原本以为是网络问题，没大留意。但频繁出现数次，还居然一直持续。

在Cacti中查看，网卡占用居然达到机房百兆宽带的所有，12m/s

查看网卡的实时流量，得到了相同结果。

而且 CPU 也有点不正常，用 Top 命令查看，占用最高的是 Httpd 进程。即 Apache

原以为是受到了页面攻击，但这样在进程里头出现的，还应该有 Nginx 跟 Mysql 才对。

不会就这么孤独地只有 Apache。

正在我继续查找原因，攻击停下来了，网卡流量恢复正常。

查看了所有的 WEB 访问日志，无一是有能够解释到该现状的记录。

因为如果是 页面攻击，就好比是压力测试般，肯定会有某个或几个地址有重复不断的垃圾请求。

但日志上显示得相当悠然。

好了，没过多久，流量又来了！httpd 进程把 2个 cpu核心占用到 100%

网卡冲到 12m/s

使用网络命令 netstat -ant 查看，没有 DDOS 之类攻击所产生的 wait 。

而且链接IP还越来越少，这时候从本地 Ping 服务器的响应基本上是 timeout 了

一但把 Apache 停下来，流量就会消失。再次启动！没过多久又会再来。

为了知道到底是哪个 IP 令我产生这样的事，我安装了既时流量检测工具 iftop

iftop介绍详见：http://www.oschina.net/p/iftop

经检测，传输量最大的 IP 是 60.219.100.3 这个IP，直接访问能打开到网站。

使用 IPtables 命令禁止该IP访问本机！！无效，流量继续！

哟？？？？！！ 再次使用 IPtables 命令禁止本机访问该IP ！！！这下流量终于停了。

哟！！这事情就明白多了，绝对能断点我的服务器成为了肉鸡，受到操控对特定目标进行了攻击。

而进行攻击的木马，不是啥米东西，而是 PHP 程序！

应该是在服务器里头某个虚拟主机网站有漏洞，被放入了 PHP DDOS 攻击木马！

然而，剩下的问题就更加复杂了，如何在海量文件的目录里头找到那个木马？

希望是有一个杀毒程序能帮我扫描到….但我还没能找到这个，如果网友们有的不妨推荐推荐。

我的思路是，开启 Apache 的 Server Status。 这家伙能实时查看到 Apache 正在执行那个程序。

而且详细到执行时间，输出数据量等等…

详细可见：http://www.oschina.net/bbs/thread/12650

好了！这下我就可以坐着等兔子再次跑上门来！

还有一个方法，就是把 PHP safe_mod 打开，能禁用掉一些例如 调用 系统 Shell 参数的语法。

来导致木马无法执行。可以我倒还真想把这兔子抓住，所以现在在等待中…

####################

2010-11-9 更新

####################

PHP safe_mod 不能随意打开！期中一个副作用就是导致 Cacti 无法调用 rrdtools 等参数。

就算设置了例外目录也无效！

最后我在 Apache，PHP 上都配置了 php_admin_value open_basedir 选项。

使得虚拟主机的用户无法越权访问到所属目录外的文件，当然也包括 shell 命令了。

但无效，黑客依然能利用暗藏在目录里头的肉鸡程序发动攻击。

虽然攻击事件在凌晨或者早上！！虽然我没在电脑旁！！

但我使用了 curl 对 ApacheStatus 页面的定时抓取作为了日志！！

与 Cacti 配合，一发现高流量！就追索该时间的日志！！

哈哈！这下子被逮个正着！！！！！

以下是 ApacheStatus 的截图，Req 项特别高的！就是 PHP肉鸡程序送发送的  UDP 攻击数据包。

在此也顺便公布攻击来源，辽宁省盘锦市 联通 119.115.80.102 但也有可能是一台跳板肉鸡。

至此，我服务器上存在漏洞的网站被暂时关闭了，经查看文件修改日期，黑客还放了不少后门程序。

看了得好好清除清除才能再次上线了。

而抓到的肉鸡！用 VI 打开，居然是使用 Zend 加密的！！

有没朋友对加密这东西有办法解决的，短信我，我给你发去研究研究。

iftop 是类似于top的实时流量监控工具。主要用来显示本机网络流量情况及各相互通信的流量集合，如单独同那台机器间的流量大小，非常适合于代理服务器和iptables服务器使用

官方网站：http://www.ex-parrot.com/~pdw/iftop/

安装iftop
安装方法1、编译安装

如果采用编译安装可以到iftop官网下载最新的源码包。

安装前需要已经安装好基本的编译所需的环境，比如make、gcc、autoconf等。安装iftop还需要安装libpcap和libcurses。

CentOS上安装所需依赖包：

yum install flex byacc  libpcap ncurses ncurses-devel libpcap-devel

Debian上安装所需依赖包：

apt-get install flex byacc  libpcap0.8 libncurses5

下载iftop

wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz

tar zxvf iftop-0.17.tar.gz

cd iftop-0.17

./configure

make && make install

configure: error: can’t find pcap.h
You’re not going to get very far without libpcap.
那你需要先安装libpcap，找到相应的rpm文件，比如：

-rw-r–r– 1 root root  108987 Apr  3 08:21 libpcap-0.9.4-8.1.i386.rpm
-rw-r–r– 1 root root  119062 Apr  3 08:21 libpcap-devel-0.9.4-8.1.i386.rpm

安装方法2：(懒人办法，最简单)
直接省略上面的步骤
flibpcap-0.9.4-14.el5.x86_64.rpm
CentOS系统：

yum install flex byacc  libpcap ncurses ncurses-devel

wget ftp://fr2.rpmfind.net/linux/dag/redhat/el5/en/i386/dag/RPMS/iftop-0.17-1.el5.rf.i386.rpm

rpm -ivh iftop-0.17-1.el5.rf.i386.rpm

Debian系统 运行：apt-get install iftop

运行iftop
直接运行： iftop

1、iftop界面相关说明
界面上面显示的是类似刻度尺的刻度范围，为显示流量图形的长条作标尺用的。

中间的<= =>这两个左右箭头，表示的是流量的方向。

TX：发送流量
RX：接收流量
TOTAL：总流量
Cumm：运行iftop到目前时间的总流量
peak：流量峰值
rates：分别表示过去 2s 10s 40s 的平均流量

2、iftop相关参数
常用的参数
-i设定监测的网卡，如：# iftop -i eth1

-B 以bytes为单位显示流量(默认是bits)，如：# iftop -B

-n使host信息默认直接都显示IP，如：# iftop -n

-N使端口信息默认直接都显示端口号，如: # iftop -N

-F显示特定网段的进出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0

-h（display this message），帮助，显示参数信息

-p使用这个参数后，中间的列表显示的本地主机信息，出现了本机以外的IP信息;

-b使流量图形条默认就显示;

-f这个暂时还不太会用，过滤计算包用的;

-P使host信息及端口信息默认就都显示;

-m设置界面最上边的刻度的最大值，刻度分五个大段显示，例：# iftop -m 100M

进入iftop画面后的一些操作命令(注意大小写)

按h切换是否显示帮助;

按n切换显示本机的IP或主机名;

按s切换是否显示本机的host信息;

按d切换是否显示远端目标主机的host信息;

按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;

按N切换显示端口号或端口服务名称;

按S切换是否显示本机的端口信息;

按D切换是否显示远端目标主机的端口信息;

按p切换是否显示端口信息;

按P切换暂停/继续显示;

按b切换是否显示平均流量图形条;

按B切换计算2秒或10秒或40秒内的平均流量;

按T切换是否显示每个连接的总流量;

按l打开屏幕过滤功能，输入要过滤的字符，比如ip,按回车后，屏幕就只显示这个IP相关的流量信息;

按L切换显示画面上边的刻度;刻度不同，流量图形条会有变化;

按j或按k可以向上或向下滚动屏幕显示的连接记录;

按1或2或3可以根据右侧显示的三列流量数据进行排序;

按<根据左边的本机名或IP排序;

按>根据远端目标主机的主机名或IP排序;

按o切换是否固定只显示当前的连接;

按f可以编辑过滤代码，这是翻译过来的说法，我还没用过这个！

按!可以使用shell命令，这个没用过！没搞明白啥命令在这好用呢！

按q退出监控。

linux 花生壳 不稳定? 自动退出? 无法开机启动???? 这里解决！！！

都不知道是不是我样的问题..

花生在我的Linux服务器上，总喜欢自动退出…频率大概是1个月一次，有时候就变成了2个月一次！~~之前老摸不着头脑…唉~~原来是我 服务器直接PPPOe拨号的问题…为了速度，我没有经过路由，直接就把ADSL 的网线插到网卡上了.

所以，一旦电信换IP~PPPOe要断线的时候，花生就跟着退出了…这是个BUG来的..

而开机启动发现没有花生进程…原因也是一样..开机，PPPOe没这么快接入网络.所以导致花生也是因为这个原因所以自动退出了…

其实它是已经加载了..但因为没网络所以退出了，所以大家就以为他没有启动..

————————-

解决方法！！~~~使用 Linux 的计划任务 crontab

# crontab -e (输入，编辑任务）

* * * * * /usr/local/phlinux/phlinux -d （把这行新建进去，每分钟运行）

:wq （保存退出）

# /etc/rc.d/init.d/crond restart (重新启动计划任务器）

这样一来，先前我提出的 花生在Linux下会不稳定无故退出的问题得以解决。就算退出了，也会在一分钟内再次启动。

而服务器开机时，也只要多等1分钟，花生就能起来了！

经过实验，也不会重复出现多个 phlinux 进程~占用的内存也一样。

网站的访问丝毫无损.

成功！~

这一篇就给高级的用户介绍一下，如何在 clarkconnect 上配置必要的开发环境。
编译安装各种软件，令其功能更加完善。

首先是 vim
在 clarkconnect 默认的环境中，只有vi ，而没带有语法高亮的vim。
安装方法相当简单，你只需要 ssh 到 clarkconnect 上，然后yum 自动安装。

# yum install vim-common vim-minimal vim-enhanced (3个包)

Transaction Summary
=============================================================================
Install      3 Package(s)
Update       0 Package(s)
Remove       0 Package(s)

Total download size: 7.9 M
Is this ok [y/N]:
你就是按 Y ，vim 包就能自动下载并完成安装。

接着来就是 gcc
也是使用相同的方法：
# yum install gcc*  (安装跟gcc有关的所有包)

以上2个软件都配置完成后，基本的开发环境就构成了。
然后你就可以在上边顺利地，解包并编译安装 Nginx 的各种版本。
令你的clarkconnect路由器具备反向代理功能。
( 原来clarkconnect自带也有 apache 实现这个功能，但始终都是Nginx性能强大)

然后如果你需要网络文件系统，就更进一步。
也是使用以上方式：
# yum install nfs*

Transaction Summary
=============================================================================
Install      7 Package(s)
Update       0 Package(s)
Remove       0 Package(s)

Total download size: 614 k

按Y确认，共下载安装7个包。
分布是：

(1/7): nfs-utils-lib-1.0.8-7.2.z2.i386.rpm               |  55 kB     00:01
(2/7): nfs-utils-lib-devel-1.0.8-7.2.z2.i386.rpm         |  58 kB     00:01
(3/7): nfs4-acl-tools-0.3.1-1.el5.1.i386.rpm             |  42 kB     00:01
(4/7): libevent-1.1a-3.2.1.i386.rpm                      |  20 kB     00:00
(5/7): portmap-4.0-65.2.2.1.i386.rpm                     |  37 kB     00:01
(6/7): libgssapi-0.10-2.i386.rpm                         |  22 kB     00:00
(7/7): nfs-utils-1.0.9-35z.v5.i386.rpm                   | 379 kB     00:03

yum 安装的好处就是，自动装，不用你管。
(但在生产环境中要慎用，因为其往往就是太自动，会把你某些以存在的软件干掉而不通知你)

NFS 安装包都完成后，路由器就可以充当 NFS 服务器，以及客户端。
服务器端就需开启 nfsd 服务，而客户端就需要启动 portmap 服务，才能把远程服务器上的nfs分区 mount 到本地。

# service portmap start             [ ok ]

# mount -t nfs -o bg 192.168.10.2:/data /data

总之，其实真的很简单，需要添加 clarkconnect 的功能，使用 Yum 能给你完成接近 90% 的事！剩下的就需要你告诉它究竟要装些什么就得了。

谷歌首次公开了其服务器设计的神秘面纱

　　大多数企业都是从戴尔、惠普、IBM或Sun购买服务器系统，而谷歌的服务器系统却是自己设计的。谷歌服务器最令人意外的是，每台服务器都配有12V的备用电池。当主电源发生意外时，电池可以继续供电。

谷歌服务器的侧面

　　通常，数据中心采用大型的不间断电源(以下简称“UPS”)作为备用电源，而谷歌服务器却采用了12V的电池。对此，本·翟称：“与UPS相比，电池的成本更低。” 

谷歌员工正在检查数据中心

　　而且，电池比UPS更有效率。通常，大型UPS的有效率为92%至95%，这意味着一部分电能被浪费掉，而电池的有效率为99.9%。

谷歌服务器设计图

　　能源使用效率(以下简称“PUE”)是衡量数据中心是否节能的一个重要标准，数值为1代表所有的能耗全部用在设备上，而沒有用在冷卻或供电系统上；如果是1.5，意味着50%的能源被后者耗费。

　　2008年第三季度，谷歌数据中心的PUE值为1.21，本来已经很低，但第四季度又降至1.20，后又降至1.19。

　　谷歌一向重视节能，并愿意共享节能经验。谷歌运营副总裁乌尔斯·霍尔茨(Urs Hoelzle)称，随着环保意识的提升，能源价格的上涨，以及经济低迷导致企业削减运营成本，现在是谷歌共享节能经验的好时机。

　　另外，从2005年开始，谷歌的数据中心就采用了标准的集装箱式设计：每个集装箱拥有1160台服务器，能耗为250千瓦，而每个数据中心拥有多个集装箱。

　　谷歌的服务器厚度为3.5英寸，配备两个处理器、两块硬盘，采用拥有8个内存插槽的技嘉主板。谷歌核心服务器设计师本·翟(Ben Jai)称，谷歌服务器设计始于2005年，如今已进入第六代和第七代。

　　运营谷歌这种规模的大企业必然挑战重重，但同时不乏有利的一面。例如，某一领域的研发成果还可以应用到其他大量的基础架构中，从而加快投资回报速度。

尝试使用软路由!, 付费的一大堆, 配置超级复杂难以操作。
而且对机器的配置, 网卡等硬件要求较高, 动不动就因没有驱动而无法安装。

但现在只要拥有Linux开源软件的帮助，并且再拥有一点来自ClarkConnect的帮助，你就可以将一台标准的PC机转化成一台专用的宽带网关和易用的网络服务器。ClarkConnect对小型企业、家庭办公室和联网家庭而言是一份优秀的解决方案。它在Red Hat的基础上移除了不必要的软件并进行了安全加固，一些有用的Internet网关软件被添加进来，并且安装过程也被设计得更加简便。

最近 ClarkConnect 发布了全新的 Community Edition 5.0  同样基于 RedHat 。
核心版本号为 2.6.18-128.2.16.v5  应该是基于 RedHat As5.x

内置的功能已经可以满足大部分 Home & office 甚至网吧用户的需求。例如：

1，大家最感兴趣的单个用户IP 流量限制。(或者称QOS)
2，强大的防火墙，上网行为管理，轻易封掉用户的 QQ，MSN…的 TM  软件，又或者是 BT，迅雷，emule…
3，构建自己的内网邮件服务器。
4，Proxy 反向代理功能。
…… 等等….

但唯一遗憾的是由于该版本在 ClarkConnect  定位是 for Home & office，所以并不具备双线均衡负载的功能。

项目主页： http://www.clarkconnect.com/ 下载地址： http://www.clarkconnect.com/downloads/

安装方式都是以向导形式的,相对简单!
只要你把下载下来的ISO镜像刻录成光盘.
放到配置不是太太太低的电脑上启动,就能一步步完成系统的安装.

CPU: 不限
内存: 64M 以上
硬盘: 4G 以上
网卡: 最好为常见品牌,型号。

下边是配置过程！

引导后, 出现第一个界面, 输入 linux 然后回车

选择语言, 这里万分建议保持默认的英文. 因为经我试验,中文显示出的是乱码.让你无法看。

键盘布局也维持默认的 US

选择安装的来源, 选择光驱

选择安装的模式, 全新安装还是升级, 我们这里选择全新安装

友情告示, 全新安装将完全删除本机硬盘中所有数据, 请谨慎操作.
确认安装请输入 “ClarkConnect”

选择工作模式, 网关还是路由, 我们这里选择网关。

选择你所要共享的网络类型, ADSL 的选 PPPOE, 我的网络环境是 LAN 的,所以选择 Ethernet。

选择 Ethernet 的类型, 自动获取IP, 或者手动指定。我选择了手动指定.

输入所指定的
IP地址, 子网俺码.
网关地址.
DNS 服务器地址.

设置管理员的密码

硬盘分区的设置, 一般选择第一个默认就ok了.

选择路由器的配置, 即路由的功能, 建议全部都选上.

选择路由器的高级服务, 例如 httpd 服务器, 邮件服务器, FTP服务器, 文件服务器….
建议都选上, 顶多占多几百M空间. 不如以后想到要用起就必须重装才有了。

确认你所有的配置, 选择 Done 开始安装。

安装进行中

安装完毕后需重新启动

重新启动后本地所看到的界面。

然后在你内网的机器, ping 一下你刚才在路由器上所设置的 ip。
看路由器是否已经连上网络。
一般如果ping不同, 试试调换一下内网跟外网的网线。
好了, 这时候可以把本机的鼠标键盘卸下了. 我们可以通过web界面远程配置路由器。

打开浏览器 输入 https://路由器ip:81
例如 https://192.168.1.1:81/
请注意是 https 而不是 http 很多网友都因为这样无法登陆倒web而苦恼。
接下来就可以按照下边的图一步步照着做。

选择语言，只能是 English 了，中文的话肯定乱码

默认 DNS server #1 填写的地址是 127.0.0.1 的
推荐修改为 202.96.128.86 (中国电信DNS的IP)

第三步是在线注册的账号, 可以跳过

第四步是选择时区, 我们选亚洲香港。

第五步是路由器的名字, 可以写你自己喜欢的。

第六也是类似注册的信息,不可以跳过,就硬着头皮随便填点什么吧。

完成后我们就可以正式进行设置了。
首先现在作为网关的路由器应该是能正常对网络进行服务了。
就是说已经是能上网了。

基本的功能完成后,我们可以根据需要再做些设置。
例如是, 开启并设置 DHCP, 自动分配IP功能。
IP 速度规划(限速) 功能。

下边是 DHCP
在Network 菜单中选择 DHCP

配置很简单, 我就不详细说了。
下边是 IP 规划,限速.
在Network 菜单中选择 Bandwidth

把 IP 规划服务开启。
先设置总宽带, 例如我把上传跟下载都设置成 4096 即 4M (400K)
然后再往下设置受限制的IP范围.

选择 Bindwith Manager 中的 Add Advanced Rule

如图所示, IP Address / IP address Range 选项为 Destination 。
IP范围由 192.168.1.100 至 192.168.1.150
Port 端口号 选项为 Destination 后边的输入框为空即所有端口。
Direction 限制类型为 Download / upload (下载/上传)
Rate 跟 Ceiling 都设置为 所允许的最大流量数。
Greed 优先级可以为 Medium 中等。

然后点 Add 即可添加到  Bandwidth 列表中。
速度控制立即起效

备注，在使用ADSL 这种上下行非对称宽带的时候，按照上面的设置，upload 限速可能会不起效。
如果遇到这个问题，需要在设置upload速率的时候把 IP Address / IP address Range 选项设为 Source

监控功能：

ClarkConnect Community Edition 5.0 内置有系统状况监控功能。
在 Reports 菜单中选择 Statistcs 就能看到包括网卡流量, 内存, CPU, …. 的曲线图。
相当专业。(貌似这图是 MRTG 出的呵..)

但, ClarkConnect 并没有内置 SNMP 功能。
如果你想通过snmp软件统一监控设备的话, 未免有点麻烦。

但这好解决! 因为 ClarkConnect 是基于 RedHat 核心构建的.
我们可以自己装!!

就跟普通linux Redhat 一样. 使用 putty 等ssh工具。
远程登录到路由器.

账号 root 密码 跟是你所设置的管理员密码
其实就是个 Linux 系统。

clarkconnect 为了缩小体积, 紧紧集成了满足基本自身系统基本功能的软件包。
但值得一赞的是，其在保持瘦身的前提下，还保留了 YUM 。

熟悉Linux 的朋友就不用多说了吧？ Yum 能够很好的解决 rpm 之间的依存关系，自动从网上或者本地自动安装好你所需要的软件包。

这么我们就现在就只需在 clarkconnect 的 ssh 控制台上输入命令

# yum install net-snmp*
稍等一下，就会自动把以下所有包都下载并提示是否安装。
# rpm -ivh lm_sensors-2.10.0-3.1.i386.rpm –nodeps
# rpm -ivh lm_sensors-devel-2.10.0-3.1.i386.rpm –nodeps
# rpm -ivh net-snmp-5.3.1-24.el5.i386.rpm –nodeps
# rpm -ivh net-snmp-devel-5.3.1-24.el5.i386.rpm –nodeps
# rpm -ivh net-snmp-libs-5.3.1-24.el5.i386.rpm –nodeps
# rpm -ivh net-snmp-utils-5.3.1-24.el5.i386.rpm –nodeps

安装完毕后，就普通RedHat Linux 修改snmpd 配置一样.
# vim /etc/snmpd/snmpd.conf
把配置修改为 Cacti 可读取的模式后保存.

# service snmpd start  (启动 snmpd 服务)

# ntsysv  (系统服务选项中把 snmpd 项选中,即可在重启路由的时候都自动开启)

成功后 cacti 就能顺利读取到路由的 系统状态了.

至此,大功告成!!

ClarkConnect Community Edition 5.0  最基本的应用配置我就写到这里。

但这个强大的软路由系统能做的远远不止这些！

例如内置的不单是传统的防火墙，还集成了上网行为管理。 ”Protocol filter“

能通过屏蔽协议来达到例如 封QQ，BT，MSN 等..近百个的控制。

而且我们之前安装时勾选的特殊服务都还没有介绍到。

这些都交给你们去研究实践了.

总之.ClarkConnect 基于 RedHat linux 而构建的。就拥有了无限了可能!!