LorDong's Blog

最近把VPS换到Vultr的硅谷服务器，发PING不通的情况少了，可是经常连接不通或连接成功卡很久都没有返回。在服务正常的时候登录服务器，使用top命令查看，发现php-fpm进程经常占用过高的cpu，于是知道是web端口有人经常连接，怀疑可能是攻击行为。

通过“netstat -nt | grep :80”命令查看发现46.229.168.*网段多个IP与服务建立有连接，因此想把这个IP网段屏蔽掉，使用下列命令：

iptables -I INPUT -s 46.229.168.72 -j DROP  // 屏蔽单个IP
iptables -I INPUT -s 46.229.168.0/24 -j DROP  // 屏蔽46.229.168.*网段
iptables -I INPUT -s 46.229.0.0/16 -j DROP  // 屏蔽46.229.*.*网段
iptables -I INPUT -s 46.0.0.0/8 -j DROP  // 屏蔽46.*.*.*网段

service iptables save  // 保存修改

今天早上发现自己Vultr.com VPS主机的Web端口（80和443）无故不能访问，但其它VPN、Shadowsocks、SSH端口仍然能够正常访问，翻墙后发现Web也可以访问，大概猜出原因了，大家都懂的。但我就纳闷了，我自己的这个域名本身已经被GFW认证了，80端口从墙内是无法访问的，443端口本身就是加密访问的，但不知道为什么Web端口会被限制。

没办法只能申请新的VPS得到新的IP了，以前的做法都是重新执行安装脚本来重做系统，今天在@bao3的提示下发现使用Snapshot竟然可以快速的恢复主机，真是太好了。

方法：

1. 登录Vultr后台，进入VPS的Snapshots管理页面，输入一个Lable点【Take Snapshot】，等待快照创建完成。

2. 申请新的主机，注意新的主机硬盘空间必须大于或等于原主机，否则快照无法恢复，在选择安装系统时直接选择刚创建的Snapshot，提交即可。

3. 等待主机创建和快照恢复完成，此时新主机的初始密码显示由快照来设置，但发现使用旧的root密码是无法登录的，解决方法是使用single模式重置管理员密码，方法见这里。要注意的是在输入“single”时前面要加空格。

4. 修改域名A指令，删除原来的主机，搞定。

参考链接：
http://abdussamad.com/archives/154-Monitoring-bandwidth-usage-with-vnStat-under-CentOS-5-Linux.html
http://www.tchan4.com/main/2013/05/01/vnstat-and-vnstat-php-frontend-installation-centos/

脚本：

#!/bin/bash
#64 bit
rpm -Uhv http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm
yum -y install vnstat
#Test
vnstat -u -i eth0
#Remove eth0 file, nobody will create it later
rm -rf /var/lib/vnstat/eth0
#下载目录可以自定义
cd ~/packages
wget http://www.sqweek.com/sqweek/files/vnstat_php_frontend-1.4.1.tar.gz
tar -xzf vnstat_php_frontend-1.4.1.tar.gz
mkdir /home/www/vnstat
mv vnstat_php_frontend/* /home/www/vnstat

sudo dd if=/dev/zero of=/swapfile bs=64M count=16
sudo mkswap /swapfile
sudo swapon /swapfile
参考：https://github.com/litecoin-project/litecoin/issues/41
用“free -m”可以看到交换分区有没有建，用“df -h”可以查看各分区信息。

有了自建的Xen VPS并成功通过Dropbox自动备份后，对于程序员来说更关心的是代码版本管理。之前也用Dropbox打包后备份，但这个方法无法回滚。

网上找到CVS Server在CentOS 6的部署办法，这里把脚本总结一下：

#!/bin/bash
#
#没有安装cvs server时先安装一下
yum -y install cvs
#
#新建cvs组和cvsroot用户
groupadd cvs
useradd -g cvs cvsroot
#
#设置cvsroot用户的密码并改cvsroot目录的权限
passwd cvsroot
chmod 775 /home/cvsroot
#
#生成cvspserver配置文件，目录指向/home/cvsroot，用pserver方式访问
cat >/etc/xinetd.d/cvspserver<<EOF
# default: off
# description: The CVS service can record the history of your source \
#              files. CVS stores all the versions of a file in a single \
#              file in a clever way that only stores the differences \
#              between versions.
service cvspserver
{
disable                 = no
port                    = 2401
socket_type             = stream
protocol                = tcp
wait                    = no
user                    = root
passenv                 = PATH
server                  = /usr/bin/cvs
env                     = HOME=/home/cvsroot
server_args             = -f --allow-root=/home/cvsroot pserver
}
EOF
#
#使用cvsroot用户执行cvs的初始化，会在/home/cvsroot下生成CVSROOT目录
runuser -l cvsroot -c "cvs -d /home/cvsroot init"
#
#启动服务
/etc/rc.d/init.d/xinetd restart
#
#防火墙要开通TCP2401端口
iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
service iptables save
service iptables restart
#
#下面的脚本要切换到cvsroot用户来执行
#如果su切换因需要密码而失败，需要手切换到并逐一执行
su cvsroot
cd ~/CVSROOT
touch passwd writers readers
chmod 770 passwd writers readers
#
#往后都是注释脚本，根据需要执行
#这是添加新用户脚本，使用perl代替Apache的htpasswd命令来生成密码，因这我的空间是LNMP
#add users, password do not support '@' character
#echo -e "newuser:`perl -le 'print crypt("newpassword","salt")'`:cvsroot" >> passwd
#
#add read-write users
#echo newuser >> writers
#
#add readonly users
#echo newuser >> readers
#
#下面的脚本是客户端的一些主要用法，可以用“cvs --help login”等来看命令格式
#login command
#cvs -d :pserver:newuser@host:/home/cvsroot login
#
#logout command
#cvs -d :pserver:newuser@host:/home/cvsroot logout
#
#checkout|update command
#cvs -d :pserver:newuser@host:/home/cvsroot checkout|update Test

C:\>tracert lordong.pw

Tracing route to lordong.pw [198.167.136.171]
over a maximum of 30 hops:

  1     2 ms     2 ms     2 ms  192.168.6.16
  2    <1 ms    <1 ms    <1 ms  192.168.3.1
  3    <1 ms    <1 ms    <1 ms  220.248.*.*
  4     5 ms     2 ms     2 ms  112.64.252.73
  5     2 ms     3 ms     3 ms  139.226.193.25
  6    30 ms    31 ms    31 ms  219.158.97.121
  7    33 ms    35 ms    35 ms  219.158.101.34
  8     *        *        *     Request timed out.

通过ip138.com查到219.158.* IP是北京联通的，再试了电信ADSL也打不开，由此怀疑本博的IP也在域名被墙半个月后沦陷，贵裆G点真TMD多呀。。

不管它了，老子该写博的还是继续写，这博文里大多是自己技术上的积累，本来希望可以给他人在处理问题上带来些经验呢，结果贵裆这么一来反而让知识流离于墙外。