 |
GipserrV2EX 第 627452 号会员,加入于 2023-05-06 09:02:06 +08:00今日活跃度排名 6005 |
Gipserr 最近回复了
3 小时 24 分钟前 回复了 clarkethan 创建的主题 › 分享创造 › PushGo,全新消息推送 App,开源免费,支持 iOS / watchOS / macOS / Android |
图片/视频推送也是属于 32k 的限制吗?
17 小时 2 分钟前 回复了 Nyarime 创建的主题 › OpenWrt › 在 iKuai 爱快软路由上原生运行 OpenWrt 软件包 |
## 我做了什么
### 1. 修复了 Docker 的持久启动链
这台机器不是普通 Linux 根盘,而是 `RAM root`。很多运行时文件重启后会丢,所以不能把修复写在 `/tmp` 或 `/usr` 的 RAM 层,必须写到持久层。
我把最小修复落在:
```text
/etc/log/naixi/compat/boot.sh
```
作用是:
- 开机时把 `/etc/log` 挂成 Docker 的持久工作盘映射
- 自动补 `/docker` 和 `/usr/sbin/docker`
- 如果系统恢复了原来的 `docker_server`,就走原链路
- 如果重启后只恢复了 `docker-bin`、没恢复 `docker` 脚本包,就直接用 `dockerd` fallback 起引擎
## 2. 清掉了高风险包和自恢复链
已删除并持续阻断的对象包括:
- `pmd`
- `cre`
- `ik_rc_client`
- `ik_host`
- `shell`
- `pre_cdn_stats`
- `ikaudit`
- `monitor_process.sh`
对应的持久包、运行目录、入口文件和 RAM root 自恢复脚本都已经清理,并写进了开机清理逻辑。
## 3. 封死了高风险云拉取 / 外联链
现场最危险的链路是:
```text
update_hosts.sh
-> 从 302.ikuai8.com 获取主机列表
-> submit.lua 拉取 submit3
-> 本地直接执行
```
这条链现在的处理方式是:
- 开机强杀 `update_hosts.sh` / `submit.lua` / `async.lua`
- 删除 `/tmp/iktmp/ik_hosts` 和 `/tmp/iktmp/submit`
- 把 `/usr/ikuai/script/utils/update_hosts.sh` 改写成 no-op
- 把 `/usr/ikuai/script/utils/submit.lua` 改写成空壳
同时保留 `Naixi cloud level 2` 的原有阻断:
- `/etc/hosts` 将一批 `ikuai8.com` 云域名 sinkhole 到 `127.0.0.1`
- `iptables OUTPUT` 对多个 `iKuai` 云 IP 做 `DROP`
## 4. 现场验证结果
本次整改后,我已经做过两次 reboot 后现场复核,确认以下结论成立:
- `Docker` 第二次 reboot 后已能自动起来
- `docker info` 正常
- 高风险的 `update_hosts.sh` / `submit.lua` / `async.lua` 没有复活
- `pmd/cre/ik_rc_client/ik_audit/monitor_process` 相关进程没有复活
- `/tmp/iktmp/ik_hosts` 和 `/tmp/iktmp/submit` 没有复活
- `netstat -anp | grep ESTABLISHED` 现场未看到新的云端已建立连接
### 1. 修复了 Docker 的持久启动链
这台机器不是普通 Linux 根盘,而是 `RAM root`。很多运行时文件重启后会丢,所以不能把修复写在 `/tmp` 或 `/usr` 的 RAM 层,必须写到持久层。
我把最小修复落在:
```text
/etc/log/naixi/compat/boot.sh
```
作用是:
- 开机时把 `/etc/log` 挂成 Docker 的持久工作盘映射
- 自动补 `/docker` 和 `/usr/sbin/docker`
- 如果系统恢复了原来的 `docker_server`,就走原链路
- 如果重启后只恢复了 `docker-bin`、没恢复 `docker` 脚本包,就直接用 `dockerd` fallback 起引擎
## 2. 清掉了高风险包和自恢复链
已删除并持续阻断的对象包括:
- `pmd`
- `cre`
- `ik_rc_client`
- `ik_host`
- `shell`
- `pre_cdn_stats`
- `ikaudit`
- `monitor_process.sh`
对应的持久包、运行目录、入口文件和 RAM root 自恢复脚本都已经清理,并写进了开机清理逻辑。
## 3. 封死了高风险云拉取 / 外联链
现场最危险的链路是:
```text
update_hosts.sh
-> 从 302.ikuai8.com 获取主机列表
-> submit.lua 拉取 submit3
-> 本地直接执行
```
这条链现在的处理方式是:
- 开机强杀 `update_hosts.sh` / `submit.lua` / `async.lua`
- 删除 `/tmp/iktmp/ik_hosts` 和 `/tmp/iktmp/submit`
- 把 `/usr/ikuai/script/utils/update_hosts.sh` 改写成 no-op
- 把 `/usr/ikuai/script/utils/submit.lua` 改写成空壳
同时保留 `Naixi cloud level 2` 的原有阻断:
- `/etc/hosts` 将一批 `ikuai8.com` 云域名 sinkhole 到 `127.0.0.1`
- `iptables OUTPUT` 对多个 `iKuai` 云 IP 做 `DROP`
## 4. 现场验证结果
本次整改后,我已经做过两次 reboot 后现场复核,确认以下结论成立:
- `Docker` 第二次 reboot 后已能自动起来
- `docker info` 正常
- 高风险的 `update_hosts.sh` / `submit.lua` / `async.lua` 没有复活
- `pmd/cre/ik_rc_client/ik_audit/monitor_process` 相关进程没有复活
- `/tmp/iktmp/ik_hosts` 和 `/tmp/iktmp/submit` 没有复活
- `netstat -anp | grep ESTABLISHED` 现场未看到新的云端已建立连接
19 小时 24 分钟前 回复了 Nyarime 创建的主题 › OpenWrt › 在 iKuai 爱快软路由上原生运行 OpenWrt 软件包 |
@lcy630409 codex “帮我去 [email protected] 看看 /tmp/ikpkg/下面我同事设置的 docker 自动启动的条件是什么,我忘了。”
/tmp/ikpkg 里面的包是 /etc/log/packages 里面开机解压的
/tmp/ikpkg 里面的包是 /etc/log/packages 里面开机解压的
22 小时 16 分钟前 回复了 Nyarime 创建的主题 › OpenWrt › 在 iKuai 爱快软路由上原生运行 OpenWrt 软件包 |
@lcy630409 这玩意真像病毒,想尽一切办法给自己保活。禁止写/tmp/ikpkg 不知道行不行。
1 天前 回复了 Nyarime 创建的主题 › OpenWrt › 在 iKuai 爱快软路由上原生运行 OpenWrt 软件包 |
继续反馈一下:我刚才升级了 v75v2 ,默认登录进去,wg/docker 都是没有的(我原来 iso 全新安装,没有给硬盘分区)。
然后我给硬盘分区,重启以后,发现/tmp/ikpkg 下载了一些软件:
app_show docker docker-bin ik_host netboard nginx_conf pmd pre_cdn_stats shell
ik_host 里面有可以遥测增加的 IP:
cre_host
dis.ikuai8.com:1853
59.110.171.18:1853
47.94.237.123:1853
59.110.171.18:2016
47.94.237.123:2016
pmd_host 里面有:
cat pmd_host
123.57.179.21:1863
123.57.179.21:15602
pkgmanager.ikuai8.com:15602
59.110.6.135:1863
59.110.6.135:1560
shell 里面看来是个云备份工具
下载的 docker 也没有搞清楚怎么运行起来(因为后台是云平台操纵启用的,我没有绑定云平台)
然后我给硬盘分区,重启以后,发现/tmp/ikpkg 下载了一些软件:
app_show docker docker-bin ik_host netboard nginx_conf pmd pre_cdn_stats shell
ik_host 里面有可以遥测增加的 IP:
cre_host
dis.ikuai8.com:1853
59.110.171.18:1853
47.94.237.123:1853
59.110.171.18:2016
47.94.237.123:2016
pmd_host 里面有:
cat pmd_host
123.57.179.21:1863
123.57.179.21:15602
pkgmanager.ikuai8.com:15602
59.110.6.135:1863
59.110.6.135:1560
shell 里面看来是个云备份工具
下载的 docker 也没有搞清楚怎么运行起来(因为后台是云平台操纵启用的,我没有绑定云平台)
1 天前 回复了 Nyarime 创建的主题 › OpenWrt › 在 iKuai 爱快软路由上原生运行 OpenWrt 软件包 |
@Nyarime 牛逼,互联网精神与你同在。
1 天前 回复了 Nyarime 创建的主题 › OpenWrt › 在 iKuai 爱快软路由上原生运行 OpenWrt 软件包 |
@lcy630409 做到小米那种 root 模式我觉得就好了,尽量不要对原来的系统功能覆盖太多,自己用 AI 编程跑几个服务在上面,减少一些外部机器的依赖。我看来 ikuai 原来的缺点就是不能跑高权限的 docker ,不能跑 wireguard 服务器端(付费的可以跑客户端)。我用 ikuai 不用 openwrt 的原意就是 openwrt 的升级/依赖/dns/端口映射/防火墙这些搞得我很不爽。
1 天前 回复了 Nyarime 创建的主题 › OpenWrt › 在 iKuai 爱快软路由上原生运行 OpenWrt 软件包 |
@lcy630409 你这个 ikuai 有绑定他们云平台吗?
1 天前 回复了 Nyarime 创建的主题 › OpenWrt › 在 iKuai 爱快软路由上原生运行 OpenWrt 软件包 |
早前装完 compat 以后我的确也没见到 9090 起来。
现在我在干净的系统装了 v73 ,clean 了云平台,阻断了 2 ,挂久一点看看会不会被改啥,谢谢。
另:开机会连接 packages.ikuai8.com ,为什么 hosts 没有加这个域名呢?@Nyarime
现在我在干净的系统装了 v73 ,clean 了云平台,阻断了 2 ,挂久一点看看会不会被改啥,谢谢。
另:开机会连接 packages.ikuai8.com ,为什么 hosts 没有加这个域名呢?@Nyarime
1 天前 回复了 Nyarime 创建的主题 › OpenWrt › 在 iKuai 爱快软路由上原生运行 OpenWrt 软件包 |
@Nyarime 我重新做了一个 3.7.17 的干净系统,不配置 wan ,只配置了 lan ,用 v72v4 更新进入系统,版本号是 3.7.19 ,各项配置都正常,也能重新用 v72v4 的 bin 再次升级,没有报 “无法识别这个文件“ 。 证明 ikuai 肯定做了手脚。
Select Language