腾讯tcpa内核版本过低,高危漏洞可能被攻击,导致vps间歇性卡死

前段黑五和圣诞期间,小白买了一堆vps,大多是月付的。有的配置还挺高。但是,最近出现老是出现vps莫名其妙就卡死,ssh连接不上,后台vnc登录上去卡死无法输入。只能重启。几个vps上面只有一个站点,流量就三、四百ip。重启之后恢复正常。

我使用了各种方法,什么查看message日志,扫描查杀木马。一无所获。

我开始是怀疑使用了memcached缓存导致内存卡爆。(操作方法参考这篇文章:也许是目前最优的wordpress网站优化方案:memcached+opcache+WP Rocket插件)当即又立马升级了vps,由之前的1c1g,升级成了2c2g。但是,还是间歇性卡死。有时在早上,有时在深夜。找不到原因。

另外还把宝塔开心版5.9.2升级成了7.4.5,以为是旧版本宝塔有漏洞被攻击。但是卡死还是重现。也不对。

网上找了找。最后把目标锁定在了腾讯tcpa上(tcpa的作用和使用方法参考:[亲测好用]让你的低配置VPS速度飞起来!腾讯TCPA安装教程)。有篇文章说是tcpa内核过低,有高危漏洞,可能会被攻击,导致无故宕机。

我建站的流程一般是这样的:

1、dd纯净版centos7系统
2、安装腾讯tcpa,更换内核
3、安装宝塔

最近几问题的几台机子,共同点都是更换了内核的。

找到一篇文章,讲内核漏洞的。原文如下:


锐速通常降低内核到3.x (受影响)
BBR Plus 通常降低到4.x (受影响)
其它BBR魔改版本通常降低到4.X (受影响)
腾讯TCPA通常降低到4.X (受影响)
所以下次你的鸡儿,突然死了,别怪运营商不稳定,你自己检查一下你的内核版本吧,亲。
关于Linux TCP “SACK PANIC” 远程拒绝服务漏洞

漏洞编号:
CVE-2019-11477 高危
CVE-2019-11478 中危
CVE-2019-11479 中危

漏洞威胁:
攻击者可利用该漏洞远程发送特殊构造的攻击包,使目标服务器系统崩溃或无法提供服务。
请更新至最新的5.x 目前只有这个内核修复了以下三个攻击漏洞,攻击通常是整个IP段批量脚本进行的,不要存在侥幸心理,我提供CentOS6~7的更新方法

兼顾原版BBR。

RooT用户登入后:

0:grub2-editenv list (先看一下你默认启动的内核版本号)
1:yum clean all
2:yum makecache
3:yum update kernel -y
4:yum update
5:rpm –import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
6:rpm -Uvh https://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm
7:yum –enablerepo=elrepo-kernel install kernel-ml -y
8:grub2-set-default 0 (设置刚安装好的新内核,启动顺序是第一位,通常是0)
9:reboot
10:yum -y remove kernel kernel-tools (重启后,删除旧的内核)
11:echo “net.core.default_qdisc=fq” >> /etc/sysctl.conf
echo “net.ipv4.tcp_congestion_control=bbr” >> /etc/sysctl.conf
12:sysctl -p
13:sysctl -n net.ipv4.tcp_congestion_control (看有进程是BBR就可以了)
14:lsmod | grep bbr (同上)

————————————————————
根据25楼请求,附上CentOS6更新最新内核的方法

rpm –import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
rpm -ivh ftp://ftp.pbone.net/mirror/elrepo.org/elrepo/el6/x86_64/RPMS/elrepo-release-6-5.el6.elrepo.noarch.rpm
yum -y –enablerepo=elrepo-kernel install kernel-lt
nano /etc/grub.conf (没装nano 就vi /etc/grub.conf吧,default=1 改成0,保存退出,重启就行了,重启后卸载旧内核和开启BBR应该是一样的)

记录我的升级内核操作:

1.查看内核版本:
grub2-editenv list
显示为:
saved_entry=centos linux (3.10.0-693.5.2.tcpa06.tl2)
腾讯tcpa内核版本过低,高危漏洞可能被攻击,导致vps间歇性卡死_图片 No.1
内核确实很低。
2.按上文步骤1-10操作。(当然,为了保险起见,请操作前先备份网站
11步及之后就不操作了。因为我安装的是腾讯tcpa,它的内核是定制版的。换内核之后就没办法再使用了。
也就是说,为了解决这个问题,就没办法再使用腾讯tcpa进行网站的提速了。

升级之后的内核为:
saved_entry=CentOS Linux (3.10.0-1160.11.1.el7.x86_64) 7 (Core)
腾讯tcpa内核版本过低,高危漏洞可能被攻击,导致vps间歇性卡死_图片 No.2
所以说内核更换失败。

那正确的操作是什么呢?

直接使用大佬的一键脚本,这里提供一个直接是5x内核版本的bbr一键包,全名叫:Google BBR、BBR2、BBRplus、BBR魔改版、锐速多合一加速脚本,命令如下

#安装依赖软件
#CentOS系统请用这个:
yum install -y wget
#Debian/Ubuntu系统请用这个:
apt-get install -y wget
#下载脚本
wget --no-check-certificate -O tcpx.sh https://raw.githubusercontent.com/ylx2016/Linux-NetSpeed/master/tcpx.sh
#赋予执行权限
chmod +x tcpx.sh
#执行脚本
./tcpx.sh

加速有几下几种,可以自由组合。
腾讯tcpa内核版本过低,高危漏洞可能被攻击,导致vps间歇性卡死_图片 No.3

我选择是1:安装bbr原版内核

然后reboot重启。再执行:

./tcpx.sh

腾讯tcpa内核版本过低,高危漏洞可能被攻击,导致vps间歇性卡死_图片 No.4

加速方式选择:13,使用bbr+cake加速。

因为有大佬测试过,13这项加速效果最好。具体如下图所示:
腾讯tcpa内核版本过低,高危漏洞可能被攻击,导致vps间歇性卡死_图片 No.5
具体测试数据,参考这篇文章:https://www.shopee6.com/web/web-tutorial/bbr-vs-plus-vs-bbr2.html

2021.1.30更新:
小白我使用bbr+cake的加速方式替代腾讯tcpa,已经一周过去了。我的vps间歇性卡死的问题再也没有重现。说明tcpa内核版本过低,的确会被攻击漏洞。大家最好是放弃使用腾讯tcpa。

未经允许不得转载:自学控 - 自己建站也轻松 » 腾讯tcpa内核版本过低,高危漏洞可能被攻击,导致vps间歇性卡死

分享到: 更多 (0)
avatar
自己建站,一点一滴积累经验。

评论 1

评论前必须登录!

立即登录   注册

  1. #1
    avatar

    小白我使用bbr+cake的加速方式替代腾讯tcpa,已经一周过去了。我的vps间歇性卡死的问题再也没有重现。说明tcpa内核版本过低,的确会被攻击漏洞。大家最好是放弃使用腾讯tcpa。 问题来了 用啥啊 :?:

    red5211个月前 (04-09)Hong Kong谷歌浏览器 Windows 10 登录以回复

自学控[zixuekong.com]

关于本站
切换注册

登录

忘记密码 ?

切换登录

注册