rtorrent 的 XML-RPC 存在可利用漏洞

国外网站 arstechnica 发表了一篇文章,称有黑客利用 rtorrent 的漏洞,在受害者服务器上安装挖矿工具,赚了3900美元。

这个漏洞和最近 uTorrent、Transmission 爆出的漏洞类似。rtorrent 使用了 XML-RPC 这个软件来实现 web-ui 服务,而使用 TCP sockets 方式配置的 RPC,不需要任何验证就可以执行 shell 命令。

Linux 中批量替换文件名

在 Linux 系统中修改文件名可以用 mv 命令,但是它只能对单个文件进行操作,如要要批量执行还要写 shell 脚本,用 for 语句迭代执行,不过 Linux 中另外一个命令支持批量替换文件名,它是 renamerename 支持正则表达式匹配。需要注意的是,rename 命令在不同的 Linux 发行版语法格式不一样。

Nginx 监听 IPv6 地址的配置方法

先在终端下输入指令 nginx -V ,看看输出结果有没有–with-ipv6,没有的话就需要重新编译带有ipv6支持的nginx了。

编译nginx就不在这里说了,下面讲一下正确地配置nginx让其同时监听IPv4和IPv6的端口(包括http协议的80和https协议的443端口),同时介绍一下只监听IPv6和特定IPv6地址的方法。

Ubuntu/Debian 配置 IPv6 地址

检查配置

使用命令 ifconfig 查看网卡中 ipv6 地址的配置,一般看到如下结果,ipv6 是无效的。

1
2
3
eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
inet6 fe80::601:1cff:fe11:5b01/64 scope link
valid_lft forever preferred_lft forever

ping 谷歌搜索的 ipv6 地址来测试服务器能否连接 ipv6 公网。

1
ping6 ipv6.google.com

linux 设置系统语言环境

最近发现在 linux 系统里面,文件名带日文的文件使用命令删除不了,也无法创建带日文的文件夹。想了一下可能是系统语言环境的问题,使用命令 dpkg-reconfigure locales 给系统增加日语的语言包,成功解决问题。

阻止vps回源国内的iptables规则

当阻止 vps 回源国内后,vps 将不能 ping 通,也不能直接连 ssh,但 ss 服务是可以正常使用的。这样可以减少代理服务器的特征,降低被发现的几率。

本文内的命令仅适用于 Debian 系的 Linux 发行版。