oracle11g 客户端程序使用plsql 连接报错: ORA-28040: No matching authentication protocol

1.1  BLOG文档结构图

1.2  前言部分

1.2.1  导读和注意事项

各位技术爱好者，看完本文后，你可以掌握如下的技能，也可以学到一些其它你所不知道的知识，~O(∩_∩)O~：

① 告警日志中频繁出现Using deprecated SQLNET.ALLOWED_LOGON_VERSION parameter、ORA-28040: No matching authentication protocol错误，9i的客户端连接到12c高版本的解决方案

② Windows下使用oerr命令

Tips：

① 本文在itpub（http://blog.itpub.net/26736162）、博客园(http://www.cnblogs.com/lhrbest)和微信公众号（xiaomaimiaolhr）上有同步更新。

② 文章中用到的所有代码、相关软件、相关资料及本文的pdf版本都请前往小麦苗的云盘下载，小麦苗的云盘地址见：http://blog.itpub.net/26736162/viewspace-1624453/。

③ 若网页文章代码格式有错乱，请下载pdf格式的文档来阅读。

④ 在本篇BLOG中，代码输出部分一般放在一行一列的表格中。

本文如有错误或不完善的地方请大家多多指正，ITPUB留言或QQ皆可，您的批评指正是我写作的最大动力。

1.3  故障分析及解决过程

1.3.1  故障环境介绍

1.3.2  故障发生现象及报错信息

告警日志中频繁出现Using deprecated SQLNET.ALLOWED_LOGON_VERSION parameter。

或JDBC连接Oracle12c报如下错误：

或者使用9i的客户端去连接12c的数据库就会报ORA-28040: No matching authentication protocol这个错误。

1.3.3  故障分析及解决过程

使用oerr命令来查看，在Oracle 11g下：

12c下：

可以看到，该参数在11g和12c下的解决方案是不同的。

查询了一下参数SQLNET.ALLOWED_LOGON_VERSION，发现该参数在12c中以废弃，而是采用SQLNET.ALLOWED_LOGON_VERSION_CLIENT和SQLNET.ALLOWED_LOGON_VERSION_SERVER代替。

客户说是之前碰到了ORA-28040: No matching authentication protocol的错误才加上该参数的。

解决：在Oracle用户（不是grid用户）下，将$ORACLE_HOME/network/admin/sqlnet.ora文件原来的SQLNET.ALLOWED_LOGON_VERSION=8注释掉（如果没有sqlnet.ora文件，那么就创建一个），修改为如下的行：

不用重启数据库或者监听，也不用重启应用。

区别如下：

SQLNET.ALLOWED_LOGON_VERSION_SERVER：控制可以连接到12c数据库的客户端版本（client --->orace 12c db ）

SQLNET.ALLOWED_LOGON_VERSION_CLIENT：控制12c数据库可以连到哪些版本的数据库（orace 12c db  --->其它版本的oracle db），例如：控制通过DB LINK可连接到哪些版本的oracle库。

所以，该案例中主要起作用的是需要配置SQLNET.ALLOWED_LOGON_VERSION_SERVER。

特别需要注意：

（1）如果是RAC，因为RAC是使用grid的监听器，因此很多人以为是在“/u02/app/12.1.0/grid/network/admin/sqlnet.ora” 加“SQLNET.ALLOWED_LOGON_VERSION_SERVER=8”，其实这是错的，而是仍然在$ORACLE_HOME/network/admin/sqlnet.ora加“SQLNET.ALLOWED_LOGON_VERSION_SERVER=8”

（2）上面所说的版本，是指dba_users.password_versions的版本。

在Oracle 12c中，虽然在sqlnet.ora加SQLNET.ALLOWED_LOGON_VERSION=8可以解决问题，但由于这个参数在12c已经废弃了，而是用SQLNET.ALLOWED_LOGON_VERSION_CLIENT和SQLNET.ALLOWED_LOGON_VERSION_SERVER代替。如果继续使用该参数，会在告警日志中无穷无尽的报“Using deprecated SQLNET.ALLOWED_LOGON_VERSION parameter.”，如下所示：

另外，对于JDBC的报错也可以下载支持oracle12c的jdbc驱动jar包。链接：http://www.oracle.com/technetwork/database/features/jdbc/jdbc-drivers-12c-download-1958347.html

注：本地jdk版本为1.6，则下载ojdbc6.jar；jdk版本为1.7，则下载ojdbc7.jar

如下图所示：

也可以在在ORACLE安装目录lib库目录下载ojdbc7.jar包，然后把这个ojdbc7.jar加载到开发环境中。

1.3.4  官方文档及MOS的解释

有关该问题，MOS上有很多文档可以供参考。

http://docs.oracle.com/database/121/UPGRD/deprecated.htm#UPGRD60010

In this Document

APPLIES TO:

SYMPTOMS

On 12c database, the alert.log file shows the following message:

"Using deprecated SQLNET.ALLOWED_LOGON_VERSION parameter".

CHANGES

 Customer upgraded to 12c database and added the following parameter in sqlnet.ora file based on the latest CCG Install Guide (CCG_Install_Guide_20150824_E25675_04.pdf).

 SQLNET.ALLOWED_LOGON_VERSION

 =================

SAMPLE sqlnet.ora FILE:

$ cat sqlnet.ora
# SQLNET.ORA Network Configuration File

" "

#TRACE_LEVEL_SERVER=user
SQLNET.ALLOWED_LOGON_VERSION=8

------------------------------------------

CAUSE

 
The Database is reporting these messages because the "SQLNET.ALLOWED_LOGON_VERSION" parameter is no longer valid (with 12c).
However, this is  "required" by CCG application: CCG_Install_Guide_20150824_E25675_04.pdf

The SQLNET.ALLOWED_LOGON_VERSION parameter is deprecated in Oracle Database 12c.
This parameter has been replaced with two new Oracle Net Services parameters:

SQLNET.ALLOWED_LOGON_VERSION_SERVER
SQLNET.ALLOWED_LOGON_VERSION_CLIENT

SOLUTION

 In order to suppress these messages in the alert log of the database, you need to use the new parameters for the 12c database.

 STEPS:

 1. Edit the sqlnet.ora file of the 12c database. (This needs be done on each database on 12c). So for example if both your EBS and CCG databases are on 12c, you need to do this on each sqlnet.ora file. Typically, the sqlnet.ora file that would be referenced by the database is located in RDBMS_HOME/network/admin

 2. Remove or comment the following entry.

    SQLNET.ALLOWED_LOGON_VERSION

 3.You need to follow the instructions below:

 3a. Add the following two new Oracle Net Services parameters:

    SQLNET.ALLOWED_LOGON_VERSION_SERVER = n
    SQLNET.ALLOWED_LOGON_VERSION_CLIENT = n

    Specify the value for 'n' based on your own environment. The default setting for the new parameters is 11. Any client that attempts to connect must be at version 11 or higher unless these   parameters are explicitly set in the server side sqlnet.ora file.       

   3b. For example: Set these parameters at the lowest version level that is required in your environment.
        The example shpow below shows the following: All clients at version 10 or higher would require this setting:

       SQLNET.ALLOWED_LOGON_VERSION_SERVER=10
       SQLNET.ALLOWED_LOGON_VERSION_CLIENT=10

    3c. Note that SQLNET.ALLOWED_LOGON_VERSION_CLIENT would be necessary on the server when the database is 'acting' as a client. Such as the case of a database link as in the case of CCG applications.

    3d. Even though the parameter value implies Oracle version 10 the internal check is really against the authentication protocol 'SHA-1'

    3e. For CCG, you can just set the parameter value to 10, since SHA-2 is currently not certified with CCG.

    3e. See the following reference for more information about these settings.
         https://docs.oracle.com/database/121/NETRF/sqlnet.htm#NETRF2010

4. For setting up the values for step 3, you can also refer to the additional info section at the end of the note.

4. Bounce the database.

5. Bounce the application server.

=================

REFERENCES

Error "ORA-28040: No matching authentication protocol" When Using SQLNET.ALLOWED_LOGON_VERSION (文档 ID 755605.1)


In this Document

APPLIES TO:

SYMPTOMS

When using the property "SQLNET.ALLOWED_LOGON_VERSION=10" set in the file sqlnet.ora on the server side, a 10g JDBC thin driver connecting to this 10g oracle database, fails with following errors:

The Network Adapter could not establish the connection 
.... 
ORA-28040: No matching authentication protocol

.

CHANGES

Configuring SQLNET.ORA on the server side.

CAUSE

BUG 6051243 - ORA-28040: WHEN LISTENER USES SQLNET.ALLOWED_LOGON_VERSION

A 10.2 thin jdbc driver is identifying itself as 8.1.5 client and hence the connection is failing with error ORA-28040: No matching authentication protocol

SOLUTION

To resolve the above issue you may implement any one of the following :- 

- Change the entry in sqlnet.ora file on the server machine: 
from: 
SQLNET.ALLOWED_LOGON_VERSION=10 

to: 
SQLNET.ALLOWED_LOGON_VERSION=8 

OR 

- Use the OCI driver instead of the THIN driver. The OCI driver identifies itself correctly as a 10.2 client and thus the connection succeeds. 

OR 

- If you are using 10.2.0.4 or 10.2.0.5 version of the driver then, you may download Patch:6779501 from My Oracle Support. 

OR 

- If you are using 10.1.0.5.0 version of the driver then, you may download Patch:6505927 from My Oracle Support.

OR 

- Use JDBC 11g THIN driver or later.

REFERENCES

SQLNET.ALLOWED_LOGON_VERSION_CLIENT=10

SQLNET.ALLOWED_LOGON_VERSION_SERVER=11

1.3.4.1  12c中弃用和不支持的特性

https://docs.oracle.com/database/121/UPGRD/deprecated.htm#BABEDDGA

1.4  ORA-28040故障模拟

小麦苗有7、8、9、10、11、12c的数据库，所以顺便模拟一下这个错误。

服务端为12c的数据库，客户端为9i，我们在客户端尝试连接12c的数据库：

可以看到报ORA-28040: No matching authentication protocol的错误。

我们在服务端的$ORACLE_HOME/network/admin/sqlnet.ora添加如下的行：

重新尝试连接：

可以看到已经正常连接了。

如果将服务端的$ORACLE_HOME/network/admin/sqlnet.ora中的SQLNET.ALLOWED_LOGON_VERSION_SERVER=8和SQLNET.ALLOWED_LOGON_VERSION_CLIENT=8注释掉，而换成SQLNET.ALLOWED_LOGON_VERSION=8，如下：

尝试连接数据库：

可以正常连接，但是查看告警日志的时候有如下的输出：Using deprecated SQLNET.ALLOWED_LOGON_VERSION parameter. 而且，每连接一次数据库就输出一行该数据，和我们之前分析的问题是一致的。

1.5  Windows下使用oerr命令

由于客户的环境是12c Linux的，而自己没有12c的Linux环境，安装较为麻烦，索性就安装了一个Windows版本的。结果执行oerr ora 的时候报错了：

经查看报错的文件（E:\app\oracle\product\12.1.0\dbhome_1\rdbms\mesg\oraus.msg）的确没有，而且任何*.msg文件都不存在，那就从12c的Linux下把相关的$ORACLE_HOME/rdbms/mesg/*.msg文件都拷贝到Windows的环境下：

然后执行就OK了。

Oracle 12.2的ORA-01017/ORA-28040解惑

最近安装了一套RHEL 7.2 x86-86的Oracle12.2.0.1单机测试库，导完数据交给业务后，业务反馈使用PL/SQL Developer连接时报如下错误：

赶紧查了查MOS，原来在默认情况下Oracle 12.2对客户端版本有限制，主要是由sqlnet.ora中的以下两个参数控制：

SQLNET.ALLOWED_LOGON_VERSION_SERVER=n

SQLNET.ALLOWED_LOGON_VERSION_CLIENT=n

这两个参数默认是11，表明默认只允许11g的客户端进行连接，考虑到很多PC端 plsql developer用的客户端都是10g，把这两个参数改为10：

SQLNET.ALLOWED_LOGON_VERSION_SERVER=10

SQLNET.ALLOWED_LOGON_VERSION_CLIENT=10

SQLNET.ALLOWED_LOGON_VERSION_CLIENT参数主要是当数据库作为dblink的客户端时使用，设置后无需重启监听和数据库就可以生效。对于RAC，Oracle读取的这两个参数是在RDBMS的ORACLE_HOME里，而不是GRID的ORACLE_HOME里。

解决完这个问题，有些客户端可以连接了，但是有些客户端报：ORA-01017: invalidusername/password。于是我做了一些测试，发现在10.2.0.4版本的客户端连接会报ORA-01017，而10.2.0.5的版本可以正常连接，11.2.0.3、11.2.0.4和12.2.0.1的客户端也都没有问题，其它版本没有找到相关客户端，也就没有测试。

这里已经设置了10g客户端可以连接12.2的数据库，但为什么10.2.0.4的客户端还会报ORA-01017口令错误，而10.2.0.5客户端就可以连接。

经过检查，在Oracle 12c的数据库中(其实从11g开始就有了)，dba_users视图上有个字段是password_versions，该值情况如下：

SQL> set linesize 200

SQL> column username format a15

SQL> column account_status format a18

SQL> column default_tablespace format a25

SQL> column password_versions format a20

SQL> select username, account_status, default_tablespace, created, password_versions from dba_users where username = 'CRM';

USERNAME ACCOUNT_STATUS DEFAULT_TABLESPACE CREATED             PASSWORD_VERSIONS

-------- -------------- ------------------ ------------------- --------------------

CRM      OPEN           TBS_CRM_TS_S1      2017-06-06 21:36:19 11G 12C

password_versions表明当前CRM用户口令的认证方式是11g和12c，所以10.2.0.4客户端连接出现了问题。那如何支持10g的认证方式呢，其实很简单，只要确认sqlnet.ora中的SQLNET.ALLOWED_LOGON_VERSION_SERVER和SQLNET.ALLOWED_LOGON_VERSION_CLIENT已经设置为10，然后使用alert user xxx identified by xxxxxx后，PASSWORD_VERSIONS就支持10g的认证方式了，如下：

SQL> set linesize 200

SQL> column username format a15

SQL> column account_status format a18

SQL> column default_tablespace format a25

SQL> column password_versions format a20

SQL> select username, account_status, default_tablespace, created, password_versions from dba_users where username = 'CRM';

USERNAME ACCOUNT_STATUS DEFAULT_TABLESPACE CREATED             PASSWORD_VERSIONS

-------- -------------- ------------------ ------------------- --------------------

CRM      OPEN           TBS_CRM_TS_S1      2017-06-06 21:36:19 10G 11G 12C

所以整个问题的过程如下：在Oracle 12c上安装建库并迁移数据后，由于前期未设置SQLNET.ALLOWED_LOGON_VERSION_SERVER和SQLNET.ALLOWED_LOGON_VERSION_CLIENT为10，导致创建的用户不支持10g的口令认证方式。而修改这两个sqlnet参数后，数据库里用户的口令认证方式未发生变化，所以10.2.0.4客户端连接不上服务器，报ORA-01017。使用alert user xxx identified byxxxxxx修改口令后，由于sqlnet中的这两个参数已经修改为支持10g客户端的连接，所以dba_user中的password_versions也相应地修改为支持10g的认证方式，所以10.2.0.4版本的客户就可以连接数据库了。

所以当一些客户端是10.2.0.4的应用需要注意了，如果数据库服务器使用数据迁移的方式升级到Oracle 12c，需要注意在Oracle 12c中用户口令是否支持10g的认证方式，否则迁移后就报默名其妙的口令错误，10.2.0.5版本的客户端测试没有问题。

oracle错误:ORACLE_HOME_LISTNER is not SET, unable to auto-start Oracle Net Listener

解决方法 

安装好Oracle数据库后:

执行

和dbshut会提示：

错误原因 dbstart和dbshut脚本文件中ORACLE_HOME_LISTNER的设置有问题

解决方法 分别打开两个文件找到：

,修改为 

然后修改/home/oracle/.bash_profile 

添加export ORACLE_HOME_LISTNER=$ORACLE_HOME一句 

生效变量：

Oracle 12c   linux 64bit  启动ORACLE监听器，结尾报 The listener supports no services ，数据库实例services没被注册监听.

Oracle WebLogic Server Java反序列化漏洞CVE-2018-2628

$ cd /lopt/bea92sp2/weblogic92/server/lib
 
$ java -cp weblogic.jar weblogic.version

连接筛选器规则格式如：target localAddress localPort action protocols，其中：
 
 target 指定一个或多个要筛选的服务器。
 
 localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*)，则返回的匹配结果将是所有本地 IP 地址。)
 
 localPort 定义服务器正在监听的端口。(如果指定了星号，则匹配返回的结果将是服务器上所有可用的端口)。
 
 action 指定要执行的操作。(值必须为“allow”或“deny”。)
 
 protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议：http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议，则所有协议都将与一个规则匹配。

CENTOS7/RHEL7.4安装oracle12c数据库

修改系统配置

hostnamectl set-hostname db1
chkconfig NetworkManager off
/etc/init.d/NetworkManager stop
chkconfig ip6tables off

安装桌面环境与Oracle依赖包。

yum groupinstall -y "Desktop" "X Window System" "Chinese Support [zh]" "Internet Browser"

yum install libaio.i686 libaio.x86_64 libaio-devel.i686 libaio-devel.x86_64 compat-libstdc++-33.i686 compat-libstdc++-33.x86_64 elfutils-libelf-devel.i686 elfutils-libelf-devel.x86_64 libstdc++.i686 libstdc++.x86_64 unixODBC.i686 unixODBC.x86_64 unixODBC-devel.i686 unixODBC-devel.x86_64

配置oracle账号信息。

groupadd dba
groupadd oper
groupadd oinstall

useradd -g oinstall -G dba,oper oracle
passwd oracle

vi /etc/sysctl.d/99-sysctl.conf

kernel.shmmni = 4096  
kernel.sem = 250 32000 100 128

fs.file-max = 6815744
fs.aio-max-nr = 3145728

net.ipv4.ip_local_port_range = 9000 65000
net.core.rmem_default = 4194304
net.core.rmem_max = 4194304
net.core.wmem_default = 262144
net.core.wmem_max = 1048576

 sysctl -p

 sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

  vi /etc/security/limits.conf

oracle  soft        nproc   500000
oracle  hard        nproc   500000
oracle  soft        nofile  1048000
oracle  hard        nofile  1048000
oracle  soft        stack   10240
oracle  hard        stack   10240

Oracle 12c pdb自动启动

PDB Pluggable Database是12c中扛鼎的一个新特性， 但是对于CDB中的PDB，默认启动CDB时不会将所有的PDB带起来，这样我们就需要手动alter pluggable database ALL OPEN;

例如：

SQL> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
SQL> 
SQL> startup ;
ORACLE instance started.

Total System Global Area 1419685888 bytes
Fixed Size                  2288344 bytes
Variable Size             536872232 bytes
Database Buffers          872415232 bytes
Redo Buffers                8110080 bytes
Database mounted.
Database opened.
SQL> select con_id,name,open_mode from v$pdbs;

    CON_ID NAME                           OPEN_MODE
---------- ------------------------------ ----------
         2 PDB$SEED                       READ ONLY
         3 MACC                           MOUNTED

可以通过添加Trigger的形式来客制化startup时自动将PDB OPEN:

CREATE TRIGGER open_all_pdbs
   AFTER STARTUP
   ON DATABASE
BEGIN
   EXECUTE IMMEDIATE 'alter pluggable database all open';
END open_all_pdbs;
/

Trigger created.

SQL> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
SQL> 
SQL> startup;
ORACLE instance started.

Total System Global Area 1419685888 bytes
Fixed Size                  2288344 bytes
Variable Size             536872232 bytes
Database Buffers          872415232 bytes
Redo Buffers                8110080 bytes
Database mounted.
Database opened.
SQL> select con_id,name,open_mode from v$pdbs;

    CON_ID NAME                           OPEN_MODE
---------- ------------------------------ ----------
         2 PDB$SEED                       READ ONLY
         3 MACC                           READ WRITE

NOTE: dependency between database MAC and diskgroup resource ora.DATADG.dg is established
alter pluggable database all open
Sun Jul 07 01:40:59 2013
This instance was first to open pluggable database MACC (container=3)
Opening pdb MACC (3) with no Resource Manager plan active
Pluggable database MACC opened read write
Completed: alter pluggable database all open
Starting background process CJQ0

使用SYS用户创建如下触发器即可：

conn / as sysdba

CREATE TRIGGER open_all_pdbs
   AFTER STARTUP
   ON DATABASE
BEGIN
   EXECUTE IMMEDIATE 'alter pluggable database all open';
END open_all_pdbs;
/

Mysql之binlog日志说明及利用binlog日志恢复数据操作记录

Fail2ban 阻止暴力破解

简介：

Fail2ban 能够监控系统日志，匹配日志中的错误信息（使用正则表达式），执行相应的屏蔽动作（支持多种，一般为调用 iptables ），是一款很实用、强大的软件。

如：攻击者不断尝试穷举 SSH 、SMTP 、FTP 密码等，只要达到预设值，fail2ban 就会调用防火墙屏蔽此 IP ，并且可以发送邮件通知系统管理员。

功能、特性：

1、支持大量服务：sshd 、apache 、qmail 等
2、支持多作动作：iptables 、tcp-wrapper 、shorewall 、mail notifications 等
3、logpath 选项中支持通配符
4、需要 Gamin 支持（Gamin 用于监控文件和目录是否更改）
5、如果需要邮件通知，则系统事先要确保能够正常发送邮件

1、fail2ban 安装

shell > yum -y install epel-release

shell > yum -y install fail2ban

2、fail2ban 结构

/etc/fail2ban                  ## fail2ban 服务配置目录
/etc/fail2ban/action.d     ## iptables 、mail 等动作文件目录
/etc/fail2ban/filter.d       ## 条件匹配文件目录，过滤日志关键内容
/etc/fail2ban/jail.conf     ## fail2ban 防护配置文件
/etc/fail2ban/fail2ban.conf   ## fail2ban 配置文件，定义日志级别、日志、sock 文件位置等

3、fail2ban.conf 配置

shell > grep -v ^# /etc/fail2ban/fail2ban.conf

[Definition]

loglevel = 3 ## 定义日志级别，默认

logtarget = /var/log/fail2ban.log ## 定义 fail2ban 日志文件

socket = /var/run/fail2ban/fail2ban.sock ## sock 文件存放位置，默认

pidfile = /var/run/fail2ban/fail2ban.pid ## pid 文件存放位置，默认

4、jail.conf 防护配置

shell > grep -v ^# /etc/fail2ban/jail.conf

[DEFAULT] ## 全局设置，优先级最小

ignoreip = 127.0.0.1/8 ## 不受限制的 IP ，多组用空格分割

bantime = 600 ## 非法 IP 被屏蔽时间（秒），-1 代表永远封锁

findtime = 600 ## 设置多长时间（秒）内超过 maxretry 限制次数即被封锁

maxretry = 3 ## 最大尝试次数

backend = auto ## 日志修改检测机制（gamin 、polling 、auto 三种）

usedns = warn

[ssh-iptables] ## 分类设置（基于 SSHD 服务的防护）

enabled = true ## 是否开启防护，false 为关闭

filter = sshd ## 过滤规则 filter 名称，对应 filter.d 目录下的 sshd.conf

action = iptables[name=SSH, port=ssh, protocol=tcp] ## 动作参数
sendmail-whois[name=SSH, dest=you@example.com, sender=fail2ban@example.com, sendername="Fail2Ban"] ## 邮件通知参数
                          ## 收件人地址           ## 发件人地址 
logpath = /var/log/secure ## 检测系统登陆日志文件

maxretry = 5 ## 最大尝试次数

## 默认此配置文件中还有大量的服务防护配置，只不过默认都是关闭（false）状态，不用理会。

5、fail2ban 启动、测试 SSHD 防护

shell > service fail2ban start ## 如果重启 iptables ，必须重启 fail2ban

shell > fail2ban-client status ## 可以看到有一个实例已经开始监控
Status
|- Number of jail: 1
`- Jail list: ssh-iptables

shell > iptables -nL ## iptables 也加入了一条规则

fail2ban-SSH tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

## 同时，管理员邮箱也收到一封邮件..

[Fail2Ban] SSH: started on localhost.localdomain

发件人：Fail2Ban
收件人：1355*******
时　间：2015-06-05 23:58:5

Hi,

The jail SSH has been started successfully.

Regards,

Fail2Ban

## 这时客户端尝试登陆本机，故意输入五次密码，就会看到如下日志：

shell > tail -1 /var/log/fail2ban.log

2015-06-05 17:39:19,647 fail2ban.actions[1313]: WARNING [ssh-iptables] Ban 192.168.214.1

## 可以看到：192.168.214.1 被 Ban 掉了。

shell > cat /var/log/secure ## 系统登陆日志

Jun 5 17:39:01 localhost sshd[1341]: Failed password for root from 192.168.214.1 port 2444 ssh2
Jun 5 17:39:06 localhost sshd[1341]: Failed password for root from 192.168.214.1 port 2444 ssh2
Jun 5 17:39:11 localhost sshd[1341]: Failed password for root from 192.168.214.1 port 2444 ssh2
Jun 5 17:39:14 localhost sshd[1341]: Failed password for root from 192.168.214.1 port 2444 ssh2
Jun 5 17:39:18 localhost sshd[1341]: Failed password for root from 192.168.214.1 port 2444 ssh2
Jun 5 17:41:39 localhost login: pam_unix(login:session): session opened for user root by LOGIN(uid=0)

## 收到的邮件通知

[Fail2Ban] SSH: banned 192.168.214.1 from localhost.localdomain

发件人：Fail2Ban
收件人：1355*******
时　间：2015-06-06 00:05:45

Hi,

The IP 192.168.214.1 has just been banned by Fail2Ban after
5 attempts against SSH.

Here is more information about 192.168.214.1:

missing whois program

Regards,

Fail2Ban

## 测试成功 ！

6、加入 Nginx 防护（ httpd 代替 ）

## 目的是把规定时间内达到限定访问次数的 IP 封锁（例如，一分钟内有几百次请求）

shell > vim /etc/fail2ban/jail.conf

[nginx] ## nginx 防护

enabled = true
filter = nginx  ## 访问规则定义文件，位置在 /etc/fail2ban/filter.d/nginx.conf
action = iptables[name=nginx, port=http, protocol=tcp]
sendmail-whois[name=nginx, dest=1355*******@139.com, sender=fail2ban@aoath.com, sendername="Fail2Ban"]

logpath = /var/log/httpd/access_log ## nginx 访问日志

bantime = 86400 ## 符合规则的屏蔽一天，如果参数值与全局有冲突，优先级大于全局配置
findtime = 600  ## 10 分钟内访问超过 maxretry 次数的封锁 IP 
maxretry = 1000 ## 最大尝试次数

shell > vim /etc/fail2ban/filter.d/nginx.conf

[Definition]
failregex =<HOST>.*-.*-.*$ ## <HOST> 表示访问 IP ，其余的其实是最简单匹配了。因为这里没有要匹配精确的 URL ，只是限制访问次数
ignoreregex =

shell > fail2ban-regex /var/log/httpd/access_log /etc/fail2ban/filter.d/nginx.conf ## 可以测试条件规则是否可用

shell > service fail2ban restart ## 重启服务

shell > fail2ban-client status ## 可以看到有两个实例在监控中
Status
|- Number of jail: 2
`- Jail list: nginx, ssh-iptables

## 开始测试，通过脚本或者不管刷新页面测试 Nginx 防护（ 便于测试，可以将 maxretry 的值调为 10 ）

shell > fail2ban-client status nginx ## 可以看到被 Ban 掉的 IP
Status for the jail: nginx
|- filter
| |- File list: /var/log/httpd/access_log
| |- Currently failed: 1
| `- Total failed: 39
`- action
|- Currently banned: 1
| `- IP list: 192.168.214.1
`- Total banned: 1

## 同时也有对应的邮件通知

[Fail2Ban] nginx: banned 192.168.214.1 from localhost.localdomain

发件人：Fail2Ban
收件人：1355*******
时　间：2015-06-06 01:04:11

Hi,

The IP 192.168.214.1 has just been banned by Fail2Ban after
20 attempts against nginx.


Here is more information about 192.168.214.1:

missing whois program

Regards,

Fail2Ban

shell > tail -1 /var/log/fail2ban.log ## fail2ban 的日志信息

2015-06-05 19:04:11,705 fail2ban.actions[2592]: WARNING [nginx] Ban 192.168.214.1

## OK ，这就是 fail2ban 。很强大 ！！！

Nginx 反向代理、后端检测模块

简介：

Nginx 反向代理模块：ngx_http_proxy_module、ngx_http_upstream_module 后端检测模块：nginx_http_upstream_check_module

前者是官方提供的，安装 Nginx 的时候默认就内置了，可以直接使用，地址：http://nginx.org/en/docs/http/ngx_http_proxy_module.html

后者是淘宝大神提供的后端检测模块，需要手动编译添加，地址：https://github.com/yaoweibin/nginx_upstream_check_module

当前稳定版本：http://nginx.org/download/nginx-1.12.2.tar.gz

一、实验环境

1、Nginx

shell > yum -y install gcc gcc-c++ make wget zlib-devel pcre-devel openssl-devel

shell > wget http://nginx.org/download/nginx-1.12.2.tar.gz
shell > tar zxf nginx-1.12.2.tar.gz; cd nginx-1.12.2
shell > ./configure --prefix=/usr/local/nginx-1.12.2 && make && make install

2、后端服务器

shell > curl 192.168.10.24:8080
welcome to tomcat1
shell > curl 192.168.10.24:8081
welcome to tomcat2
shell > curl 192.168.10.24:8082
welcome to tomcat3

# 好了，三台后端服务器已经启动，分别监听 8080、8081、8082，分别返回 1、2、3

二、ngx_http_proxy_module、ngx_http_upstream_module

shell > vim conf/nginx.conf

user  nobody;
worker_processes  1;

pid        logs/nginx.pid;
events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    
    upstream ls {
        server 192.168.10.24:8080 weight=1 max_fails=3 fail_timeout=20s;
        server 192.168.10.24:8081 weight=2 max_fails=3 fail_timeout=20s;
        server 192.168.10.24:8082 weight=3 max_fails=3 fail_timeout=20s;
    }
    
    server {
        listen  80;
        
        location / {
            proxy_pass http://ls;
        }
    }
}

# 这是一个最简配的 Nginx 配置文件，定义了一个负载均衡池，池中有三台服务器，权重分别是 1、2、3 ( 越大越高 )
# 最大失败次数 3 次，超过 3 次失败后，20 秒内不检测。

# 当用户访问该 IP 的 80 端口时，被转发到后端的服务器。下面是一些反向代理的配置。

# 故障转移策略，当后端服务器返回如下错误时，自动负载到后端其余机器
proxy_next_upstream http_500 http_502 http_503 error timeout invalid_header;
# 设置后端服务器获取用户真实IP、代理者真实IP等
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 用于指定客户端请求主体缓存区大小，可以理解成先保存到本地再传给用户
client_body_buffer_size 128k;
# 表示与后端服务器连接的超时时间，即发起握手等侯响应的超时时间
proxy_connect_timeout 90;
# 表示后端服务器的数据回传时间，即在规定时间之后端服务器必须传完所有的数据，否则 Nginx 将断开这个连接
proxy_send_timeout 90;
# 设置 Nginx 从代理的后端服务器获取信息的时间，表示连接建立成功后，Nginx 等待后端服务器的响应时间，其实是 Nginx 已经进入后端的排队中等候处理的时间
proxy_read_timeout 90;
# 设置缓冲区大小，默认该缓冲区大小等于指令 proxy_buffers 设置的大小
proxy_buffer_size 4k;
# 设置缓冲区的数量和大小。Nginx 从代理的后端服务器获取的响应信息，会放置到缓冲区
proxy_buffers 4 32k;
# 用于设置系统很忙时可以使用的 proxy_buffers 大小，官方推荐大小为 proxu_buffers 的两倍
proxy_busy_buffers_size 64k;
# 指定 proxy 缓存临时文件的大小
proxy_temp_file_write_size 64k;

shell > /usr/local/nginx-1.12.2/sbin/nginx -t
nginx: the configuration file /usr/local/nginx-1.12.2/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx-1.12.2/conf/nginx.conf test is successful

shell > /usr/local/nginx-1.12.2/sbin/nginx

shell > i=0; while [ $i -lt 10 ];do curl localhost; let i++;done
welcome to tomcat2
welcome to tomcat3
welcome to tomcat3
welcome to tomcat2
welcome to tomcat1
welcome to tomcat3
welcome to tomcat2
welcome to tomcat3
welcome to tomcat3
welcome to tomcat2

# 总共请求10次，tomcat3 响应了5次，因为它的权重最高(weight=3)。

# 这样有一个问题，由于没有后端检测功能，当后端某一服务器无法提供服务时，该链接先被转发到这台机器，然后发现该机故障，而后才转发到其它机器。

# 导致资源浪费。

二、nginx_http_upstream_check_module

shell > git clone https://github.com/yaoweibin/nginx_upstream_check_module.git

shell > yum -y install patch

shell > cd /usr/local/src/nginx-1.12.2; patch -p1 < /usr/local/src/nginx_upstream_check_module/check_1.12.1+.patch
patching file src/http/modules/ngx_http_upstream_hash_module.c
patching file src/http/modules/ngx_http_upstream_ip_hash_module.c
patching file src/http/modules/ngx_http_upstream_least_conn_module.c
patching file src/http/ngx_http_upstream_round_robin.c
patching file src/http/ngx_http_upstream_round_robin.h

# 切换到 Nginx 源码目录，打补丁 ( 注意与自己的 Nginx 版本匹配 )

shell > ./configure --prefix=/usr/local/nginx-1.12.2 --add-module=/usr/local/src/nginx_upstream_check_module
shell > make && make install

# 重新编译、安装 Nginx，注意加上原来的编译参数

shell > vim /usr/local/nginx-1.12.2/conf/nginx.conf

    upstream ls {
        server 192.168.10.24:8080;
        server 192.168.10.24:8081;
        server 192.168.10.24:8082;

        check interval=3000 rise=2 fall=5 timeout=1000 type=http;
    }

    server {
        listen  80;

        location / {
            proxy_pass http://ls;
        }

        location /status {
            check_status;
            access_log off;
            # allow x.x.x.x;
            # deny all;
        }
    }

# 去掉了权重值，注意：是可以同时存在的。
# 添加了一行，检测间隔3000毫秒，连续成功2次标记为UP，连续失败5次标记为DOWN，超时时间1000毫秒，检测类型HTTP。

shell > /usr/local/nginx-1.12.2/sbin/nginx -t
nginx: the configuration file /usr/local/nginx-1.12.2/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx-1.12.2/conf/nginx.conf test is successful

shell > /usr/local/nginx-1.12.2/sbin/nginx -s stop
shell > /usr/local/nginx-1.12.2/sbin/nginx

# 直接 -s reload 貌似不行~

shell > curl localhost/status?format=json
{"servers": {
  "total": 3,
  "generation": 1,
  "server": [
    {"index": 0, "upstream": "ls", "name": "192.168.10.24:8080", "status": "up", "rise": 20, "fall": 0, "type": "http", "port": 0},
    {"index": 1, "upstream": "ls", "name": "192.168.10.24:8081", "status": "up", "rise": 18, "fall": 0, "type": "http", "port": 0},
    {"index": 2, "upstream": "ls", "name": "192.168.10.24:8082", "status": "up", "rise": 19, "fall": 0, "type": "http", "port": 0}
  ]
}}

# 总共有三台机器，都属于负载均衡 ls 组，状态 up，连续成功次数等等。

shell > curl localhost/status?format=json
{"servers": {
  "total": 3,
  "generation": 1,
  "server": [
    {"index": 0, "upstream": "ls", "name": "192.168.10.24:8080", "status": "up", "rise": 73, "fall": 0, "type": "http", "port": 0},
    {"index": 1, "upstream": "ls", "name": "192.168.10.24:8081", "status": "down", "rise": 0, "fall": 6, "type": "http", "port": 0},
    {"index": 2, "upstream": "ls", "name": "192.168.10.24:8082", "status": "up", "rise": 68, "fall": 0, "type": "http", "port": 0}
  ]
}}

# 关一台后端的话，就变成了这样！重启检测成功后，会被重新加入到负载均衡中！

Sersync + Rsync 代码分发

简介：

Sersync 是基于 inotify 来编写的 Linux 系统文件监控工具，当监控到文件发生变化时，调用 rsync 同步文件。

类似的功能，以前有用 rsync + inotify 实现过，这次来使用一下这个同步更迅速、功能更完善的 Sersync 。

一、代码分发服务器上安装 Sersync 、Rsync

shell > cd /usr/local/src
shell > wget https://github.com/wsgzao/sersync/archive/master.zip
shell > unzip master.zip
shell > cd sersync-master && ls
inotify-tools-3.14.tar.gz  README.md  rsync-3.1.1.tar.gz  sersync2.5.4_64bit_binary_stable_final.tar.gz

# 来到这里，你只要看一眼 README.md 你就啥都懂了

> Rsync

shell > tar zxf rsync-3.1.1.tar.gz
shell > cd rsync-3.1.1
shell > ./configure; make; make install

> Inotify-tools

shell > tar zxf inotify-tools-3.14.tar.gz
shell > cd inotify-tools-3.14
shell > ./configure; make; make install

> Sersync ( 监控同步目录变化，调用 Rsync 同步数据 )

shell > tar zxf sersync2.5.4_64bit_binary_stable_final.tar.gz
shell > mv GNU-Linux-x86 /usr/local/sersync

# 安装完毕

二、节点服务器安装、配置 Rsync

shell > cd /usr/local/src
shell > wget  http://rsync.samba.org/ftp/rsync/src/rsync-3.1.1.tar.gz
shell > tar zxf rsync-3.1.1.tar.gz
shell > cd rsync-3.1.1
shell > ./configure; make; make install

shell > vim /etc/rsyncd.conf

uid = www-data
gid = www-data

log file = /var/log/rsyncd.log

list = false
read only = no
use chroot = no
ignore errors = yes
max connections = 36000

auth users = rsync
secrets file = /etc/rsync.pass

# hosts allow = 192.168.1.80
# hosts deny = *

# 认证的模块名
[web1]
comment = web1
path = /data/webroot/web1

[web2]
comment = web2
path = /data/webroot/web2

shell > useradd -r -s /sbin/nologin www-data
shell > mkdir -p /data/webroot/{web1,web2}
shell > chown -R www-data.www-data /data/webroot

shell > echo "rsync:123456" > /etc/rsync.pass
shell > chmod 600 /etc/rsync.pass

shell > setenforce 0             # 关闭 SELinux
shell > vim /etc/selinux/config  # 永久
SELINUX=disabled  # 原 enforcing
SELINUXTYPE=targeted

# 另外防火墙开放 TCP 873

shell > rsync -4 --daemon  # 以守护进程方式启动，-4 只监听 IPV4
shell > echo "/usr/local/bin/rsync -4 --daemon" >> /etc/rc.local  # 加入开机启动

三、代码同步服务器测试 Rsync，配置 Sersync

1、测试 Rsync 数据同步

shell > rsync -av --delete /data/webroot/web1/ rsync@192.168.1.30::web1  # 将 web1 目录下的文件同步到 1.30 web1 模块指定的目录下
password:

# 输入密码：123456，采用下面的方法，不需要手动输入密码

shell > echo "123456" > /etc/rsyncd.pass
shell > chmod 600 /etc/rsyncd.pass

shell > rsync -av --delete --password-file=/etc/rsyncd.pass /data/webroot/web1/ rsync@192.168.1.30::web1 

# 注意同步目录及子目录、文件权限，设为 www-data、注意认证密码文件。

2、配置 Sersync

shell > cd /usr/local/sersync
shell > cp confxml.xml web1.xml

shell > vim web1.xml  # 编辑配置文件

    <sersync>
        <localpath watch="/data/webroot/web1">
            <remote ip="192.168.1.30" name="web1"/>
        </localpath>
        <rsync>
            <commonParams params="-artuz"/>
            <auth start="false" users="root" passwordfile="/etc/rsync.pas"/>
            <userDefinedPort start="false" port="874"/><!-- port=874 -->
            <timeout start="false" time="100"/><!-- timeout=100 -->
            <ssh start="false"/>
        </rsync>
        <failLog path="/tmp/rsync_fail_log.sh" timeToExecute="60"/><!--default every 60mins execute once-->
        <crontab start="false" schedule="600"><!--600mins-->
            <crontabfilter start="false">
                <exclude expression="*.php"></exclude>
                <exclude expression="info/*"></exclude>
            </crontabfilter>
        </crontab>

# <localpath watch="/data/webroot/web1"> # 需要同步的目录
# <remote ip="192.168.1.30" name="web1"/> # 同步主机，认证模块名 ( 可以写多条 )
# <commonParams params="-artuz"/> # Rsync 同步参数
# <auth start="false" users="root" passwordfile="/etc/rsync.pas"/> # 是否开启认证，客户端开启认证，需设为 true，填写认证用户、密码文件路径
# <failLog path="/tmp/rsync_fail_log.sh" timeToExecute="60"/> # 失败日志记录
# <crontab start="false" schedule="600"> # 自带任务计划，多长时间自动同步数据，默认关闭

3、运行 Sersync

shell > nohup /usr/local/sersync/sersync2 -r -d -n 12 -o /usr/local/sersync/web1.xml > /usr/local/sersync/logs/rsync_web1.log 2>&1 &

# -r 启动监控前，将监控目录与远程主机同步一次
# -d 启用守护进程模式
# -n 开启同步进程的数量，默认 10 个
# -o 指定配置文件，默认 confxml.xml

# 多个监控目录，指定不同的配置文件，开启多个进程。

四、测试 Sersync + Rsync

# 代码分发服务器上，监控目录内创建文件(修改权限)，增加文件内容，查看节点服务器有没有同步数据。
# 删除文件、创建目录、删除目录

# 测试发现，如果同步目录内文件权限不为 www-data，该文件可以同步到节点服务器，但是追加文件内容，则无法同步。
# 注意文件权限。

# 一个完整的流程：开发同事将代码提交到版本库-->点击上线-->数据同步到线上代码分发服务器-->通过 Sersync + Rsync 分发到-->节点服务器

Zabbix 监控 Cisco ASA5525 流量

简介：

Zabbix 监控 Cisco ASA5525 网络接口流量

一、Zabbix 支持 SNMP、Cisco 开启 SNMP

二、测试

shell > snmpwalk -v 2c -c public 192.168.2.254 system  # 查看系统信息
SNMPv2-MIB::sysDescr.0 = STRING: Cisco Adaptive Security Appliance Version 8.6(1)2
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.1408
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (3248815000) 376 days, 0:29:10.00
SNMPv2-MIB::sysContact.0 = STRING: 
SNMPv2-MIB::sysName.0 = STRING: ciscoasa
SNMPv2-MIB::sysLocation.0 = STRING: 
SNMPv2-MIB::sysServices.0 = INTEGER: 4

# -v 指定版本，-c 指定共同体名，IP，指令

shell > snmpwalk -v 2c -c public 192.168.2.254 interface  # 查看接口信息

# IF-MIB::ifDescr 接口名称
# IF-MIB::ifType 类型
# IF-MIB::ifSpeed 速率
# IF-MIB::ifMtu MTU
# IF-MIB::ifPhysAddress MAC
# IF-MIB::ifAdminStatus 状态
# IF-MIB::ifInOctets 传输字节数

# 等

三、确认需要监控网络接口

ciscoasa > show running-config interface
!
interface GigabitEthernet0/0
 duplex full
 nameif outside-1
 security-level 0
 ip address xx.xx.xx.xx 255.255.255.224 

# Cisco ASA 查看发现，GigabitEthernet0/0 为 outside-1 即外网接口，且配置着公网IP

shell > snmpwalk -v 2c -c public 192.168.2.254 ifDescr
IF-MIB::ifDescr.2 = STRING: Adaptive Security Appliance 'asa_mgmt_plane' interface
IF-MIB::ifDescr.3 = STRING: Adaptive Security Appliance 'outside-1' interface
IF-MIB::ifDescr.4 = STRING: Adaptive Security Appliance 'GigabitEthernet0/1' interface
IF-MIB::ifDescr.5 = STRING: Adaptive Security Appliance 'inside' interface
IF-MIB::ifDescr.6 = STRING: Adaptive Security Appliance 'GigabitEthernet0/3' interface
IF-MIB::ifDescr.7 = STRING: Adaptive Security Appliance 'GigabitEthernet0/4' interface
IF-MIB::ifDescr.8 = STRING: Adaptive Security Appliance 'GigabitEthernet0/5' interface
IF-MIB::ifDescr.9 = STRING: Adaptive Security Appliance 'GigabitEthernet0/6' interface
IF-MIB::ifDescr.10 = STRING: Adaptive Security Appliance 'GigabitEthernet0/7' interface
IF-MIB::ifDescr.11 = STRING: Adaptive Security Appliance 'Internal-Data0/1' interface
IF-MIB::ifDescr.12 = STRING: Adaptive Security Appliance 'cplane' interface
IF-MIB::ifDescr.13 = STRING: Adaptive Security Appliance 'mgmt_plane_int_tap' interface
IF-MIB::ifDescr.14 = STRING: Adaptive Security Appliance 'Management0/0' interface
IF-MIB::ifDescr.15 = STRING: Adaptive Security Appliance 'Virtual254' interface

# 服务器上查找，返现 outside-1 对应的设备 ID 为 IF-MIB::ifDescr.3

shell > snmpwalk -v 2c -c public 192.168.2.254 IF-MIB::ifInOctets.3   # 外网口进方向
IF-MIB::ifInOctets.3 = Counter32: 2965376258

shell > snmpwalk -v 2c -c public 192.168.2.254 IF-MIB::ifOutOctets.3  # 外网口出方向
IF-MIB::ifOutOctets.3 = Counter32: 3522107956

四、创建主机、模板

1、主机

创建主机 -> SNMP 192.168.2.254 161 -> 创建

2、模板

创建模板 -> 模板名称 Cisco -> 群组 Templates -> 创建

创建应用 -> network interface

创建监控项 -> 名称 GigabitEthernet0/0 - In
           -> 类型 SNMPv2 端点代理模式
           -> 键值 ifHCInOctets.3
           -> SNMP OID IF-MIB::ifHCInOctets.3
           -> SNMP community public
           -> 单位 bps
           -> 使用自定倍数 8
           -> 存储值 差量(每秒速率)
           -> 应用集 network interface
           -> 创建

# 拿到的是 byte 要转换成 bit 即 bps，1 byte = 8 bit，所以要设置倍数为 8
# 照这样设置 GigabitEthernet0/0 - Out 即可，注意键值为 ifHCOutOctets.3，OID 为 OID IF-MIB::ifHCOutOctets.3

3、图形

创建图形 -> 名称 GigabitEthernet0/0 -> 加入监控项 -> 绘图风格 梯度线 -> 设置颜色 -> 创建

五、为主机添加模板

主机 -> 模板 -> 选择模板 -> Cisco -> 添加 -> 更新

Fail2ban防止WordPress受到xmlrpc.php CC攻击

WordPress本身是一个非常强大的CMS(内容管理系统)，功能强大。但是也正是因为其强大的特性，使其很容易被利用，造成服务器的不稳定甚至崩溃。最容易遭受攻击的就是xmlrpc.php这个文件，攻击者只要每秒发送1个post请求到此文件，不出1分钟，一台512M内存Debian7系统的VPS就会崩溃，php进程和Mysql占用内存过高而导致无法访问。在尝试了网上流传的多个防攻击手段之后，fail2ban是效果最好的一个，下面就简单记录一下过程，供大家参考。

分析日志

在服务器出现异常的时候，首先去分析Nginx日志， /var/log/nginx/access.log ，从代码中可以发现如下可以IP不断发送Post请求到xmlrpc.php,每个IP的发送频率大概在2秒钟一次，严格来说频率并不高但足以让php和mysql进程崩溃。

185.188.204.16 - - [15/Jul/2017:23:51:07 -0400] "POST /xmlrpc.php HTTP/1.0" 502 574 "-" "*****"
185.188.204.6 - - [15/Jul/2017:23:51:08 -0400] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "*****"
185.188.204.8 - - [15/Jul/2017:23:51:08 -0400] "POST /xmlrpc.php HTTP/1.0" 502 574 "-" "*****"
185.188.204.14 - - [15/Jul/2017:23:51:08 -0400] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "*****"
185.188.204.16 - - [15/Jul/2017:23:51:08 -0400] "POST /xmlrpc.php HTTP/1.0" 502 574 "-" "*****"
185.188.204.7 - - [15/Jul/2017:23:51:08 -0400] "POST /xmlrpc.php HTTP/1.0" 502 574 "-" "*****"
185.188.204.12 - - [15/Jul/2017:23:51:09 -0400] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "*****"
185.188.204.11 - - [15/Jul/2017:23:51:09 -0400] "POST /xmlrpc.php HTTP/1.0" 502 574 "-" "*****"
185.188.204.15 - - [15/Jul/2017:23:51:09 -0400] "POST /xmlrpc.php HTTP/1.0" 502 574 "-" "*****"
185.188.204.11 - - [15/Jul/2017:23:51:09 -0400] "POST /xmlrpc.php HTTP/1.0" 502 574 "-" "*****"

安装fail2ban和iptables

安装fail2ban和iptables，这样能使用ipotables对攻击进行防御，想对于其它js和php的防御方式自动化更高，更为高效。

apt-get install fail2ban iptables

设置fail2ban jail.local

使用jail.local设定

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

vi /etc/fail2ban/jail.local

[xmlrpc]
enabled = true
filter = xmlrpc
action = iptables[name=xmlrpc, port=http, protocol=tcp]
logpath = /var/log/nginx/access.log
bantime = 43600
maxretry = 2

设置fail2ban 自定义filter

vi /etc/fail2ban/filter.d/xmlrpc.conf
[Definition]
failregex = ^<HOST> .*POST .*xmlrpc\.php.*
ignoreregex =

设置fail2ban jail.local

设置好之后重启fail2ban服务既可生效

service fail2ban restart

查看fail2ban日志查看防御情况

tail -f /var/log/fail2ban.log

2017-07-15 23:51:38,265 fail2ban.jail   : INFO   Creating new jail 'ssh'
2017-07-15 23:51:38,266 fail2ban.jail   : INFO   Jail 'ssh' uses Gamin
2017-07-15 23:51:38,287 fail2ban.filter : INFO   Set maxRetry = 6
2017-07-15 23:51:38,288 fail2ban.filter : INFO   Set findtime = 600
2017-07-15 23:51:38,288 fail2ban.actions: INFO   Set banTime = 600
2017-07-15 23:51:38,320 fail2ban.jail   : INFO   Creating new jail 'xmlrpc'
2017-07-15 23:51:38,320 fail2ban.jail   : INFO   Jail 'xmlrpc' uses Gamin
2017-07-15 23:51:38,321 fail2ban.filter : INFO   Added logfile = /var/log/nginx/access.log
2017-07-15 23:51:38,322 fail2ban.filter : INFO   Set maxRetry = 2
2017-07-15 23:51:38,323 fail2ban.filter : INFO   Set findtime = 600
2017-07-15 23:51:38,323 fail2ban.actions: INFO   Set banTime = 43600
2017-07-15 23:51:38,328 fail2ban.jail   : INFO   Jail 'ssh' started
2017-07-15 23:51:38,329 fail2ban.jail   : INFO   Jail 'xmlrpc' started
# 以上日志显示自定义的xmlrpc filter已经生效
2017-07-15 23:51:45,350 fail2ban.actions: WARNING [xmlrpc] Ban 185.188.204.8
2017-07-15 23:51:45,361 fail2ban.actions: WARNING [xmlrpc] Ban 185.188.204.9
2017-07-15 23:51:45,368 fail2ban.actions: WARNING [xmlrpc] Ban 185.188.204.6
2017-07-15 23:51:45,376 fail2ban.actions: WARNING [xmlrpc] Ban 185.188.204.7
2017-07-15 23:51:45,382 fail2ban.actions: WARNING [xmlrpc] Ban 185.188.204.16
2017-07-15 23:51:45,387 fail2ban.actions: WARNING [xmlrpc] Ban 185.188.204.14
2017-07-15 23:51:45,392 fail2ban.actions: WARNING [xmlrpc] Ban 185.188.204.15
2017-07-15 23:51:45,400 fail2ban.actions: WARNING [xmlrpc] Ban 185.188.204.12
2017-07-15 23:51:45,415 fail2ban.actions: WARNING [xmlrpc] Ban 185.188.204.10
2017-07-15 23:51:45,426 fail2ban.actions: WARNING [xmlrpc] Ban 185.188.204.11
# 以上日志则显示成功防御对xmlrpc进行攻击的IP等情况

参考链接：https://rbgeek.wordpress.com/2014/09/11/block-wordpress-xmlprc-php-ddos-attacks-using-fail2ban/

WordPress插件：https://wordpress.org/plugins/wp-fail2ban/

Related posts:

1. WordPress 启用HTTPS设置
2. Wp Super Cache + Nginx规则
3. Akismet：强大的反垃圾评论插件
4. 浅谈博客的友情链接与链接
5. WordPress移除静态资源版本号

我们目前想使用zabbix每五分钟监控一个错误日志文件，如果监控到有错误产生，就发邮件告警。像标准的访问日志，如nginx的access log，一行表示一条日志，解析起来比较容易，但当日志不是一行一条时，如tomcat,glassfish的日志，如下：
[2015-07-17T14:24:04.552+0800] [glassfish 4.0] [SEVERE] [AS-WEB-CORE-00037] [javax.enterprise.web.core] [tid: _ThreadID=26 _ThreadName=http-listener-1(3)] [timeMillis: 1437114244552] [levelValue: 1000] [[
An exception or error occurred in the container during the request processing
java.lang.IllegalArgumentException
at org.glassfish.grizzly.http.util.CookieParserUtils.parseClientCookies(CookieParserUtils.java:353)
at org.glassfish.grizzly.http.util.CookieParserUtils.parseClientCookies(CookieParserUtils.java:336)
at org.glassfish.grizzly.http.Cookies.processClientCookies(Cookies.java:220)
at org.glassfish.grizzly.http.Cookies.get(Cookies.java:131)
at org.glassfish.grizzly.http.server.Request.parseCookies(Request.java:1911)
at org.glassfish.grizzly.http.server.Request.getCookies(Request.java:1505)
at org.apache.catalina.connector.Request.parseSessionCookiesId(Request.java:4077)
at org.apache.catalina.connector.CoyoteAdapter.postParseRequest(CoyoteAdapter.java:649)
at org.apache.catalina.connector.CoyoteAdapter.doService(CoyoteAdapter.java:297)
]]
这个时候解析起来就相对复杂，我们可以使用如下脚本来取得最近五分钟的日志:

前面的脚本按顺序读取的，但当日志文件比较大时，获取日志的效率就非常低了，所以推荐下面倒序读取日志的方法，更高效。

之后就可以在zabbix添加一个监控项用来获取日志内容，触发器就使用{itemName.strlen(0)}#0表达式来检测获取到的日志内容是否不为空。itemName为监控项名称。

  之前修改了oracle 中的LISTENER_NETWORKS参数。

SQL> alter system set listener_networks='NULL' scope=spfile;

没想到重置oracle后，oracle实例就不能启动了。

SQL> startup

ORA-00136: invalid LISTENER_NETWORKS specification #1

ORA-00111: invalid attribute NETWORK

经查oracle告警文件，得到以下内容：

Oracle Database 12c Enterprise Edition Release 12.2.0.1.0 - 64bit Production.
ORACLE_HOME:    /data/oracle/app/product/12.2/db_1
System name:    Linux
Node name:      centos7
Release:        3.10.0-693.21.1.el7.x86_64
Version:        #1 SMP Wed Mar 7 19:03:37 UTC 2018
Machine:        x86_64
Using parameter settings in server-side spfile /data/oracle/app/product/12.2/db_1/dbs/spfileorcl12g.ora
System parameters with non-default values:
  processes                = 300
  nls_language             = "SIMPLIFIED CHINESE"
  nls_territory            = "CHINA"
  memory_target            = 784M
  control_files            = "/data/oracle/app/oradata/orcl12g/control01.ctl"
  control_files            = "/data/oracle/app/oradata/orcl12g/control02.ctl"
  db_block_size            = 8192
  compatible               = "12.2.0"
  undo_tablespace          = "UNDOTBS1"
  remote_login_passwordfile= "EXCLUSIVE"
  dispatchers              = "(PROTOCOL=TCP) (SERVICE=orcl12gXDB)"
  local_listener           = "LISTENER_ORCL12G"
  listener_networks        = "NULL"
  audit_file_dest          = "/data/oracle/app/admin/orcl12g/adump"
  audit_trail              = "DB"
  db_name                  = "orcl12g"
  open_cursors             = 300
  diagnostic_dest          = "/data/oracle/app"
  enable_pluggable_database= TRUE
NOTE: remote asm mode is local (mode 0x1; from cluster type)
2018-06-01T09:36:46.921346+08:00
============================================================
NOTE: PatchLevel of this instance 0
============================================================
USER (ospid: 49038): terminating the instance due to error 119

解决方法：

先用sqlplus 连接。手动指定使用pfile，启动oracle,第一个pfile没有启动成功，然后又找到另外一个pfile，启动成功了。

[oracle@centos7 ~]$ sqlplus  / as sysdba

SQL*Plus: Release 12.2.0.1.0 Production on 星期五 6月 1 09:42:44 2018

Copyright (c) 1982, 2016, Oracle.  All rights reserved.

已连接到空闲例程。

SQL> startup pfile='/data/oracle/app/product/12.2/db_1/dbs/init.ora';

ORA-00845: MEMORY_TARGET not supported on this system

内存配置不正确所以启动不了。spfile是memory_target = 784M，init.ora这里是1G。

可以手动修改init.ora，我这里使用另外一个文件。

SQL> startup mount pfile='/data/oracle/app/admin/orcl12g/pfile/init.ora.42201816225';

ORACLE 例程已经启动。

Total System Global Area  822083584 bytes
Fixed Size                  8798120 bytes
Variable Size             633339992 bytes
Database Buffers          171966464 bytes
Redo Buffers                7979008 bytes
数据库装载完毕。
SQL>

由于spfile是pfile编译而来的文件，不能文本编辑，

所以这里先可以直接先利用有问题的spfile生成pfile。

数据库未启动时也可以生成。

SQL>
SQL> create pfile='/data/oracle/app/product/12.2/db_1/dbs/pfile.ora' from spfile;

File created.

然后文本编辑pfile.ora,删除有问题的参数。

再使用pfile.ora 生成新spfile。

SQL> create spfile='/data/oracle/app/product/12.2/db_1/dbs/spfileorcl12g.ora' from pfile='/data/oracle/app/product/12.2/db_1/dbs/pfile.ora';

File created.

SQL> show parameter listen
ORA-01034: ORACLE not available
 ID: 0
 ID: 0 0

最后启动数据库，测试正常。
SQL> startup
ORACLE instance started.

Total System Global Area  822083584 bytes
Fixed Size                  8798120 bytes
Variable Size             591396952 bytes
Database Buffers          213909504 bytes
Redo Buffers                7979008 bytes


数据库已经打开。

查看参数已经为空或默认值。

SQL>
SQL> show parameter listen

NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
listener_networks                    string
local_listener                       string      LISTENER_ORCL12G
remote_listener                      string
SQL>

修改openssh版本信息

关于Oracle WebLogic Server存在反序列化远程代码执行漏洞的安全公告

2018年7月18日，国家信息安全漏洞共享平台（CNVD）收录了Oracle WebLogic Server反序列化远程代码执行漏洞（CNVD-2018-13334，对应CVE-2018-2893）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前厂商已发布补丁进行修复。

一、漏洞情况分析

WebLogicServer是美国甲骨文（Oracle）公司开发的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。RMI目前使用Java远程消息交换协议JRMP（Java Remote Messaging Protocol）进行通信，JRMP协议是专为Java的远程对象制定的协议。在WebLogic Server的 RMI（远程方法调用）通信中，T3协议（丰富套接字）用来在 WebLogic Server 和其他 Java 程序（包括客户端及其他 WebLogic Server 实例）间传输数据，该协议在开放WebLogic控制台端口的应用上默认开启。由于在WebLogic中，T3协议和Web协议共用同一个端口，因此只要能访问WebLogic就可利用T3协议，将payload发送至目标服务器。

北京时间7月18日凌晨，Oracle官方发布了7月份关键补丁更新CPU（Critical Patch Update），其中修复了一个在4月份CPU补丁中未能完全修复的WeblogicServer反序列化漏洞（CNVD-2018-07811，CVE-2018-2628）。该漏洞通过JRMP协议利用RMI机制的缺陷达到执行任意反序列化代码的目的。攻击者可以在未授权的情况下将payload封装在T3协议中，通过对T3协议中的payload进行反序列化，从而实现对存在漏洞的WebLogic组件进行远程攻击，执行任意代码并可获取目标系统的所有权限。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

根据官方公告情况，该漏洞的影响版本如下：

WebLogic 10.3.6.0

WebLogic 12.1.3.0

WebLogic 12.2.1.2

WebLogic 12.2.1.3

CNVD秘书处对WebLogic服务在全球范围内的分布情况进行了统计，结果显示该服务的全球规模约为6.9万，其中我国境内的用户量约为2.15万。随机抽样检测结果显示，约0.4%的WebLogic服务器受此漏洞影响。该比例远低于我平台在4月18日收录的WebLogic Server反序列化漏洞（CNVD-2018-07811）的影响范围。

三、漏洞处置建议

1、美国甲骨文公司已发布了修复补丁，建议及时更新至最新版本：http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

2、临时解决方案：控制T3协议的访问

(通过临时方案的去做的话，设置好后，会出现无法启动weblogic的情况。127.0.0.1 改成自己所在网段即可，最后要重启服务。如出现application不能启动，则要重新部署）

此漏洞产生于WebLogic的T3服务，因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口（默认为7001端口）时，T3服务会默认开启。

具体操作：

（1）进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

（2）在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * *deny t3 t3s（t3和t3s协议的所有端口只允许本地访问）。

（3）保存后需重新启动，规则方可生效。

3、升级到 jdk-8u20以上的版本。

附：参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-13334

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

Oracle官方发布了7月份的关键补丁更新 CPU（CriticalPatchUpdate ）,其中包含一个高危的 Weblogic 反序列化漏洞 (CVE-2018-2893 )，

该漏洞通过JRMP协议利用RMI机制的缺陷达到执行任意反序列化代码的目。 攻击者可以在未授权情况下将 payload 封装在T3协议中，

通过对T3协议中的 payload 进行反序列化，从而实现对存在漏洞的 进行反序列化，从而实现对存在漏洞的WebLogic组件进行远程攻击，

执行任意代码并可获取目标系统的所有权限。受影响的颁布为Oracle WebLogicServer 10.3.6.0,Oracle WebLogicServer 12.1.3.0,

Oracle WebLogicServer 12.2.1.2,Oracle WebLogicServer 12.2.1.3

Oracle目前已经发布了升级补丁可参考链接"Critical Patch Update (CPU) Program July 2018 Patch Availability Document (PAD) (Doc ID 2394520.1)"

我们的生产环境WebLogic主要是两个版本10.3.6.0与12.1.3.0。下面是具体操作
对于10.3.6.0版本需要执行bsh.sh脚本来进行补丁安装
1.首先下载补丁包p27919965_1036_Generic.zip

2.将补丁包p27919965_1036_Generic.zip上传到{MW_HOME}/utils/bsu/cache_dir 其中MW_HOME是Weblogic的BASE目录，类似于Oracle BASE目录

3.将补丁包27919965_1036_Generic.zip解压

[root@app1 cache_dir]# unzip p27919965_1036_Generic.zip
Archive:  p27919965_1036_Generic.zip
 extracting: B47X.jar                
  inflating: patch-catalog_26112.xml  
  inflating: README.txt

4.执行安装命令(bsu.sh -install -patch_download_dir={MW_HOME}/utils/bsu/cache_dir -patchlist={PATCH_ID} -prod_dir={MW_HOME}/{WL_HOME}) 其中WL_HOME是WebLogic home目录

root@app1 bsu]# ./bsu.sh -install -patch_download_dir=/wls11g/utils/bsu/cache_dir -patchlist=B47X -prod_dir=/wls11g/wlserver_10.3
Checking for conflicts...............
No conflict(s) detected
Installing Patch ID: B47X..
Result: Success

5.检查补丁包是否安装成功

[root@app1 bsu]# ./bsu.sh -prod_dir=/wls11g/wlserver_10.3 -status=applied -verbose -view 
ProductName:       WebLogic Server
ProductVersion:    10.3 MP6
Components:        WebLogic Server/Core Application Server,WebLogic Server/Admi
                   nistration Console,WebLogic Server/Configuration Wizard and 
                   Upgrade Framework,WebLogic Server/Web 2.0 HTTP Pub-Sub Serve
                   r,WebLogic Server/WebLogic SCA,WebLogic Server/WebLogic JDBC
                    Drivers,WebLogic Server/Third Party JDBC Drivers,WebLogic S
                   erver/WebLogic Server Clients,WebLogic Server/WebLogic Web S
                   erver Plugins,WebLogic Server/UDDI and Xquery Support,WebLog
                   ic Server/Evaluation Database,WebLogic Server/Workshop Code 
                   Completion Support
BEAHome:           /wls11g
ProductHome:       /wls11g/wlserver_10.3
PatchSystemDir:    /wls11g/utils/bsu
PatchDir:          /wls11g/patch_wls1036
Profile:           Default
DownloadDir:       /wls11g/utils/bsu/cache_dir
JavaVersion:       1.6.0_29
JavaVendor:        Sun
Patch ID:          B47X
PatchContainer:    B47X.jar
Checksum:          -345780037
Severity:          optional
Category:          General
CR/BUG:            27919965
Restart:           true
Description:       WLS PATCH SET UPDATE 10.3.6.0.180717
WLS PATCH SET UPDATE 10
                   .3.6.0.180717

6.重启WebLogic

[root@app1 bsu]# service weblogic restart
Stopping weblogic: weblogic is not running.
Starting weblogic: 
[root@app1 bsu]# .
JAVA Memory arguments: -Xms4096m -Xmx4096m  -XX:MaxPermSize=1024m
.
WLS Start Mode=Production
.
CLASSPATH=/wls11g/patch_wls1036/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/wls11g/patch_ocp371/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/usr/lib/jvm/java-
1.6.0-openjdk-
1.6.0.0.x86_64/lib/tools.jar:/wls11g/wlserver_10.3/server/lib/weblogic_sp.jar:/wls11g/wlserver_10.3/server/lib/weblogic.jar:/wls11g/modules/features/weblogic.server.modules_10.3.6.0.jar:/wl
s11g/wlserver_10.3/server/lib/webservices.jar:/wls11g/modules/org.apache.ant_1.7.1/lib/ant-all.jar:/wls11g/modules/net.sf.antcontrib_1.1.0.0_1-0b2/lib/ant-
contrib.jar:/wls11g/wlserver_10.3/common/derby/lib/derbyclient.jar:/wls11g/wlserver_10.3/server/lib/xqrl.jar:.:/weblogic11_64/jdk1.6.0_20/lib/dt.jar:/weblogic11_64/jdk1.6.0_20/lib/tools.jar
.
PATH=/wls11g/wlserver_10.3/server/bin:/wls11g/modules/org.apache.ant_1.7.1/bin:/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/bin:/usr/lib/jvm/java-1.6.0-openjdk-
1.6.0.0.x86_64/bin:/weblogic11_64/jdk1.6.0_20/bin:/usr/lib64/qt-3.3/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
.
***************************************************
*  To start WebLogic Server, use a username and   *
*  password assigned to an admin-level user.  For *
*  server administration, use the WebLogic Server *
*  console at http://hostname:port/console        *
***************************************************
starting weblogic with Java version:
java version "1.6.0"
OpenJDK  Runtime Environment (build 1.6.0-b09)
OpenJDK 64-Bit Server VM (build 1.6.0-b09, mixed mode)
Starting WLS with line:
/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/bin/java -server   -Xms4096m -Xmx4096m  -XX:MaxPermSize=1024m -Dweblogic.Name=AdminServer -
Djava.security.policy=/wls11g/wlserver_10.3/server/lib/weblogic.policy  -Dweblogic.ProductionModeEnabled=true   -da -Dplatform.home=/wls11g/wlserver_10.3 -
Dwls.home=/wls11g/wlserver_10.3/server -Dweblogic.home=/wls11g/wlserver_10.3/server   -Dweblogic.management.discover=true  -Dwlw.iterativeDev=false -Dwlw.testConsole=false -
Dwlw.logErrorsToConsole=false -Dweblogic.ext.dirs=/wls11g/patch_wls1036/profiles/default/sysext_manifest_classpath:/wls11g/patch_ocp371/profiles/default/sysext_manifest_classpath -
Dplatform.home=/wls11g/wlserver_10.3 -Dwls.home=/wls11g/wlserver_10.3/server -Dweblogic.home=/wls11g/wlserver_10.3/server   -Dweblogic.management.discover=true  -verbose:gc -XX:
+PrintGCTimeStamps  -XX:+HeapDumpOnOutOfMemoryError  -XX:+PrintGCDetails -XX:+PrintGC -Xloggc:gc.log  -Dwlw.iterativeDev=false -Dwlw.testConsole=false -Dwlw.logErrorsToConsole=false  
weblogic.Server
<Jul 19, 2018 4:20:09 PM CST> <Info> <Security> <BEA-090905> <Disabling CryptoJ JCE Provider self-integrity check for better startup performance. To enable this check, specify -
Dweblogic.security.allowCryptoJDefaultJCEVerification=true> 
<Jul 19, 2018 4:20:09 PM CST> <Info> <Security> <BEA-090906> <Changing the default Random Number Generator in RSA CryptoJ from ECDRBG to FIPS186PRNG. To disable this change, specify -
Dweblogic.security.allowCryptoJDefaultPRNG=true>

执行重启命令后，weblogic进行自动终止，并且没有生成任何日志与错误信息，如是我选择删除该补丁

7.删除补丁

root@app1 bsu]# ./bsu.sh -remove -patchlist=B47X -prod_dir=/wls11g/wlserver_10.3
Checking for conflicts..............
No conflict(s) detected
Removing Patch ID: B47X..
Result: Success

8.重启WebLogic恢复正常

[root@app1 bsu]# service weblogic restart
Stopping weblogic: weblogic is not running.
Starting weblogic: 
[root@app1 bsu]# .
.
JAVA Memory arguments: -Xms4096m -Xmx4096m  -XX:MaxPermSize=256m
.
WLS Start Mode=Production
.
CLASSPATH=/wls11g/patch_wls1036/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/wls11g/patch_ocp371/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/usr/lib/jvm/java-
1.6.0-openjdk-
1.6.0.0.x86_64/lib/tools.jar:/wls11g/wlserver_10.3/server/lib/weblogic_sp.jar:/wls11g/wlserver_10.3/server/lib/weblogic.jar:/wls11g/modules/features/weblogic.server.modules_10.3.6.0.jar:/wl
s11g/wlserver_10.3/server/lib/webservices.jar:/wls11g/modules/org.apache.ant_1.7.1/lib/ant-all.jar:/wls11g/modules/net.sf.antcontrib_1.1.0.0_1-0b2/lib/ant-
contrib.jar:/wls11g/wlserver_10.3/common/derby/lib/derbyclient.jar:/wls11g/wlserver_10.3/server/lib/xqrl.jar
.
PATH=/wls11g/wlserver_10.3/server/bin:/wls11g/modules/org.apache.ant_1.7.1/bin:/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/bin:/usr/lib/jvm/java-1.6.0-openjdk-
1.6.0.0.x86_64/bin:/sbin:/usr/sbin:/bin:/usr/bin
.
***************************************************
*  To start WebLogic Server, use a username and   *
*  password assigned to an admin-level user.  For *
*  server administration, use the WebLogic Server *
*  console at http://hostname:port/console        *
***************************************************
starting weblogic with Java version:
java version "1.6.0"
OpenJDK  Runtime Environment (build 1.6.0-b09)
OpenJDK 64-Bit Server VM (build 1.6.0-b09, mixed mode)
Starting WLS with line:
/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/bin/java -server   -Xms4096m -Xmx4096m  -XX:MaxPermSize=256m -Dweblogic.Name=AdminServer -
Djava.security.policy=/wls11g/wlserver_10.3/server/lib/weblogic.policy  -Dweblogic.ProductionModeEnabled=true   -da -Dplatform.home=/wls11g/wlserver_10.3 -
Dwls.home=/wls11g/wlserver_10.3/server -Dweblogic.home=/wls11g/wlserver_10.3/server   -Dweblogic.management.discover=true  -Dwlw.iterativeDev=false -Dwlw.testConsole=false -
Dwlw.logErrorsToConsole=false -Dweblogic.ext.dirs=/wls11g/patch_wls1036/profiles/default/sysext_manifest_classpath:/wls11g/patch_ocp371/profiles/default/sysext_manifest_classpath -
Dplatform.home=/wls11g/wlserver_10.3 -Dwls.home=/wls11g/wlserver_10.3/server -Dweblogic.home=/wls11g/wlserver_10.3/server   -Dweblogic.management.discover=true  -verbose:gc -XX:
+PrintGCTimeStamps  -XX:+HeapDumpOnOutOfMemoryError  -XX:+PrintGCDetails -XX:+PrintGC -Xloggc:gc.log  -Dwlw.iterativeDev=false -Dwlw.testConsole=false -Dwlw.logErrorsToConsole=false  
weblogic.Server
<Jul 19, 2018 5:38:59 PM CST> <Info> <Security> <BEA-090905> <Disabling CryptoJ JCE Provider self-integrity check for better startup performance. To enable this check, specify -
Dweblogic.security.allowCryptoJDefaultJCEVerification=true> 
<Jul 19, 2018 5:38:59 PM CST> <Info> <Security> <BEA-090906> <Changing the default Random Number Generator in RSA CryptoJ from ECDRBG to FIPS186PRNG. To disable this change, specify -
Dweblogic.security.allowCryptoJDefaultPRNG=true> 
<Jul 19, 2018 5:38:59 PM CST> <Info> <WebLogicServer> <BEA-000377> <Starting WebLogic Server with OpenJDK 64-Bit Server VM Version 1.6.0-b09 from Sun Microsystems Inc.> 
<Jul 19, 2018 5:39:00 PM CST> <Info> <Management> <BEA-141107> <Version: WebLogic Server 10.3.6.0  Tue Nov 15 08:52:36 PST 2011 1441050 > 
<Jul 19, 2018 5:39:02 PM CST> <Notice> <WebLogicServer> <BEA-000365> <Server state changed to STARTING> 
<Jul 19, 2018 5:39:02 PM CST> <Info> <WorkManager> <BEA-002900> <Initializing self-tuning thread pool> 
<Jul 19, 2018 5:39:03 PM CST> <Notice> <Log Management> <BEA-170019> <The server log file /wls11g/user_projects/domains/base_domain/servers/AdminServer/logs/AdminServer.log is opened. All 
server side log events will be written to this file.> 
<Jul 19, 2018 5:39:05 PM CST> <Notice> <Security> <BEA-090082> <Security initializing using security realm myrealm.> 
<Jul 19, 2018 5:39:08 PM CST> <Warning> <Deployer> <BEA-149617> <Non-critical internal application wls-wsat was not deployed. Error: [Deployer:149158]No application files exist at 
'/wls11g/wlserver_10.3/server/lib/wls-wsat.war'.> 
<Jul 19, 2018 5:39:09 PM CST> <Notice> <WebLogicServer> <BEA-000365> <Server state changed to STANDBY> 
<Jul 19, 2018 5:39:09 PM CST> <Notice> <WebLogicServer> <BEA-000365> <Server state changed to STARTING>

9.由于安装补丁后不能正常启动weblogic所以选择禁用T3协议
登录控制台后在 bash_domain的配置页面中选择“安全”选项卡页面，再点击"筛选器"并在连接筛选器规则中设置以下规则

127.0.0.1 * * allow t3 t3s
0.0.0.0/0 * * deny t3 t3s

(通过临时方案的去做的话，设置好后，会出现无法启动weblogic的情况。127.0.0.1 改成自己所在网段即可，最后要重启服务。如出现application不能启动，则要重新部署）

10.然后重新启动weblogic
[root@app1 bsu]# service weblogic restart
Stopping weblogic: weblogic is not running.
Starting weblogic: 
[root@app1 bsu]# .
.
JAVA Memory arguments: -Xms4096m -Xmx4096m  -XX:MaxPermSize=256m
.
WLS Start Mode=Production
.
CLASSPATH=/wls11g/patch_wls1036/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/wls11g/patch_ocp371/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/usr/lib/jvm/java-
1.6.0-openjdk-
1.6.0.0.x86_64/lib/tools.jar:/wls11g/wlserver_10.3/server/lib/weblogic_sp.jar:/wls11g/wlserver_10.3/server/lib/weblogic.jar:/wls11g/modules/features/weblogic.server.modules_10.3.6.0.jar:/wl
s11g/wlserver_10.3/server/lib/webservices.jar:/wls11g/modules/org.apache.ant_1.7.1/lib/ant-all.jar:/wls11g/modules/net.sf.antcontrib_1.1.0.0_1-0b2/lib/ant-
contrib.jar:/wls11g/wlserver_10.3/common/derby/lib/derbyclient.jar:/wls11g/wlserver_10.3/server/lib/xqrl.jar
.
PATH=/wls11g/wlserver_10.3/server/bin:/wls11g/modules/org.apache.ant_1.7.1/bin:/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/bin:/usr/lib/jvm/java-1.6.0-openjdk-
1.6.0.0.x86_64/bin:/sbin:/usr/sbin:/bin:/usr/bin
.
***************************************************
*  To start WebLogic Server, use a username and   *
*  password assigned to an admin-level user.  For *
*  server administration, use the WebLogic Server *
*  console at http://hostname:port/console        *
***************************************************
starting weblogic with Java version:
java version "1.6.0"
OpenJDK  Runtime Environment (build 1.6.0-b09)
OpenJDK 64-Bit Server VM (build 1.6.0-b09, mixed mode)
Starting WLS with line:
/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/bin/java -server   -Xms4096m -Xmx4096m  -XX:MaxPermSize=256m -Dweblogic.Name=AdminServer -
Djava.security.policy=/wls11g/wlserver_10.3/server/lib/weblogic.policy  -Dweblogic.ProductionModeEnabled=true   -da -Dplatform.home=/wls11g/wlserver_10.3 -
Dwls.home=/wls11g/wlserver_10.3/server -Dweblogic.home=/wls11g/wlserver_10.3/server   -Dweblogic.management.discover=true  -Dwlw.iterativeDev=false -Dwlw.testConsole=false -
Dwlw.logErrorsToConsole=false -Dweblogic.ext.dirs=/wls11g/patch_wls1036/profiles/default/sysext_manifest_classpath:/wls11g/patch_ocp371/profiles/default/sysext_manifest_classpath -
Dplatform.home=/wls11g/wlserver_10.3 -Dwls.home=/wls11g/wlserver_10.3/server -Dweblogic.home=/wls11g/wlserver_10.3/server   -Dweblogic.management.discover=true  -verbose:gc -XX:
+PrintGCTimeStamps  -XX:+HeapDumpOnOutOfMemoryError  -XX:+PrintGCDetails -XX:+PrintGC -Xloggc:gc.log  -Dwlw.iterativeDev=false -Dwlw.testConsole=false -Dwlw.logErrorsToConsole=false  
weblogic.Server
<Jul 19, 2018 5:38:59 PM CST> <Info> <Security> <BEA-090905> <Disabling CryptoJ JCE Provider self-integrity check for better startup performance. To enable this check, specify -
Dweblogic.security.allowCryptoJDefaultJCEVerification=true> 
<Jul 19, 2018 5:38:59 PM CST> <Info> <Security> <BEA-090906> <Changing the default Random Number Generator in RSA CryptoJ from ECDRBG to FIPS186PRNG. To disable this change, specify -
Dweblogic.security.allowCryptoJDefaultPRNG=true> 
<Jul 19, 2018 5:38:59 PM CST> <Info> <WebLogicServer> <BEA-000377> <Starting WebLogic Server with OpenJDK 64-Bit Server VM Version 1.6.0-b09 from Sun Microsystems Inc.> 
<Jul 19, 2018 5:39:00 PM CST> <Info> <Management> <BEA-141107> <Version: WebLogic Server 10.3.6.0  Tue Nov 15 08:52:36 PST 2011 1441050 > 
<Jul 19, 2018 5:39:02 PM CST> <Notice> <WebLogicServer> <BEA-000365> <Server state changed to STARTING> 
<Jul 19, 2018 5:39:02 PM CST> <Info> <WorkManager> <BEA-002900> <Initializing self-tuning thread pool> 
<Jul 19, 2018 5:39:03 PM CST> <Notice> <Log Management> <BEA-170019> <The server log file /wls11g/user_projects/domains/base_domain/servers/AdminServer/logs/AdminServer.log is opened. All 
server side log events will be written to this file.> 
<Jul 19, 2018 5:39:05 PM CST> <Notice> <Security> <BEA-090082> <Security initializing using security realm myrealm.> 
<Jul 19, 2018 5:39:08 PM CST> <Warning> <Deployer> <BEA-149617> <Non-critical internal application wls-wsat was not deployed. Error: [Deployer:149158]No application files exist at 
'/wls11g/wlserver_10.3/server/lib/wls-wsat.war'.> 
<Jul 19, 2018 5:39:09 PM CST> <Notice> <WebLogicServer> <BEA-000365> <Server state changed to STANDBY> 
<Jul 19, 2018 5:39:09 PM CST> <Notice> <WebLogicServer> <BEA-000365> <Server state changed to STARTING>
对于12.1.3.0版本使用OPatch来进行补丁安装
1.将最新的OPatch工具上传到WebLogic所在服务器并解压
[root@ldjc wls12c]# unzip p6880880_132000_Generic.zip
Archive:  p6880880_132000_Generic.zip
replace OPatch/ocm/lib/emocmutl.jar? [y]es, [n]o, [A]ll, [N]one, [r]ename: y
  inflating: OPatch/ocm/lib/emocmutl.jar  
replace OPatch/ocm/doc/dummy.txt? [y]es, [n]o, [A]ll, [N]one, [r]ename: A
 extracting: OPatch/ocm/doc/dummy.txt  
 extracting: OPatch/ocm/bin/dummy    
  inflating: OPatch/ocm/ocm_platforms.txt  
 extracting: OPatch/ocm/generic.zip  
  inflating: OPatch/oplan/README.html  
  inflating: OPatch/oplan/oplan      
  inflating: OPatch/oplan/README.txt  
  inflating: OPatch/oplan/jlib/EMrepoDrivers.jar  
  inflating: OPatch/oplan/jlib/automation.jar  
  inflating: OPatch/oplan/jlib/Validation.jar  
  inflating: OPatch/oplan/jlib/apache-commons/commons-cli-1.0.jar  
  inflating: OPatch/oplan/jlib/CRSProductDriver.jar  
  inflating: OPatch/oplan/jlib/OsysModel.jar  
  inflating: OPatch/oplan/jlib/oplan.jar  
  inflating: OPatch/oplan/jlib/jaxb/activation.jar  
  inflating: OPatch/oplan/jlib/jaxb/jaxb-api.jar  
  inflating: OPatch/oplan/jlib/jaxb/jaxb-impl.jar  
  inflating: OPatch/oplan/jlib/jaxb/jsr173_1.0_api.jar  
  inflating: OPatch/oplan/jlib/ValidationRules.jar  
  inflating: OPatch/oplan/jlib/patchsdk.jar  
  inflating: OPatch/oplan/jlib/osysmodel-utils.jar  
  inflating: OPatch/oplan/jlib/oracle.oplan.classpath.jar  
  inflating: OPatch/operr.bat        
  inflating: OPatch/opatchprereqs/oui/knowledgesrc.xml  
   creating: OPatch/opatchprereqs/opatch/
  inflating: OPatch/opatchprereqs/opatch/opatch_prereq.xml  
  inflating: OPatch/opatchprereqs/opatch/rulemap.xml  
  inflating: OPatch/opatchprereqs/opatch/runtime_prereq.xml  
  inflating: OPatch/opatchprereqs/opatch_prereq.sh  
  inflating: OPatch/opatchprereqs/prerequisite.properties  
  inflating: OPatch/opatch           
  inflating: OPatch/emdpatch.pl      
  inflating: OPatch/version.txt      
  inflating: OPatch/opatch.ini       
  inflating: OPatch/operr            
  inflating: OPatch/README.txt       
  inflating: OPatch/opatch.pl        
  inflating: OPatch/scripts/opatch_wls.bat  
  inflating: OPatch/scripts/opatch_jvm_discovery.bat  
  inflating: OPatch/scripts/opatch_wls  
  inflating: OPatch/scripts/opatch_jvm_discovery  
  inflating: OPatch/docs/operr_readme.txt  
  inflating: OPatch/docs/README.txt  
  inflating: OPatch/jlib/oracle.opatch.classpath.windows.jar  
  inflating: OPatch/jlib/opatchsdk.jar  
  inflating: OPatch/jlib/oracle.opatch.classpath.unix.jar  
  inflating: OPatch/jlib/opatch.jar  
  inflating: OPatch/jlib/oracle.opatch.classpath.jar  
  inflating: OPatch/opatch.bat       
[root@ldjc wls12c]# chown -R xxxx:xxxx /wls12c/OPatch
2.将补丁包上传unzip p27919943_121300_Generic.zip到WebLogic所在服务器并解压
[root@ldjc soft]# unzip p27919943_121300_Generic.zip
Archive:  p27919943_121300_Generic.zip
   creating: 27919943/
   creating: 27919943/etc/
   creating: 27919943/etc/config/
  inflating: 27919943/etc/config/actions.xml  
  inflating: 27919943/etc/config/inventory.xml  
   creating: 27919943/files/
   creating: 27919943/files/inventory/
   creating: 27919943/files/inventory/Components/
   creating: 27919943/files/inventory/Components/oracle.css.mod/
   creating: 27919943/files/inventory/Components/oracle.css.mod/12.1.3.0.0/
   creating: 27919943/files/inventory/Components/oracle.css.mod/12.1.3.0.0/patches/
   creating: 27919943/files/inventory/Components/oracle.css.mod/12.1.3.0.0/patches/22153233/
  inflating: 27919943/files/inventory/Components/oracle.css.mod/12.1.3.0.0/patches/22153233/compDef.xml  
   creating: 27919943/files/inventory/Components/oracle.fmwconfig.common.shared/
...省略...
3.安装补丁
[weblogic@ldjc OPatch]$ ./opatch apply /soft/27919943/
Oracle Interim Patch Installer version 13.2.0.0.0
Copyright (c) 2014, Oracle Corporation.  All rights reserved.
Oracle Home       : /wls12c
Central Inventory : /home/weblogic/oraInventory
   from           : /wls12c/oraInst.loc
OPatch version    : 13.2.0.0.0
OUI version       : 13.2.0.0.0
Log file location : /wls12c/cfgtoollogs/opatch/27919943_Jul_20_2018_06_54_37/apply2018-07-20_06-54-29AM_1.log
OPatch detects the Middleware Home as "/wls12c"
Jul 20, 2018 6:54:41 AM oracle.sysman.oii.oiii.OiiiInstallAreaControl initAreaControl
INFO: Install area Control created with access level  0
Applying interim patch '27919943' to OH '/wls12c'
Verifying environment and performing prerequisite checks...
Interim patch 27919943 is a superset of the patch(es) [  22250567 21370953 ] in the Oracle Home
OPatch will roll back the subset patches and apply the given patch.
All checks passed.
Please shutdown Oracle instances running out of this ORACLE_HOME on the local system.
(Oracle Home = '/wls12c')
Is the local system ready for patching? [y|n]
y
User Responded with: Y
Backing up files...
Rolling back interim patch '22250567' from OH '/wls12c'
Patching component oracle.wls.libraries, 12.1.3.0.0...
Patching component oracle.wls.libraries, 12.1.3.0.0...
Patching component oracle.wls.clients, 12.1.3.0.0...
Patching component oracle.wls.clients, 12.1.3.0.0...
RollbackSession removing interim patch '22250567' from inventory
Rolling back interim patch '21370953' from OH '/wls12c'
Patching component oracle.wls.libraries, 12.1.3.0.0...
Patching component oracle.wls.libraries, 12.1.3.0.0...
Patching component oracle.wls.clients, 12.1.3.0.0...
Patching component oracle.wls.clients, 12.1.3.0.0...
Patching component oracle.wls.core.app.server, 12.1.3.0.0...
Patching component oracle.wls.core.app.server, 12.1.3.0.0...
Patching component oracle.wls.libraries.mod, 12.1.3.0.0...
Patching component oracle.wls.libraries.mod, 12.1.3.0.0...
Patching component oracle.webservices.wls, 12.1.3.0.0...
Patching component oracle.webservices.wls, 12.1.3.0.0...
Patching component oracle.wls.server.shared.with.core.engine, 12.1.3.0.0...
Patching component oracle.wls.server.shared.with.core.engine, 12.1.3.0.0...
Patching component oracle.wls.workshop.code.completion.support, 12.1.3.0.0...
Patching component oracle.wls.workshop.code.completion.support, 12.1.3.0.0...
Patching component oracle.wls.admin.console.en, 12.1.3.0.0...
Patching component oracle.wls.admin.console.en, 12.1.3.0.0...
RollbackSession removing interim patch '21370953' from inventory
OPatch back to application of the patch '27919943' after auto-rollback.
Patching component oracle.wls.workshop.code.completion.support, 12.1.3.0.0...
Patching component oracle.wls.workshop.code.completion.support, 12.1.3.0.0...
Patching component oracle.css.mod, 12.1.3.0.0...
Patching component oracle.css.mod, 12.1.3.0.0...
Patching component oracle.fmwconfig.common.shared, 12.1.3.0.0...
Patching component oracle.fmwconfig.common.shared, 12.1.3.0.0...
Patching component oracle.wls.common.nodemanager, 12.1.3.0.0...
Patching component oracle.wls.common.nodemanager, 12.1.3.0.0...
Patching component oracle.wls.server.shared.with.core.engine, 12.1.3.0.0...
Patching component oracle.wls.server.shared.with.core.engine, 12.1.3.0.0...
Patching component oracle.webservices.base, 12.1.3.0.0...
Patching component oracle.webservices.base, 12.1.3.0.0...
Patching component oracle.wls.shared.with.cam, 12.1.3.0.0...
Patching component oracle.wls.shared.with.cam, 12.1.3.0.0...
Patching component oracle.webservices.orawsdl, 12.1.3.0.0...
Patching component oracle.webservices.orawsdl, 12.1.3.0.0...
Patching component oracle.wls.libraries.mod, 12.1.3.0.0...
Patching component oracle.wls.libraries.mod, 12.1.3.0.0...
Patching component oracle.wls.admin.console.en, 12.1.3.0.0...
Patching component oracle.wls.admin.console.en, 12.1.3.0.0...
Patching component oracle.wls.core.app.server, 12.1.3.0.0...
Patching component oracle.wls.core.app.server, 12.1.3.0.0...
Patching component oracle.webservices.wls, 12.1.3.0.0...
Patching component oracle.webservices.wls, 12.1.3.0.0...
Patching component oracle.wls.clients, 12.1.3.0.0...
Patching component oracle.wls.clients, 12.1.3.0.0...
Patching component oracle.wls.wlsportable.mod, 12.1.3.0.0...
Patching component oracle.wls.wlsportable.mod, 12.1.3.0.0...
Patching component oracle.fmwconfig.common.wls.shared, 12.1.3.0.0...
Patching component oracle.fmwconfig.common.wls.shared, 12.1.3.0.0...
Patching component oracle.wls.libraries, 12.1.3.0.0...
Patching component oracle.wls.libraries, 12.1.3.0.0...
Verifying the update...
Patch 27919943 successfully applied
Log file location: /wls12c/cfgtoollogs/opatch/27919943_Jul_20_2018_06_54_37/apply2018-07-20_06-54-29AM_1.log
OPatch succeeded.
4.查看补丁是否安装成功从输出结果可以看到已经安装成功
[weblogic@ldjc OPatch]$ ./opatch lspatches
Jul 20, 2018 7:00:17 AM oracle.sysman.oii.oiii.OiiiInstallAreaControl initAreaControl
INFO: Install area Control created with access level  0
27919943;WLS PATCH SET UPDATE 12.1.3.0.180717
20741228;JDBC 12.1.3.1 BP1
OPatch succeeded.
5.重启weblogic
[root@ldjc base_domain]# service weblogic restart
Stopping weblogic: 
Starting weblogic: 
.
JAVA Memory arguments: -Xms256m -Xmx512m -XX:CompileThreshold=8000 -XX:PermSize=128m  -XX:MaxPermSize=256m
.
CLASSPATH=/opt/jdk1.7.0_75/lib/tools.jar:/wls12c/wlserver/server/lib/weblogic_sp.jar:/wls12c/wlserver/server/lib/weblogic.jar:/wls12c/wlserver/../oracle_common/modules/net.sf.antcontrib_1.1
.0.0_1-0b3/lib/ant-contrib.jar:/wls12c/wlserver/modules/features/oracle.wls.common.nodemanager_2.0.0.0.jar:/wls12c/wlserver/../oracle_common/modules/com.oracle.cie.config-wls-
online_8.1.0.0.jar:/wls12c/wlserver/common/derby/lib/derbyclient.jar:/wls12c/wlserver/common/derby/lib/derby.jar:/wls12c/wlserver/server/lib/xqrl.jar
.
PATH=/wls12c/wlserver/server/bin:/wls12c/wlserver/../oracle_common/modules/org.apache.ant_1.9.2/bin:/opt/jdk1.7.0_75/jre/bin:/opt/jdk1.7.0_75/bin:/sbin:/usr/sbin:/bin:/usr/bin
.
***************************************************
*  To start WebLogic Server, use a username and   *
*  password assigned to an admin-level user.  For *
*  server administration, use the WebLogic Server *
*  console at http://hostname:port/console        *
***************************************************
starting weblogic with Java version:
java version "1.7.0_75"
Java(TM) SE Runtime Environment (build 1.7.0_75-b13)
Java HotSpot(TM) 64-Bit Server VM (build 24.75-b04, mixed mode)
Starting WLS with line:
/opt/jdk1.7.0_75/bin/java -server   -Xms256m -Xmx512m -XX:CompileThreshold=8000 -XX:PermSize=128m  -XX:MaxPermSize=256m -Dweblogic.Name=AdminServer -
Djava.security.policy=/wls12c/wlserver/server/lib/weblogic.policy  -Xverify:none -Djava.endorsed.dirs=/opt/jdk1.7.0_75/jre/lib/endorsed:/wls12c/wlserver/../oracle_common/modules/endorsed  
-da -Dwls.home=/wls12c/wlserver/server -Dweblogic.home=/wls12c/wlserver/server     -Dweblogic.utils.cmm.lowertier.ServiceDisabled=true  weblogic.Server
<Jul 20, 2018 7:20:33 AM CST> <Notice> <Log Management> <BEA-170019> <The server log file /wls12c/user_projects/domains/base_domain/servers/AdminServer/logs/AdminServer.log is opened. All 
server side log events will be written to this file.> 
<Jul 20, 2018 7:20:35 AM CST> <Notice> <Security> <BEA-090082> <Security initializing using security realm myrealm.> 
<Jul 20, 2018 7:20:35 AM CST> <Warning> <JMX> <BEA-149512> <JMX Connector Server started at service:jmx:iiop://192.168.1.249:7001/jndi/weblogic.management.mbeanservers.runtime.> 
<Jul 20, 2018 7:20:35 AM CST> <Warning> <JMX> <BEA-149512> <JMX Connector Server started at service:jmx:iiop://192.168.1.249:7001/jndi/weblogic.management.mbeanservers.domainruntime.> 
<Jul 20, 2018 7:20:35 AM CST> <Warning> <JMX> <BEA-149512> <JMX Connector Server started at service:jmx:iiop://12.18.1.249:7001/jndi/weblogic.management.mbeanservers.edit.> 
<Jul 20, 2018 7:20:36 AM CST> <Warning> <Deployer> <BEA-149617> <Non-critical internal application com.oracle.webservices.wls.wsat-endpoints-impl_12.1.3 was not deployed. Error: 
[Deployer:149158]No application files exist at "/wls12c/wlserver/server/lib/../../../oracle_common/modules/com.oracle.webservices.wls.wsat-endpoints-impl_12.1.3.war".> 
<Jul 20, 2018 7:20:36 AM CST> <Notice> <WebLogicServer> <BEA-000365> <Server state changed to STANDBY.> 
<Jul 20, 2018 7:20:36 AM CST> <Notice> <WebLogicServer> <BEA-000365> <Server state changed to STARTING.>
到此补丁升级完成
 

恶意代码团伙luoxk正在积极利用CVE-2018-2893传播