字符终端的布局选择在 /etc/sysconfig/keyboard
里面有个 XXX.map.gz 的配置文件，可以到 /usr/share/kbd/keymap 里面去找，然后解压->修改->打包。

X11 下的键盘布局是 xkb 管理的。 比字符终端的复杂一些
先用 setxkbmap -print 看一下配置，比如
xkb_keymap {
xkb_keycodes { include "evdev+aliases(qwerty)" };
xkb_types { include "complete+numpad(mac)" };
xkb_compat { include "complete" };
xkb_symbols { include "macintosh_vndr/apple(alukbd)+macintosh_vndr/us+inet(evdev)+terminate(ctrl_alt_bksp)+macintosh_vndr/apple(alupckeys)" };
xkb_geometry { include "macintosh(applealu_ansi)" };
};
 
xkb 的分层的：scancode，keycode，symbol 每一层都能修改达到目的，但一般改 symbol 就好。
找到你当前的 symbol 比如 macintosh_vndr/apple(alukbd) 就在 /usr/share/X11/xkb/symbols/macintosh_vndr/apple，编辑 xkb_symbols "alukbd" {} 中的内容，具体怎么编辑可以看看这个 https://www.linux.com/news/creating-custom-keyboard-layouts-x11-using-xkb

另外还有两个调试工具：xev， 把鼠标放在框里面按键会显示调试信息，比如组合键状态和 symbol
一楼提到的 xmodmap，直接修改 keycode 到 symbol，也可以用参数-pk 直接打印出当前键盘布局全貌。

http://www.zhoushuguang.com/2014/01/nslookup.html
@sudwort

如果换 DNS 没用说明只能是 http 劫持或合法的缓存配错了，等灵导们给说法吧。

@sudwort 可能是联通的缓存配置错了，不管怎样，可能和几年前的一次大事故结局一样，甩锅境外 hacker。等你那位机房朋友的说法。

找提供源代码的插件，一般都在 github 上，然后自己编译。遇到源码里面都有混淆的就要小心了。不提供源码且实在要用但不经常用的就新开一个 profile 丢里面。

楼主看一下 dig +bufsize=4096 +trace <域名>

@MWKPON 没有问题，但 he 真的大不如前了，没有折腾的意义。目前的过渡方案也肯定不是这种裸隧道，实际接入的只有 ds-lite 或 nat64。另外 ipv6 （包括裸隧道）的 DNS 污染早就上线实装了...

@MWKPON 桥接模式下你可以到光猫里面看下 cat /proc/net/br_pppoe_list ，这个不是 broadcom 实现的就是厂家实现的。 另外我的烽火光猫走 he 没有 kernel: ^[[0;33;41m[ERROR pktrunner] add_fwd_commands,519: Unable to determine if the flow is routed/bridged (519) 这个错误。虽然也加载了 pktrunner 这个模块。

这部分是什么 https://pastebin.com/gXV094wm

我解出的代码是这部分 https://pastebin.com/ZYd82Hkm

@anoymoux

@anoymoux 谢谢，直接在 extensions 里面就地调试 可以解出代码了，只不过第一次 getImageData 还是全 0，要第二次才行 。 把那段单独抽出来不管怎么调试都是 return。不过解出来的混淆代码还是没发出任何东西，在里面循环了一段就退出了，应该还是需要什么条件。

@anoymoux

d=c.data,g=[];console.log(d) 打印出来是全 0 然会就返回了，应该是这个图片显示出来的时候才解密代码，我抓了两天的包都没抓到，chrome 59 源代码 hook 了 url request 也没看到有相关域名，是有什么触发条件吗？ 你是随便开一个 tab 就能抓到？

@cyg07 https://cert.360.cn/warning/detail?id=866e27f5a3dd221b506a9bb99e817889
然而还是不清不楚，没有文件 hash，没有署名，没有提图片里藏什么了以及藏哪了。我实际验证了这个插件，80 行确实加载了 promo.jpg ，但后面马上就返回了。可能实际危害要小很多。

折腾了一下，没发现任何数据泄漏给那个域名。
t.prototype.Vh 这个调用过程中没有参数，导致
if (u.style.display = "none", u.width || t.width, u.height || t.height, 0 === u.width || 0 === u.height) return "";
直接 return，也就没法知道 hack 的代码藏在图片的哪个位置

就算注释掉掉这句，由于 canvas 没有绘图，所以 d 里面是全 0
var c = p.getImageData(0, 0, u.width, u.height),
d = c.data,
g = [];
if (c.data.every(function(t) {
return 0 === t
})) return "";

最后也是 return，到不了后面的解码。LZ 应该分享一下怎么知道里面藏着什么东西的。我不是替这个插件说话，只是想知道实际的受害程度，load 一个图片然后跑了一大段混淆的代码确实没安什么好心。

LZ 能不能把图片里的 js 直接贴出来

试了下 netif_receive_skb.stp 没有任何输出
把 probe kernel.function("netif_receive_skb") 改成
probe kernel.function("netif_receive_skb_internal") 有输出但堆栈深度不够：


0xffffffff8152e250 : netif_receive_skb_internal+0x0/0xa0 [kernel]
0xffffffff8152edb8 : napi_gro_receive+0xb8/0x100 [kernel]
0xffffffff810051ee : dump_trace+0x8e/0x350 [kernel]
0xffffffffa1842be5 [stap_2c009cba3f16e83b963909cb2df243f_13665+0x9be5/0x0]
0xffffffffa1843116 [stap_2c009cba3f16e83b963909cb2df243f_13665+0xa116/0x0]
0xffffffff8104080d : kprobe_ftrace_handler+0x9d/0xe0 [kernel]
0xffffffff8110eb39 : ftrace_ops_list_func+0xa9/0x170 [kernel]
0xffffffff81624882 : ftrace_regs_call+0x5/0x77 [kernel]

kernel 3.16.7
和
kernel 4.4.85 （开了绝大部分 trace ）

好像是内核空间里有 trace point 的地方才能回溯吧
请指教

可能三胖的两个蛋蛋就是这样搞出来的。

有的时候也不一定是我们这的 wall 造成的，之前我有一个 vultr 的 instance 连续跑了 400GB 的 IKEv2 udp （非默认端口），然后就连不上了（ ssh 还可以，就是 data 的那个端口不通），从对方逐跳检测最后发现是对方的 ISP telia 把那个口到国内的连接屏蔽了，删了换了 ip 就连上了。

SEA-ME-WE3 澳洲到南亚的光缆断了

http://www.zdnet.com/article/vocus-confirms-subsea-cable-outage/

@metrotiger 用 gen8 的 raid1 3 年了感觉还可以，不过开启了个什么扫描 然后就看到 LED 灯狂闪，半个月都结束不了，后来关了。 另外还要装驱动，要命的是闭源的，只支持几个内核。其他主板的 raid，刷了 bios 或升级 intel 那个磁盘驱动都可能掉盘，linux 里面 dmraid 根本不敢动。我曾经在华硕某板里面删除了一个逻辑卷结果另外一个也开机变红了，可笑的是 linux 里面另一个卷数据还在，windows 里已经显示掉盘。最后看了看 dmraid 源码，又 hex 看看 metadata，最后发现 TMD 是 dmraid 把卷标版本升级了，要升级 intel bios 里的 program。不幸厂家又不提供新固件了。最后自己手工嫁接移植了那个 program，刷进去侥幸找回来了。有这种噩梦经历哪还敢碰软 raid。