月度归档:2019年03月

乱码,原来是虚惊一场

整个数据库全部乱码,首页都是韩文,刚刚升级到php7也是一样,很诡异,登陆到mariaDB命令行查看wp_posts数据也是中文乱码,发布一篇新文章试试。

更新:

测试发现新写的日志没问题,然后到mysql -u root -p登陆数据库去查看表,显示前面几条都是乱码, 用 SHOW VARIABLES LIKE ‘character%’ 查看字符集都是latin1,进入/etc/my.cnf.d/去修改client.cnf和server.cnf两个文件,systemctl restart mariadb.service重启数据库,还是乱码。

接着我先将文章的韩文复制了去翻译,发现是能翻译的通顺的正常文章,只不过和我的日志没半毛钱关系,不是乱码,然后我再进去wp后台,往最后一页翻,发现正常,再翻第二页,恍然大悟,原来所有文章都在,只不过估计是密码被破解了,有人给我增加了30多篇韩文文章,我现将文章删除,接着SET password for ‘root’@’localhost’=password(‘newpassword’)去mariadb终端修改密码,再修改wp后台登陆密码,然后重启mariadb,httpd两个服务,一切正常了。之前还让我有点小紧张,以为都没了,结果虚惊一场。

附带升级php7命令:

yum list installed | grep php 查看安装的php版本

yum remove php.x86_64 php-cli.x86_64 php-common.x86_64 php-gd.x86_64 php-ldap.x86_64 php-mbstring.x86_64 php-mcrypt.x86_64 php-mysql.x86_64 php-pdo.x86_64

rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm 添加php7源

yum install php70w.x86_64 php70w-cli.x86_64 php70w-common.x86_64 php70w-gd.x86_64 php70w-ldap.x86_64 php70w-mbstring.x86_64 php70w-mcrypt.x86_64 php70w-mysql.x86_64 php70w-pdo.x86_64

yum install php70w-fpm

systemctl enable php-fpm.service 开机启动

linode被攻击小记

大概两周前服务器被linode官方给禁止访问了,刚刚才弄好,这个过程值得记录下。

toyko区的linode我一直也就用来shadowsocks和blog,直到两周前发现ss用不了了,blog也无法访问,我自以为是的认为是gfw在作怪,加上两会什么的,就没怎么在意。熬了一周换端口发现还是无法访问,能ping不能ssh,就在linode提交了一个ticket申请换ip,以前都是这样,被墙申请换ip,只不过这个ip用了两年了,应该很稳定,也是迫不得已,不过很快官方邮件过来拒绝了,然后说是我的机器上有malware。

这时才直到自己机器被人当成肉鸡了,作为一个IT行业从业10来年的老兵居然遇到这种事情,而且应该持续了很久,只是我没在意。早先我访问企业信息公示网网页显示过有攻击迹象,还有blog时不时访问不了,我都是重启了事,而且linode官方在两周前就多条ticket提示过我vps有malware,我没去看,就这样才被停掉,跟官方邮件组沟通,按照他们的提示要求一步步解决问题。

首先是进入DashBoard-Linode,到指定linode rescue tab页面,重新抢救下centos7和swap两个区,然后进入weblish页面,按照https://www.linode.com/docs/security/vulnerabilities/scanning-your-linode-for-malware/ 教程扫描整个硬盘,找出malware,并将相关扫描日志和结果全部发给邮件组等邮件组回复确认修复后,就会解禁我的vps。

最后看结果quarantine folder下有三个脚本 h32 h64 xmrig,搜索了下在直到xmrig这是个挖矿程序,然后就懂了,被人当矿机在用了,cpu长期满载去挖矿,难怪mysql会崩溃,也被人用来攻击别的机器来进行植入挖矿,也明白为何会提示风险了。

最后本来我做好服务器重置的准备,看了下电脑,我有备份的习惯,blog资料都还在,ss重新部署就行了,结果意外发现我blog还是好好的,原来只是把恶意软件给清理掉了,还是感谢linode邮件组,另外就是我英文用的最多的地方也就是linode这边了。