最近几日被挂马挂的头晕,一直很难查到具体哪个网站的漏洞。也是原来的设置不够严谨,导致了这次的后果。一直想像apache,IIS一样来隔离网站,不让木马跨站入侵。网上找了下nginx本身不带这个功能设置,也有牛人修改了nginx实现了网站隔离,那nginx真的没办法隔离吗?今天终于找到了方法,和apache一样,利用php.ini的open_basedir来实现分离。
我们知道在nginx中运行PHP实际上是PHP-CGI处理的,这里的方法我们用PHP-FPM来实现。PHP-FPM里有一个重写PHP.ini的设置的地方,那么我们把需要隔离的网站用独立的PHP-CGI进程来跑,缺点就是比原来共享PHP-CGI进程要占用更多的内存,因为PHP-CGI进程多了嘛。
先在NGINX里指定解析的PHP进程,我这里没有用端口模式,用端口模式也一样。
在国内,现在以牟取利益为目的的黑客行为太猖獗,甚至过于泛滥。盗取支付宝钱财,盗取游戏装备,虚拟币出售,盗取网站程序出售,盗取她人隐私敲诈等等,这些都是非常严重的侵害人民利益的犯罪行为。而这点和中国网警和互联网的犯罪打击不重视有关,中国的网警在做什么?在查哪个言论违反了XXX红头文件,在查哪个论坛又没备案了,整天搞这些东西,而真正的网络犯罪呢?网上碰到一个网友,她说他前几年网银被盗,被偷了几万块钱,去公安局报案,当地警察查了下,确定在四川那面被取出来了。因为不在一个地区的,办案困难,警察就不肯继续查下去了,说给2万块钱,可以帮她跑一次四川。听后真是气愤,警察面对犯罪,还能有不肯做的事情。偷窃之人,绝对不是偷取一个人的钱财,继续追下去就是揭露一个网站的罪恶产业链。
互联网严打不应该在针对网民言论上,而应该在切切实实的打击网络犯罪上,才是深得民心之举。何时才能还我们一个清净的环境。
搬动服务器后,出现一个诡异的问题,远程FTP能登录服务器,能列出目录,就是不能新建,删除等等写操作。每次操作就会提示550 Access is Denied,表面看貌似是权限问题或者是防火墙问题,但是记得权限应该提示permission Denied。昨天查了一天GG没有找到答案,也把防火墙端口全开了做测试都没有结果。有人说selinux会导致无法写操作,但是提示的错误是不一样的,再说selinux我也关闭了。
今天运气好,测试下搜索 FTP 550 Access is Denied,没想到被我找到一位繁体的老兄的博客上记录了这样的错误,导致原因居然是前面的ISA防护墙,原来怀疑过这个东西有什么保护措施,但是防火墙管理员说全开了。ISA的预设规则里FTP是read only的,需要把规则里的勾去掉。一切OK了。
用户常常抱怨dz的搜索搜不出想要的东西。
环境 CentOS5.3 X86_64
经过大半天的测试,终于装上了coreseek3.1,中间碰到不少问题
mmseg安装是比较容易。
./configure –prefix=/usr/servers/mmseg
make
make install
coreseek安装的时候会出现一些问题,我没有选择python支持。
./configure –prefix=/usr/servers/coreseek –with-mysql=/usr/servers/mysql –with-mysql-includes=/usr/servers/mysql/include/mysql –with-mysql-lib=/usr/servers/mysql/lib/mysql –with-mmseg-includes=/usr/servers/mmseg/include/mmseg –with-mmseg-libs=/usr/servers/mmseg/lib/ –enable-id64 –with-liconv
undefined reference to `libiconv_open’
undefined reference to `libiconv_close’
中国人似乎对欧美跨国公司抱有天生的崇敬之情,似乎这些巨无霸翻云覆雨无所不能,以至于跨国公司阴谋论的调调儿层出不穷。但在互联网行当里面,这是个例外,因为中国本土网络企业将国际网络巨头统统杀得片甲不留!
世界上曾经最大的互联网门户网公司时代华纳旗下AOL(美国在线)网站,今年3月份,向外界宣布其退出中国内地,终止北京公司的运营。对于AOL停 止在华业务,不少人的第一反应是,“什么?AOL在中国也有运营?”中国的市场,一直就是国际互联网大佬们的伤心地。全球最大的社区网站MY SPACE在中国一事无成;EBAY旗下的易趣由于经营不善,在2005年烧掉1亿美元巨资后,最终全盘嫁给本土公司TOM;雅虎中国在并入阿里巴巴后, 游移不定;而亚马逊全资收购的卓越网也未能收获成功。即使是创造互联网最大神话的谷歌,在中国也和领先者百度有着巨大的差距……如果说出淘宝网和阿里巴巴 的名头,只怕欧美所有网络巨头都得低头致敬。
互联网在草根站长手里创造了诸多的奇迹,在中国互联网的站长历史上写下了光辉的一笔。但是这一切可能远去,死于野蛮粗暴的执法。09年的年末对个人站长是一个难熬的年关。随着btchina的倒下,广电总局向bt发起了总攻,视频站一个接一个倒掉,这条路彻底向个人站长关闭了。
接下来就是轰轰烈烈的网络扫黄,本来是一件得民心的事情,可是除了官方媒体在叫好之外,个人站长抱怨声不断,国内机房连二连三遭到一刀切的摧残。站长的正当利益遭到了无情的践踏。此时的站长在国家机器面前就如宇宙中的尘埃,太渺小了啊。站长只能默默忍受着多年经营的希望被强奸,除了能在各大bbs上抱怨,面对强大的施暴者还能做什么?
自从使用了这台服务器,问题不断。经常出现网卡不工作,自己ping自己能通,其他机器ping不通。问题很诡异,我整整查了一周,开始以为是软件和系统问题,折腾了一阵,无果,准确换驱动的时候,在google里一查,碰到类似问题的不止我一个。看了下解决方法,有2个,但是我用了第二个方法,结果运行了3天后,又出现问题。
上周在迁移网站到新服务器的时候,碰到了PHP-CGI经常跑着跑着占到100%CPU,然后进程全部卡死,网站没有响应。
在经过一天的观察下,在FPM下有错误日志
11月 13 21:19:21.219359 [NOTICE] fpm_got_signal(), line 48: received SIGCHLD
11月 13 21:19:21.219415 [NOTICE] fpm_children_bury(), line 194: child 7528 stopped for tracing
11月 13 21:19:21.219426 [NOTICE] fpm_php_trace(), line 139: about to trace 7528
11月 13 21:19:21.219579 [ERROR] fpm_trace_get_long(), line 78: ptrace(PEEKDATA) failed: 输入/输出错误 (5)
11月 13 21:19:21.220292 [NOTICE] fpm_php_trace(), line 167: finished trace of 7528
google了一下在nginx论坛上也有人问起这个问题,但是没有解决方法。
开始无从下手,换成Spawnfcgi管理php-cgi。结果跑了一个晚上,还以为解决的时候,当我早上登录服务器发现,诡异的事情又出现了,CPU急剧上升100%,负载上升到80-100多。
前几天为了和一个名师联系,但是由于台湾的yahoo博客被封了,于是就下了一个tor穿墙。用的正欢,昨天开始,tor就连不上了。现在的GFW还是很厉害的,封的很死,加上现在IP代理发布站都被和谐掉,几个翻墙浏览器也被喀嚓。心里咯噔一下,难道这下没辙了。
网上搜了一下,还是有人有办法的。
tor提供一个网桥中继功能。
对mysql的优化不在行,搞过几次优化,但是都不是很理想,还是浪费资源太多。一直发现我的mysql的缓存命中率极差,情况良好的时候到达过60-70%,但是运行时间一长,只有10-20%。查了一些资料,关于缓存的一些参数记录
mysql> SHOW VARIABLES LIKE ‘%query_cache%’;
+——————————+———-+
| Variable_name | Value |
+——————————+———-+
| have_query_cache | YES |
| query_cache_limit | 1048576 |
| query_cache_min_res_unit | 4096 |
| query_cache_size | 67108864 |
| query_cache_type | ON |
| query_cache_wlock_invalidate | OFF |
+——————————+———-+
6 rows in set (0.00 sec)
由 WordPress 所驱动