原本以为是网络问题，没大留意。但频繁出现数次，还居然一直持续。

在Cacti中查看，网卡占用居然达到机房百兆宽带的所有，12m/s

查看网卡的实时流量，得到了相同结果。

而且 CPU 也有点不正常，用 Top 命令查看，占用最高的是 Httpd 进程。即 Apache

原以为是受到了页面攻击，但这样在进程里头出现的，还应该有 Nginx 跟 Mysql 才对。

不会就这么孤独地只有 Apache。

正在我继续查找原因，攻击停下来了，网卡流量恢复正常。

查看了所有的 WEB 访问日志，无一是有能够解释到该现状的记录。

因为如果是 页面攻击，就好比是压力测试般，肯定会有某个或几个地址有重复不断的垃圾请求。

但日志上显示得相当悠然。

好了，没过多久，流量又来了！httpd 进程把 2个 cpu核心占用到 100%

网卡冲到 12m/s

使用网络命令 netstat -ant 查看，没有 DDOS 之类攻击所产生的 wait 。

而且链接IP还越来越少，这时候从本地 Ping 服务器的响应基本上是 timeout 了

一但把 Apache 停下来，流量就会消失。再次启动！没过多久又会再来。

为了知道到底是哪个 IP 令我产生这样的事，我安装了既时流量检测工具 iftop

iftop介绍详见：http://www.oschina.net/p/iftop

经检测，传输量最大的 IP 是 60.219.100.3 这个IP，直接访问能打开到网站。

使用 IPtables 命令禁止该IP访问本机！！无效，流量继续！

哟？？？？！！ 再次使用 IPtables 命令禁止本机访问该IP ！！！这下流量终于停了。

哟！！这事情就明白多了，绝对能断点我的服务器成为了肉鸡，受到操控对特定目标进行了攻击。

而进行攻击的木马，不是啥米东西，而是 PHP 程序！

应该是在服务器里头某个虚拟主机网站有漏洞，被放入了 PHP DDOS 攻击木马！

然而，剩下的问题就更加复杂了，如何在海量文件的目录里头找到那个木马？

希望是有一个杀毒程序能帮我扫描到….但我还没能找到这个，如果网友们有的不妨推荐推荐。

我的思路是，开启 Apache 的 Server Status。 这家伙能实时查看到 Apache 正在执行那个程序。

而且详细到执行时间，输出数据量等等…

详细可见：http://www.oschina.net/bbs/thread/12650

好了！这下我就可以坐着等兔子再次跑上门来！

还有一个方法，就是把 PHP safe_mod 打开，能禁用掉一些例如 调用 系统 Shell 参数的语法。

来导致木马无法执行。可以我倒还真想把这兔子抓住，所以现在在等待中…

####################

2010-11-9 更新

####################

PHP safe_mod 不能随意打开！期中一个副作用就是导致 Cacti 无法调用 rrdtools 等参数。

就算设置了例外目录也无效！

最后我在 Apache，PHP 上都配置了 php_admin_value open_basedir 选项。

使得虚拟主机的用户无法越权访问到所属目录外的文件，当然也包括 shell 命令了。

但无效，黑客依然能利用暗藏在目录里头的肉鸡程序发动攻击。

虽然攻击事件在凌晨或者早上！！虽然我没在电脑旁！！

但我使用了 curl 对 ApacheStatus 页面的定时抓取作为了日志！！

与 Cacti 配合，一发现高流量！就追索该时间的日志！！

哈哈！这下子被逮个正着！！！！！

以下是 ApacheStatus 的截图，Req 项特别高的！就是 PHP肉鸡程序送发送的  UDP 攻击数据包。

在此也顺便公布攻击来源，辽宁省盘锦市 联通 119.115.80.102 但也有可能是一台跳板肉鸡。

至此，我服务器上存在漏洞的网站被暂时关闭了，经查看文件修改日期，黑客还放了不少后门程序。

看了得好好清除清除才能再次上线了。

而抓到的肉鸡！用 VI 打开，居然是使用 Zend 加密的！！

有没朋友对加密这东西有办法解决的，短信我，我给你发去研究研究。

1.查看你的系统里面的swappiness

$ cat /proc/sys/vm/swappiness
不出意外的话，你应该看到是 60

2.修改swappiness值为10
$ sudo sysctl vm.swappiness=10
但是这只是临时性的修改，在你重启系统后会恢复默认的60，为长治久安，还要更进一步：

echo 10 > /proc/sys/vm/swappiness

每次出现这个情况，只需要 service network restart  或者 ifdown/ifup ethX (对于被关闭的网卡端口) 就可以恢复正常。
真有够气愤的。

解决这个问题有2种方法，第一种相对简单，就是在Linux内核中禁用 ACPI 电源管理系统。
但该方法不推荐，因为会导致服务器失去智能电源调节，增加功耗。

另外一种方法就是升级网卡驱动，以下是过程：

首先当然是去 Dell 下载一份最新的 Broadcom NetXtreme II BCM 驱动。
相信只要是 使用 Broadcom NetXtreme II BCM 5709 网卡的服务器都有必要更新，例如 R710 ，R610。

[root@localhost DRIVER]# modinfo bnx2  [首先查看当前驱动版本]
filename:       /lib/modules/2.6.18-164.el5/updates/bnx2.ko
version:        1.9.3
license:        GPL
description:    Broadcom NetXtreme II BCM5706/5708/5709/5716 Driver

[root@localhost DRIVER]# tar zxvf Bcom_LAN_14.1.5_Linux_Source_A00.tar.gz
[root@localhost DRIVER]# cd Bcom_LAN_14.1.5_Linux_Source_A00/NetXtremeII/
[root@localhost NetXtremeII]# rpm -ivh netxtreme2-5.0a.10-1.src.rpm
   1:netxtreme2             ######################## [100%]

[root@localhost NetXtremeII]# cd /usr/src/redhat/
[root@localhost redhat]# rpmbuild –bb SPECS/netxtreme2.spec
[root@localhost redhat]# rpm -ivh RPMS/x86_64/netxtreme2-5.0a.10-1.x86_64.rpm

好了，驱动都安装上了，然后有2个方法让新驱动起效，一是重启服务器。
如果不便重启的话，以下是第二种：

但过程会导致网络断开，而且没有人工干预，会无法连上。
所以如果你并不在本地操作，或者你的服务器与您相隔甚远，建议三思后行。

[root@localhost NetXtremeII]# rmmod bnx2 卸载现有驱动[注意!!!会导致网络中断]
[root@localhost NetXtremeII]# modprobe bnx2  [重新加载驱动]

但是，如果你非逼不得已。
可以用以下小方法：

把以上2个命令写成一个 sh 脚本

[root@localhost redhat]# vim lan_dr_up.sh

rmmod bnx2
modprobe bnx2

:wq

然后赐予可执行权限

[root@localhost redhat]# chmod +x lan_dr_up.sh
[root@localhost redhat]# ./lan_dr_up.sh &  [留意，在执行命令后方带有&符号，意思是让该命令在后台执行就算ssh控制端掉线了，服务器还能自主把新的网卡驱动重新加载。]

好了，下边我们再次查看网卡驱动的版本号

[root@localhost DRIVER]# modinfo bnx2  [首先查看当前驱动版本]
filename:       /lib/modules/2.6.18-164.el5/updates/bnx2.ko
version:        1.9.20d
license:        GPL
description:    Broadcom NetXtreme II BCM5706/5708/5709/5716 Driver

前段时间最折腾的事莫属：RHEL5.4和BCM5709网卡驱动问题。

系统：rhel5.4 64bit

服务器：DELL R710

默认RHEL5.4 64bit的驱动对BCM5709的网卡支持不好，网卡一遇到流量比较大就会hung up，后来不得已去dell官方去寻找驱动，同时将kernel降级为：2.6.18-128.el5（系统安装好后，我做了一个kernel的升级）这样就没有出现过hung up的情况。

既然64bit有问题，32bit的也是逃脱不了。

转载自：http://www.ourlinux.net/life/rhel54-bcm5709-nic-drivers-problem/

我们公司用 DELL_R410+CentOS 5.3 64bit也有这个问题

去BCM下载新的驱动安装就好了

我家里的服务器比较简陋，用的是普通 PC 机装的linux RedHat As5 系统，显卡也不是集成的。
自从上次跟 sun 接触了一趟，领悟到显卡其实在字符界面下用处不大，显卡=闲卡。

于是着手研究，能不能把普通PC机上的显卡给拔了，一来省电，二来野减少出错机率。
这么有个问题，很多朋友会认为显卡是主机4大核心件之一，没了显卡，开机都自检不过，谈何？

其实你们不妨先在BIOS中，把开机警报选项 Halt on 设为 no error。这么拔掉显卡开机的时候，即使不会发出清脆的 “滴”声，也能顺利通过自检进入到操作系统。加载完毕之后，你就能像往常一样使用 SSH 远程控制了。（但如果你安装Linux的时候使用的是图形界面, 这么就需要在Grub.conf中将有关图形的语句屏蔽掉, 不然启动会卡主)

但如果网络出了问题咋办？

你有2个选择，一就是把显卡插上然后重新开机！二是在Linux下也配成跟 sun 的UNIX一样，可以通过串口终端操控。

完整操作如下：

1, 如果安装时以GRUB方式加载的，需要在Grub.conf中将有关图形的语句屏蔽掉。

 #splashimage=(hd0,0)/grub/splash.xpm.gz
2,启动linux系统并修改文件

   A)在文件/etc/inittab中添加以下内容：
   co:2345:respawn:/sbin/agetty ttyS0 115200 vt100-nav
 此处的波特率115200 可以根据Bios里面的选项设置。不一定非要为115200。我们刀片默认的波特率为9600。但是实际使用时发现115200更顺畅些。

   B)在文件/etc/lilo.conf中添加以下内容：
   serial=0
   append=”console=tty0 console=ttyS0,115200n8″
3, 重新启动linux系统，显卡和串口都会显示启动信息，摘掉显卡，linux系统可以启动，串口可以进行常规操作。

但如果你说, 想在无显卡状态下用 串口来装Linux 呢?

可以！但前提是你的主板具备 VGA 映射到串口的功能. (一般PC都没有,但大多数服务器主板都有..）

如果你的PC主板真的有！(这不是一块普通的PC主板) 你在BIOS设置了相关的选项之后，在安装提示符输入 Linux text 然后回车, 安装过程就会以字符方式在串口中顺利进行。

注：我安装的操作系统信息如下,这些信息是安装好操作系统后才能看见的哈。
# cat /etc/release
                      Solaris 10 1/06 s10s_u1wos_19a SPARC
          Copyright 2005 Sun Microsystems, Inc.  All Rights Reserved.
                        Use is subject to license terms.
                          Assembled 07 December 2005
#prtdiag -v
系统配置：Sun Microsystems  sun4u Sun Fire V440
系统时钟频率：177 MHz
内存大小：4GB

# prtconf | grep “Memory size”
Memory size: 4096 Megabytes

# swap -s
75576k  +  6208k =  81784k7987488k

# df -h /tmp                         
swap                  7.6G  872K  7.6G    1%    /tmp

# /bin/isainfo -kv
64-bit sparcv9 kernel modules

# uname -r
5.10

# pkginfo -i SUNWarc SUNWbtool SUNWhea SUNWlibm SUNWlibms SUNWsprot SUNWtoo SUNWi1of SUNWxwfnt
system      SUNWarc  Lint Libraries (usr)
system      SUNWbtool CCS tools bundled with SunOS
system      SUNWhea  SunOS Header Files
system      SUNWi1of  ISO-8859-1 (Latin-1) Optional Fonts
system      SUNWlibm  Math & Microtasking Library Headers & Lint Files (Usr)
system      SUNWlibms Math & Microtasking Libraries (Usr)
system      SUNWsprot Solaris Bundled tools
system      SUNWtoo  Programming Tools
system      SUNWxwfnt X Window System platform required fonts

*****************************************************************************************
开始安装：
1、在串口端输入#.，这就进入sc>状态，在sc>状态输入console就进入显示框状态，如果现在系统已经安装并运行起，在root权限下，输入#init 0就进入ok状态；

2、在ok状态执行：
  ok setenv auto-boot? false
  ok reset-all

3、系统重新启动后，在ok状态下停下
  执行：
  ok boot cdrom
  // ok boot cdrom -s (-s,是single user状态),装系统，不用这种方式

4、这样就开始装操作系统
  6//选择中文简体
  12//X 终端显示
  然后用Esc+2的方式配置系统信息，这个配置的练习，建议在虚拟机下装个solaris10就会了。

  记得选择 自动弹出DVD 自动重新引导
  直接安装新的(选择初始)而不升级，选择Esc+4不是Esc+2哈。
  选择产品的时候，都选择，因为我的Document光盘掉了，就选择剩下的
  > [X] Solaris 10 Extra Value Software……………..  87.26 MB
  > [ ] Solaris 10 Documentation……………………    0.00 MB
  > [X] Java Enterprise System…………………….. 1671.65 MB
  > [X] Solaris Software Companion…………………. 1798.83 MB
    其他的就是缺省

    注：我以后还要安装Oracle10g,SunStudio11,Weblogic在这个操作系统上，需要修改swap和/空间大小，swap自动安装分配的是512M,我把swap空间增大到3999M，我把/增加到20004M,我把/export/home大小改小到45990M,记住，先改/export/home大小，就有空间了，然后增加到swap和/上。
//我按照的原则：swap的最小空间与内存大小有关，内存1G，则swap为内存的2倍，内存小于2G，则swap为内存的1.5倍，内存小于8G，swap和内存相等，内存大于8G，则swap为内存的0.75倍。
，网上这么说的。如果你要练习装solaris10的话，不用管swap,一切自动分配，你装系统3次以上，再考虑这个哈，多装才有长进。在系统装好以后，也能增加swap空间。
    项: /                              推荐的: 5322 MB        最小: 4527 MB
================================================================================
  分片  安装点                      大小 (MB)
    0  /                              20004
    1  swap                            3999
    2  overlap                        69994
    3                                      0
    4                                      0
    5                                      0
    6                                      0
    7  /export/home                    45990
================================================================================
                            容量:      69994 MB
                            分配:      69993 MB
                    四舍五入错误:          1 MB
                            空闲:          0 MB

5、安装好后，会出现七个问题。
  a、Solaris10无法启动到XWindows下的解决办法
        #bash
        #cp /etc/resolv.conf /etc/resolv.conf.bak
# echo “192.168.1.200″>/etc/resolv.conf  //我的IP是192.168.1.200哈
# svcadm enable -t svc:/network/dns/client
# svcadm enable -t svc:/network/inetd
# sync
# init 0
        进入ok状态
        ok setenv auto-boot? true //这个步骤是，系统可以自动启动，前面有个设置是setenv auto-boot? false，现在改过来。
        有两种方法启动系统
        1、第一种
        #.
        进入sc>状态
        sc>poweroff
        sc>poweron
        sc>console
        2、第二种
        ok reset -all
        就行了。
  b、要创建个用户才能登录
  在串口管理器下，创建用户(要进入系统，root权限)
  #bash
  #useradd -d /export/home/user -m -s /usr/bin/bash user
  #passwd user
  输入密码
  然后通过Xmanger登录(XDMCP方式)系统，进行以下步骤
  c、Xmanager无法用root登录solaris的方法，SUN机器的权限没有打开
        你把/etc/default/login 中的”console”行注销”#”，不用重新启动就OK了。
        $su root
        #bash
        #cp /etc/default/login /etc/default/login.bak
        #gedit /etc/default/login
        把CONSOLE=/dev/console变成#CONSOLE=/dev/console就行
  d、root用户ftp到solaris10的方法
        修改/etc/ftpd/ftpusers
        将root注释掉，不用重新启动就OK了。
        # cp /etc/ftpd/ftpusers /etc/ftpd/ftpusers.bak
        # gedit /etc/ftpd/ftpusers
        把root变成#root就行。

  e、因为我用的是SUN V440服务器，带了4个SCSI硬盘，装好系统后，只能看见一个硬盘，我手动mount了硬盘，但我需要自动mount硬盘，利用format可以查看所有的硬盘
        方法是：
        #cd /export
        #mkdir home1 home2 home3
        #cp /etc/vfstab /etc/vfstab.bak
        #gedit /etc/vfstab
        修改/etc/vfstab文件
/dev/dsk/c1t1d0s2 /dev/rdsk/c1t1d0s2 /export/home1 ufs 2 yes -
/dev/dsk/c1t2d0s2 /dev/rdsk/c1t2d0s2 /export/home2 ufs 2 yes -
/dev/dsk/c1t3d0s2 /dev/rdsk/c1t3d0s2 /export/home3 ufs 2 yes -
        就可以自动加载了，
      手动加载的方法是：

      #mount /dev/dsk/c1t1d0s2 /export/home1
      #mount /dev/dsk/c1t2d0s2 /export/home2
      #mount /dev/dsk/c1t3d0s2 /export/home3
      我装系统的盘是安装时自动分配的，
/dev/dsk/c1t0d0s7 /dev/rdsk/c1t0d0s7 /export/home ufs 2 yes -
      这里就比着写其他硬盘的信息。
    f、遇到My unqualified host name unknown错误解决办法是：
    修改：
    #cp /etc/hosts /etc/hosts.bak
    #gedit /etc/hosts
    在/etc/hosts文件中
    将
#
# Internet host table
#
127.0.0.1 localhost
200.2.0.102 WiseTTMS loghost
    改为
#
# Internet host table
#
127.0.0.1 localhost
200.2.0.102 WiseTTMS  WiseTTMS.wisesoft.com loghost

    然后在命令行中执行
    #svcadm  restart /network/smtp:sendmail
    #reboot
    就可以了。
**********************************************************************
    g、由于我安装的出来的系统，CDE图片和以往的不一样，向改成以前的。
    方法是打补丁
    先打119280-08.zip，再打119278-20.zip
    #unzip 119280-08.zip
    #unzip 119278-20.zip
    #cp -r 119280-08 /var/tmp
    #cp -r 119278-20 /var/tmp
    #cd /var/tmp
    #patchadd 119280-08
    #patchadd 119278-20
    就行了。  这个打了，Xmanager都没办法访问了。用patchrm 119278-20,patchrm 119280-08
    删除后，又可以使用了。
***********************************************************************

6、对系统升级，打补丁，把补丁程序放到/var/tmp下，升级补丁
  都运行相应目录的./install_cluster，每个补丁打完后，要重启一次计算机。
  用root用户登录：
  a、10_Recommended
  # cp -r 10_Recommended /var/tmp
  # cd /var/tmp/10_Recommended
  # ./install_incluster

  b、10_SunAlert_Patch_Cluster
  # cp -r 10_SunAlert_Patch_Cluster /var/tmp
  # cd /var/tmp/10_SunAlert_Patch_Cluster
  # ./install_incluster
  //这个补丁需要装两次，因为第一次，还有1个补丁没有装上，装第2次，才能装上。

  c、J2SE_Solaris_10_Recommended
  # cp -r J2SE_Solaris_10_Recommended /var/tmp
  # cd /var/tmp/J2SE_Solaris_10_Recommended
  # ./install_incluster

  d、suncluster-3_2u1-ga-solaris-sparc (这个是集群的程序，可以不安装)
  如果安装了suncluster-3_2u1-ga-solaris-sparc软件，就会出现
  NOTICE: Can’t open /etc/cluster/nodeid                                     
  NOTICE: BOOTING IN NON CLUSTER MODE

补丁安装前，系统显示
SunOS Release 5.10 Version Generic_118822-25 64-bit
Copyright 1983-2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
补丁10_Recommended安装后，系统显示
SunOS Release 5.10 Version Generic_118833-36 64-bit
Copyright 1983-2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
补丁10_SunAlert_Patch_Cluster安装后，系统显示
SunOS Release 5.10 Version Generic_120011-14 64-bit
Copyright 1983-2007 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
补丁J2SE_Solaris_10_Recommended安装后，没有打上补丁。
 
这样就安装了系统,升级了部分补丁.安装好后，reboot系统就可以了。

谷歌首次公开了其服务器设计的神秘面纱

　　大多数企业都是从戴尔、惠普、IBM或Sun购买服务器系统，而谷歌的服务器系统却是自己设计的。谷歌服务器最令人意外的是，每台服务器都配有12V的备用电池。当主电源发生意外时，电池可以继续供电。

谷歌服务器的侧面

　　通常，数据中心采用大型的不间断电源(以下简称“UPS”)作为备用电源，而谷歌服务器却采用了12V的电池。对此，本·翟称：“与UPS相比，电池的成本更低。” 

谷歌员工正在检查数据中心

　　而且，电池比UPS更有效率。通常，大型UPS的有效率为92%至95%，这意味着一部分电能被浪费掉，而电池的有效率为99.9%。

谷歌服务器设计图

　　能源使用效率(以下简称“PUE”)是衡量数据中心是否节能的一个重要标准，数值为1代表所有的能耗全部用在设备上，而沒有用在冷卻或供电系统上；如果是1.5，意味着50%的能源被后者耗费。

　　2008年第三季度，谷歌数据中心的PUE值为1.21，本来已经很低，但第四季度又降至1.20，后又降至1.19。

　　谷歌一向重视节能，并愿意共享节能经验。谷歌运营副总裁乌尔斯·霍尔茨(Urs Hoelzle)称，随着环保意识的提升，能源价格的上涨，以及经济低迷导致企业削减运营成本，现在是谷歌共享节能经验的好时机。

　　另外，从2005年开始，谷歌的数据中心就采用了标准的集装箱式设计：每个集装箱拥有1160台服务器，能耗为250千瓦，而每个数据中心拥有多个集装箱。

　　谷歌的服务器厚度为3.5英寸，配备两个处理器、两块硬盘，采用拥有8个内存插槽的技嘉主板。谷歌核心服务器设计师本·翟(Ben Jai)称，谷歌服务器设计始于2005年，如今已进入第六代和第七代。

　　运营谷歌这种规模的大企业必然挑战重重，但同时不乏有利的一面。例如，某一领域的研发成果还可以应用到其他大量的基础架构中，从而加快投资回报速度。