Terry Wang (@terrywang)

Sydney, Australia

The below is an off-site archive of all tweets posted by @terrywang ever

September 13th, 2014

正在考虑重装 Optiplex 9020 选 Fedora 20 还是 ubuntu 14.04 + KDE 4.14 + Plasma 5 是个问题,事实上两者都可以用 Ksplice 但考虑到 LFC{S,E} 考试会选 Ubuntu 做发行版,所以暂时还是用后者吧 ;-D

via Hotot for Chrome

干活用的工作站若非必要都不会去重启,要不是上次小面积掉电的话这台 Optiplex 9020 uptime 也得有180天了,基本上是半年重启一次的节奏 ;-D flic.kr/p/pa3usW

via Hotot for Chrome

说起来这还是我自2001年来第一次在生产环境中的 Linux 服务器上看到木马 / rootkit (自己主动获取拿来测试的不算)。自己的桌面和服务器因为安全意识尚可未中招过,或者说中了却不知道,呵呵。

via Hotot for Chrome

发现 pool 里有一个新装的服务器没有被黑(但是迟早的事),把它弄成 master 之后把剩下的三个全部 eject 掉(因为本地存储上无数据),用装盘重装之后重新加入到池,搞定。建议他们做一次网络安全审察,应该是整个公司的网络都被渗透了。部分服务器还共享 root 密码,囧

via Hotot for Chrome

果不其然,发现进程的二进制是 /boot/zndltcllrx 是 ELF 杀掉之后立刻删除,马上 respawn 新的随机名进程,太典型了。还试图伪装成 uptime / netstat -an 用 chkrootkit 扫了一下没发现,还误报,呵呵。

via Hotot for Chrome

好在有 iLO 进去看了 Open vSwitch 的 flows 发现有上万,超过默认 eviction 上限好几倍,丢包是必然的。然后 top 看 dom0 的负载,出奇的高,而且一眼就看到可疑的进程,加之美国的同事之前抓 tcpdump 已发现可疑的外流流量,预感是被黑了。

via Hotot for Chrome

周末轮班碰到个非常有意思的案例 XenServer pool 管理网卡 bond 丢包严重,以至于 XenCenter 都连不上,无法进行日常操作。起初美国的工程师以为是网卡绑定问题 break 之后还升级了网卡驱动,问题依旧 ping 都无响应,以至于 SSH 过去操作都困难。

via Hotot for Chrome