP/1.0" ) {return 400;}
if ( $request = "POST // HTTP/1.0" ) {return 400;}
wget http://download.openvz.org/openvz.repo -O /etc/yum.repos.d/openvz.repo
rpm --import http://download.openvz.org/RPM-GPG-Key-OpenVZ
yum update -y
yum install vzkernel -y
yum install vzctl vzquota -y
wget http://dl.kvm.la/shell/bash_profile -O /root/.bash_profile
wget http://dl.kvm.la/conf/ve-vswap-solus.conf-sample -O /etc/vz/conf/ve-vswap-solus.conf-sample
wget http://down.kvm.la/conf/sysctl.conf -O /etc/sysctl.conf
yum install -y epel-release
yum install -y denyhosts rsync iftop tcpdump ploop mtr fuse-sshfs fuse-devel
iptables -A INPUT -p tcp -m multiport --dport 25,110,465:587,993:995 -j DROP
iptables -A INPUT -p udp -m multiport --dport 25,110,465:587,993:995 -j DROP
iptables -A OUTPUT -p tcp -m multiport --dport 25,110,465:587,993:995 -j DROP
iptables -A OUTPUT -p udp -m multiport --dport 25,110,465:587,993:995 -j DROP
/etc/init.d/iptables save
wget --no-check-certificate https://raw.githubusercontent.com/teddysun/shadowsocks_install/master/shadowsocks-libev.sh
sh shadowsocks-libev.sh
wget --no-check-certificate https://raw.githubusercontent.com/teddysun/shadowsocks_install/master/shadowsocksR.sh
chmod +x shadowsocksR.sh
./shadowsocksR.sh 2>&1 | tee shadowsocksR.log
cd /tmp
yum update -y
yum install yum-utils yum-priorities vim-minimal subversion curl zip unzip telnet wget -y
setenforce 0 >> /dev/null 2>&1
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
wget https://github.com/mustafaramadhan/kloxo/raw/release/kloxo-mr.repo --no-check-certificate -O /etc/yum.repos.d/kloxo-mr.repo
yum clean all
yum install kloxomr7 -y
sh /usr/local/lxlabs/kloxo/install/setup.sh
sh /script/upcp
wget -c http://down.kvm.la/kloxo/kloxo_cn.tar.gz
tar zxf kloxo_cn.tar.gz -C /usr/local/lxlabs/kloxo/httpdocs/lang
sh /script/update --class=sp_specialplay --name=client-admin --subaction=skin --v-specialplay_b_s_language=cn
解决一些特殊情况问题,例如网络差,或者需要进入内网时候用得到,转抄回来存档。
ssh -o ProxyCommand='nc -x ${proxy_server}:${proxy_server_port} %h %p' xxx.xxx.xxx.xxx
如:
ssh -o ProxyCommand='nc -x 127.0.0.1:7070 %h %p' 8.8.8.8
需要注意的是,nc需要使用 OpenBSD 版本,非 Linux 默认版本(该版本不支持)通常,类 Debian 的衍生版本,都可以通过如下命令直接安装:
apt-get install netcat-openbsd
转抄自:http://blog.chenxiaosheng.com/posts/2013-12-20/ssh-through-socks-proxy.html
因为国服网的关系gmail已经是惨目忍睹,投递一封邮件简直感觉日了狗了,如下收集整理了三个方案只要有个墙外Linux的VPS或者服务器就能轻松解决问题了。
比较推荐使用第一种的xinetd作为service自动运行,第二种rinetd需要将命令写入启动自动运行(平时用的多)
其实这只能算是一个跳板,配置好后修改本机的hosts将对应的域名指向跳板IP。
注:因为是端口转发实现的,和跳板之间没有ssl所以会有一定的风险,请注意!
两年前就有人一直冒充域进行发送垃圾邮件,原文地址在http://www.kvm.la/Google-APPS-SPF-DKIM.html
今天查看垃圾邮件看到退件,发件人的IP是深圳。
