前段黑五和圣诞期间,小白买了一堆vps,大多是月付的。有的配置还挺高。但是,最近出现老是出现vps莫名其妙就卡死,ssh连接不上,后台vnc登录上去卡死无法输入。只能重启。几个vps上面只有一个站点,流量就三、四百ip。重启之后恢复正常。
我使用了各种方法,什么查看message日志,扫描查杀木马。一无所获。
我开始是怀疑使用了memcached缓存导致内存卡爆。(操作方法参考这篇文章:也许是目前最优的wordpress网站优化方案:memcached+opcache+WP Rocket插件)当即又立马升级了vps,由之前的1c1g,升级成了2c2g。但是,还是间歇性卡死。有时在早上,有时在深夜。找不到原因。
另外还把宝塔开心版5.9.2升级成了7.4.5,以为是旧版本宝塔有漏洞被攻击。但是卡死还是重现。也不对。
网上找了找。最后把目标锁定在了腾讯tcpa上(tcpa的作用和使用方法参考:[亲测好用]让你的低配置VPS速度飞起来!腾讯TCPA安装教程)。有篇文章说是tcpa内核过低,有高危漏洞,可能会被攻击,导致无故宕机。
我建站的流程一般是这样的:
1、dd纯净版centos7系统
2、安装腾讯tcpa,更换内核
3、安装宝塔
最近几问题的几台机子,共同点都是更换了内核的。
找到一篇文章,讲内核漏洞的。原文如下:
锐速通常降低内核到3.x (受影响)
BBR Plus 通常降低到4.x (受影响)
其它BBR魔改版本通常降低到4.X (受影响)
腾讯TCPA通常降低到4.X (受影响)
所以下次你的鸡儿,突然死了,别怪运营商不稳定,你自己检查一下你的内核版本吧,亲。
关于Linux TCP “SACK PANIC” 远程拒绝服务漏洞
漏洞编号:
CVE-2019-11477 高危
CVE-2019-11478 中危
CVE-2019-11479 中危
漏洞威胁:
攻击者可利用该漏洞远程发送特殊构造的攻击包,使目标服务器系统崩溃或无法提供服务。
请更新至最新的5.x 目前只有这个内核修复了以下三个攻击漏洞,攻击通常是整个IP段批量脚本进行的,不要存在侥幸心理,我提供CentOS6~7的更新方法
兼顾原版BBR。
RooT用户登入后:
0:grub2-editenv list (先看一下你默认启动的内核版本号)
1:yum clean all
2:yum makecache
3:yum update kernel -y
4:yum update
5:rpm –import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
6:rpm -Uvh https://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm
7:yum –enablerepo=elrepo-kernel install kernel-ml -y
8:grub2-set-default 0 (设置刚安装好的新内核,启动顺序是第一位,通常是0)
9:reboot
10:yum -y remove kernel kernel-tools (重启后,删除旧的内核)
11:echo “net.core.default_qdisc=fq” >> /etc/sysctl.conf
echo “net.ipv4.tcp_congestion_control=bbr” >> /etc/sysctl.conf
12:sysctl -p
13:sysctl -n net.ipv4.tcp_congestion_control (看有进程是BBR就可以了)
14:lsmod | grep bbr (同上)
————————————————————
根据25楼请求,附上CentOS6更新最新内核的方法
rpm –import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
rpm -ivh ftp://ftp.pbone.net/mirror/elrepo.org/elrepo/el6/x86_64/RPMS/elrepo-release-6-5.el6.elrepo.noarch.rpm
yum -y –enablerepo=elrepo-kernel install kernel-lt
nano /etc/grub.conf (没装nano 就vi /etc/grub.conf吧,default=1 改成0,保存退出,重启就行了,重启后卸载旧内核和开启BBR应该是一样的)
记录我的升级内核操作:
1.查看内核版本:
grub2-editenv list
显示为:
saved_entry=centos linux (3.10.0-693.5.2.tcpa06.tl2)
内核确实很低。
2.按上文步骤1-10操作。(当然,为了保险起见,请操作前先备份网站)
11步及之后就不操作了。因为我安装的是腾讯tcpa,它的内核是定制版的。换内核之后就没办法再使用了。
也就是说,为了解决这个问题,就没办法再使用腾讯tcpa进行网站的提速了。
升级之后的内核为:
saved_entry=CentOS Linux (3.10.0-1160.11.1.el7.x86_64) 7 (Core)
所以说内核更换失败。
那正确的操作是什么呢?
直接使用大佬的一键脚本,这里提供一个直接是5x内核版本的bbr一键包,全名叫:Google BBR、BBR2、BBRplus、BBR魔改版、锐速多合一加速脚本,命令如下
#安装依赖软件 #CentOS系统请用这个: yum install -y wget #Debian/Ubuntu系统请用这个: apt-get install -y wget #下载脚本 wget --no-check-certificate -O tcpx.sh https://raw.githubusercontent.com/ylx2016/Linux-NetSpeed/master/tcpx.sh #赋予执行权限 chmod +x tcpx.sh #执行脚本 ./tcpx.sh
加速有几下几种,可以自由组合。
我选择是1:安装bbr原版内核
然后reboot重启。再执行:
./tcpx.sh
加速方式选择:13,使用bbr+cake加速。
因为有大佬测试过,13这项加速效果最好。具体如下图所示:
具体测试数据,参考这篇文章:https://www.shopee6.com/web/web-tutorial/bbr-vs-plus-vs-bbr2.html
2021.1.30更新:
小白我使用bbr+cake的加速方式替代腾讯tcpa,已经一周过去了。我的vps间歇性卡死的问题再也没有重现。说明tcpa内核版本过低,的确会被攻击漏洞。大家最好是放弃使用腾讯tcpa。
小白我使用bbr+cake的加速方式替代腾讯tcpa,已经一周过去了。我的vps间歇性卡死的问题再也没有重现。说明tcpa内核版本过低,的确会被攻击漏洞。大家最好是放弃使用腾讯tcpa。 问题来了 用啥啊