abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
dnes 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 1
dnes 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
včera 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
včera 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
7.12. 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 10
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 27
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 804 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Trojan - jak se bránit?

17.8.2007 16:19 lnykryn | skóre: 10 | Brno
Trojan - jak se bránit?
Přečteno: 1938×
Bylo mi poskytovatelem oznameno, ze muj server byl napaden "jakymsi" trojskym konem. Potreboval by zjistit co je to za "mrchu" a jak ji odstranit. Tady je vypis z ps

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   1944   644 ?        Ss   11:06   0:02 init [2]
root         2  0.0  0.0      0     0 ?        S    11:06   0:00 [migration/0]
root         3  0.0  0.0      0     0 ?        SN   11:06   0:00 [ksoftirqd/0]
root         4  0.0  0.0      0     0 ?        S<   11:06   0:00 [events/0]
root         5  0.0  0.0      0     0 ?        S<   11:06   0:00 [khelper]
root         6  0.0  0.0      0     0 ?        S<   11:06   0:00 [kthread]
root         9  0.0  0.0      0     0 ?        S<   11:06   0:00 [kblockd/0]
root        10  0.0  0.0      0     0 ?        S<   11:06   0:00 [kacpid]
root        75  0.0  0.0      0     0 ?        S<   11:06   0:00 [kseriod]
root       109  0.0  0.0      0     0 ?        S    11:06   0:00 [pdflush]
root       110  0.0  0.0      0     0 ?        S    11:06   0:00 [pdflush]
root       111  0.0  0.0      0     0 ?        S<   11:06   0:00 [kswapd0]
root       112  0.0  0.0      0     0 ?        S<   11:06   0:00 [aio/0]
root       555  0.0  0.0      0     0 ?        S<   11:06   0:00 [khubd]
root       813  0.0  0.0      0     0 ?        S<   11:06   0:03 [kjournald]
root       974  0.0  0.0   2180   600 ?        S<  11:06   0:00 udevd --daemon
root      1236  0.0  0.0      0     0 ?        S<   11:06   0:00 [kpsmoused]
root      1469  0.0  0.0      0     0 ?        S<   11:06   0:00 [kmirrord]
root      1670  0.0  0.0   1624   616 ?        Ss   11:06   0:03 /sbin/syslogd
root      1676  0.0  0.0   1576   380 ?        Ss   11:06   0:00 /sbin/klogd -x
root      1722  0.0  0.1   2664  1332 ?        S    11:06   0:00 /bin/sh /usr/bin/mysqld_safe
mysql     1759  0.6  4.0 129908 42028 ?        Sl   11:06   2:17 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-external-locking --port=3306 --socket=/var/run/mysqld/mysqld.sock
root      1760  0.0  0.0   1560   508 ?        S    11:06   0:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
root      1886  0.0  0.0   1576   560 ?        Ss   11:06   0:00 /usr/sbin/acpid -c /etc/acpi/events -s /var/run/acpid.socket
root      1895  0.0  0.0   1748   576 ?        Ss   11:06   0:00 /usr/sbin/inetd
root      1955  0.0  0.1   4808  1604 ?        Ss   11:06   0:00 /usr/lib/postfix/master
postfix   1962  0.0  0.1   4856  1700 ?        S    11:06   0:00 qmgr -l -t fifo -u
root      2013  0.0  0.0   1920   576 ?        Ss   11:06   0:00 /usr/sbin/dovecot
root      2026  0.0  0.0   2196   880 ?        Ss   11:06   0:00 /usr/sbin/cron
root      2038  0.0  0.1   8360  2060 ?        S    11:06   0:00 dovecot-auth
dovecot   2039  0.0  0.1   3296  1480 ?        S    11:06   0:00 pop3-login
dovecot   2040  0.0  0.1   3296  1484 ?        S    11:06   0:00 pop3-login
dovecot   2041  0.0  0.1   3296  1484 ?        S    11:06   0:00 pop3-login
dovecot   2042  0.0  0.1   3300  1480 ?        S    11:06   0:00 imap-login
dovecot   2043  0.0  0.1   3300  1480 ?        S    11:06   0:00 imap-login
dovecot   2044  0.0  0.1   3304  1480 ?        S    11:06   0:00 imap-login
root      2045  0.0  1.1  28344 11448 ?        Ss   11:06   0:00 /usr/sbin/apache2 -k start
root      2067  0.0  0.0   1576   496 tty1     Ss+  11:06   0:00 /sbin/getty 38400 tty1
root      2068  0.0  0.0   1576   492 tty2     Ss+  11:06   0:00 /sbin/getty 38400 tty2
root      2069  0.0  0.0   1572   492 tty3     Ss+  11:06   0:00 /sbin/getty 38400 tty3
root      2070  0.0  0.0   1576   496 tty4     Ss+  11:06   0:00 /sbin/getty 38400 tty4
root      2071  0.0  0.0   1572   492 tty5     Ss+  11:06   0:00 /sbin/getty 38400 tty5
root      2072  0.0  0.0   1572   492 tty6     Ss+  11:06   0:00 /sbin/getty 38400 tty6
root      2074  0.0  0.0   1576   500 ttyS1    Ss+  11:06   0:00 /sbin/getty -L ttyS1 9600 vt100
postfix   2436  0.0  0.1   4868  1992 ?        S    11:08   0:00 tlsmgr -l -t unix -u -c
root      2615  0.0  0.1   2284  1256 ?        Ss   11:10   0:01 bash
root      3068  0.0  0.0   1576   500 ttyS0    Ss+  11:13   0:00 /sbin/getty -L ttyS0 9600 vt100
root     19243  0.0  0.2   7692  2284 ?        Ss   12:14   0:00 sshd: souki [priv]
souki    19334  0.0  0.1   7692  1592 ?        S    12:14   0:00 sshd: souki@pts/0
souki    19336  0.0  0.1   4480  1972 pts/0    Ss   12:14   0:00 -sh
root     20639  0.0  0.2   7852  2376 ?        Ss   12:18   0:00 sshd: root@pts/1
root     20735  0.0  0.1   3996  1728 pts/1    Ss+  12:18   0:00 -bash
postfix  22723  0.0  0.1   4820  1560 ?        S    16:04   0:00 pickup -l -t fifo -u -c
www-data 30108  0.4  1.0  28872 11088 ?        S    17:02   0:03 /usr/sbin/apache2 -k start
www-data 30118  0.1  0.9  28720  9984 ?        S    17:02   0:01 /usr/sbin/apache2 -k start
www-data 30125  0.2  1.1  29080 11408 ?        S    17:02   0:02 /usr/sbin/apache2 -k start
www-data 30128  0.1  0.9  28692 10020 ?        S    17:02   0:01 /usr/sbin/apache2 -k start
www-data 30851  0.3  1.0  28772 11016 ?        S    17:05   0:02 /usr/sbin/apache2 -k start
www-data 30878  0.3  0.9  28684  9872 ?        S    17:05   0:02 /usr/sbin/apache2 -k start
www-data 31272  0.5  0.9  28768  9884 ?        S    17:09   0:02 /usr/sbin/apache2 -k start
www-data 31569  1.1  0.9  28704  9896 ?        S    17:15   0:01 /usr/sbin/apache2 -k start
www-data 31571  0.6  0.9  28704 10012 ?        S    17:15   0:01 /usr/sbin/apache2 -k start
www-data 31604  0.8  0.9  28676  9856 ?        S    17:15   0:01 /usr/sbin/apache2 -k start
postfix  31736  0.0  0.2   5180  2656 ?        S    17:17   0:00 smtpd -n smtp -t inet -u -c
postfix  31737  0.0  0.1   4816  1576 ?        S    17:17   0:00 proxymap -t unix -u
postfix  31738  0.0  0.1   4816  1580 ?        S    17:17   0:00 anvil -l -t unix -u -c

a popr jeste vypis souboru v /etc/init.d

acpid              ifupdown               mysql          sendsigs
apache2            ifupdown-clean         mysql-ndb      single
bootclean          keymap.sh              mysql-ndb-mgm  skeleton
bootlogd           killprocs              networking     spamassassin
bootmisc.sh        klogd                  openbsd-inetd  ssh
checkfs.sh         libdevmapper1.02       postfix        stop-bootlogd
checkroot.sh       makedev                procps.sh      stop-bootlogd-single
console-screen.sh  module-init-tools      proftpd        sysklogd
cron               mountall-bootclean.sh  pure-ftpd      udev
dovecot            mountall.sh            rc             udev-mtab
exim4              mountdevsubfs.sh       rc.local       umountfs
glibc.sh           mountkernfs.sh         rcS            umountnfs.sh
halt               mountnfs-bootclean.sh  README         umountroot
hostname.sh        mountnfs.sh            reboot         urandom
hwclock.sh         mtab.sh                rmnologin      x11-common

Predem dekuji za kazdou radu. PS: Pokud potrebujete jeste nejaky vypis rad dodam

Odpovědi

17.8.2007 16:22 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: Trojan
at to upresni ten "provider" :) cim se ten udajny trojan projevuje atd...
17.8.2007 16:22 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Jeste mi doslo asi jsem mel napsat co ten "trojan" delal: pripojoval se na cizi ssh a snazil se uhadnout heslo, proto jsem radeji zablokoval veskerou komunikaci pres ssh.
17.8.2007 16:24 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Jeste jsem z kolegy vypacil nasludujici uryvek z mailu: doslo nam upozorneni ze spolecnosti GTS Novera, ze Vas server > xxx.xxx.xx.xx vykazuje Zombie host/network attack.
17.8.2007 16:37 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: Trojan
nejspise vam to tedy nekdo haknul, nebo pokud tento server dela nat pro nejako vetsi sit, muze to bytk kdokoliv ze site. Doporucuji odpojit a dukladne zanalyzovat system. Zacal bych treba kontrolou binarek, treba takove podstrcene ps nezobrazi vsechny procesy... take v /tmp obcas byvaji poklady :-)
17.8.2007 16:39 Ctirad Feřtr | skóre: 43 | Praha
Rozbalit Rozbalit vše Re: Trojan
A není za tím serverem čirou náhodou zanatovaná nějaká síť s potenciálně zavirovanými počítači?
17.8.2007 16:40 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Ne jedna se jen o jeden webovy server pripojeny primo do intenetu a mame na nej pristup pouze dva takze infiltraci zevnitr to urcite nebude.
17.8.2007 16:48 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Trojan
V případě nějakého většího http hosting serveru, kde není možné uhlídat klientské php scripty a současně není dost dobře zabezpečen Apache, se něco podobného může stát - třeba nějaký z "klientů" zanechá omylem na stránce chybu zneužitelnou přes RFI (Remote File Inclusion) - nějaká třetí strana toho využije a přiměje php interpreter, aby zpracoval externí php backdoor, který, při nedostatečném ošetření, může i spouštět jiné aplikace nebo ze sebe udělat ssh scanner, jeho tvůrce jej může využít k eskalaci práv (pokud možno), atd.
Víra je firma si myslela, že něco je pravdivé. LMAO -- “zlehčovat mého osla”
17.8.2007 16:50 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
To taky neni muj pripad zatim tam je jen par domen, ktere dela kolega.
17.8.2007 16:58 boar | skóre: 24 | Praha
Rozbalit Rozbalit vše Re: Trojan
co si pohrat s tcpdumpem ? jestli opravdu vypisuje traffic na nejaky SSHcka ? popripade kouknout do netstatu ... napada me este upravit FW, aby veskerej odchozi traffic logoval ...
17.8.2007 17:05 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
tady je vypis z netstatu:
Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 195.47.67.109:39898     195.144.12.5:ircd       ESTABLISHED

tcp        0      0 195.47.67.109:36603     undernet.irc.juste:6661 ESTABLISHED

tcp        0      0 195.47.67.109:60146     undernet.xs4all.nl:ircd ESTABLISHED

tcp6       0      0 ::ffff:195.47.67.10:www vpscomp.tgnet.cz:1138   ESTABLISHED

tcp6       0      0 ::ffff:195.47.67.10:www vpscomp.tgnet.cz:1139   ESTABLISHED

tcp6       0      0 ::ffff:195.47.67.10:ssh 12.219.forpsi.net:27770 ESTABLISHED

tcp6       0    132 ::ffff:195.47.67.10:ssh 12.219.forpsi.net:27656 ESTABLISHED

Active UNIX domain sockets (w/o servers)

Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ]         DGRAM                    2759     @/org/kernel/udev/udevd
unix  10     [ ]         DGRAM                    4246     /dev/log
unix  3      [ ]         STREAM     CONNECTED     323137   /var/run/mysqld/mysqld.sock
unix  3      [ ]         STREAM     CONNECTED     323136
unix  2      [ ]         DGRAM                    311016
unix  2      [ ]         DGRAM                    91751
unix  3      [ ]         STREAM     CONNECTED     91748
unix  3      [ ]         STREAM     CONNECTED     91747
unix  2      [ ]         DGRAM                    8960
unix  3      [ ]         STREAM     CONNECTED     5089     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5088
unix  3      [ ]         STREAM     CONNECTED     5085     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5084
unix  3      [ ]         STREAM     CONNECTED     5081     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5080
unix  3      [ ]         STREAM     CONNECTED     5077     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5076
unix  3      [ ]         STREAM     CONNECTED     5073     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5072
unix  3      [ ]         STREAM     CONNECTED     5069     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5068
unix  3      [ ]         STREAM     CONNECTED     5062
unix  3      [ ]         STREAM     CONNECTED     5061
unix  3      [ ]         STREAM     CONNECTED     5059
unix  3      [ ]         STREAM     CONNECTED     5058
unix  3      [ ]         STREAM     CONNECTED     5056
unix  3      [ ]         STREAM     CONNECTED     5055
unix  3      [ ]         STREAM     CONNECTED     5053
unix  3      [ ]         STREAM     CONNECTED     5052
unix  3      [ ]         STREAM     CONNECTED     5050
unix  3      [ ]         STREAM     CONNECTED     5049
unix  3      [ ]         STREAM     CONNECTED     5047
unix  3      [ ]         STREAM     CONNECTED     5046
unix  3      [ ]         STREAM     CONNECTED     5042
unix  3      [ ]         STREAM     CONNECTED     5041
unix  2      [ ]         DGRAM                    4994
unix  2      [ ]         DGRAM                    4870
unix  3      [ ]         STREAM     CONNECTED     4853
unix  3      [ ]         STREAM     CONNECTED     4852
unix  3      [ ]         STREAM     CONNECTED     4849
unix  3      [ ]         STREAM     CONNECTED     4848
unix  3      [ ]         STREAM     CONNECTED     4845
unix  3      [ ]         STREAM     CONNECTED     4844
unix  3      [ ]         STREAM     CONNECTED     4841
unix  3      [ ]         STREAM     CONNECTED     4840
unix  3      [ ]         STREAM     CONNECTED     4837
unix  3      [ ]         STREAM     CONNECTED     4836
unix  3      [ ]         STREAM     CONNECTED     4833
unix  3      [ ]         STREAM     CONNECTED     4832
unix  3      [ ]         STREAM     CONNECTED     4829
unix  3      [ ]         STREAM     CONNECTED     4828
unix  3      [ ]         STREAM     CONNECTED     4825
unix  3      [ ]         STREAM     CONNECTED     4824
unix  3      [ ]         STREAM     CONNECTED     4821
unix  3      [ ]         STREAM     CONNECTED     4820
unix  3      [ ]         STREAM     CONNECTED     4817
unix  3      [ ]         STREAM     CONNECTED     4816
unix  3      [ ]         STREAM     CONNECTED     4813
unix  3      [ ]         STREAM     CONNECTED     4812
unix  3      [ ]         STREAM     CONNECTED     4809
unix  3      [ ]         STREAM     CONNECTED     4808
unix  3      [ ]         STREAM     CONNECTED     4805
unix  3      [ ]         STREAM     CONNECTED     4804
unix  3      [ ]         STREAM     CONNECTED     4801
unix  3      [ ]         STREAM     CONNECTED     4800
unix  3      [ ]         STREAM     CONNECTED     4797
unix  3      [ ]         STREAM     CONNECTED     4796
unix  3      [ ]         STREAM     CONNECTED     4793
unix  3      [ ]         STREAM     CONNECTED     4792
unix  3      [ ]         STREAM     CONNECTED     4789
unix  3      [ ]         STREAM     CONNECTED     4788
unix  3      [ ]         STREAM     CONNECTED     4785
unix  3      [ ]         STREAM     CONNECTED     4784
unix  3      [ ]         STREAM     CONNECTED     4781
unix  3      [ ]         STREAM     CONNECTED     4780
unix  3      [ ]         STREAM     CONNECTED     4777
unix  3      [ ]         STREAM     CONNECTED     4776
unix  3      [ ]         STREAM     CONNECTED     4773
unix  3      [ ]         STREAM     CONNECTED     4772
unix  3      [ ]         STREAM     CONNECTED     4769
unix  3      [ ]         STREAM     CONNECTED     4768
unix  3      [ ]         STREAM     CONNECTED     4765
unix  3      [ ]         STREAM     CONNECTED     4764
unix  3      [ ]         STREAM     CONNECTED     4761
unix  3      [ ]         STREAM     CONNECTED     4760
unix  3      [ ]         STREAM     CONNECTED     4757
unix  3      [ ]         STREAM     CONNECTED     4756
unix  3      [ ]         STREAM     CONNECTED     4754
unix  3      [ ]         STREAM     CONNECTED     4753
unix  3      [ ]         STREAM     CONNECTED     4750
unix  3      [ ]         STREAM     CONNECTED     4749
unix  3      [ ]         STREAM     CONNECTED     4747
unix  3      [ ]         STREAM     CONNECTED     4746
unix  2      [ ]         DGRAM                    4738
unix  2      [ ]         DGRAM                    4346
unix  2      [ ]         DGRAM                    4261
17.8.2007 17:09 boar | skóre: 24 | Praha
Rozbalit Rozbalit vše Re: Trojan
hele, to IRC, to je tvoje ?!
17.8.2007 17:11 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
rekl bych ze ne
17.8.2007 17:12 boar | skóre: 24 | Praha
Rozbalit Rozbalit vše Re: Trojan
Mno tak jelikoz nevidim zadnyho klienta ocividne beziciho (mozna jsem si ho jen nevsiml) tak by to klidne mohlo bejt ono ... mmnt zkusim tam kouknout :)
17.8.2007 17:14 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Trojan
kedze nevies/nevieme kanal, tak ti to bude asi na prd :)
17.8.2007 17:19 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
ale IRC jsem na serveru urcite nepouzival
17.8.2007 17:18 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: Trojan
posli vypis netstat -putna
17.8.2007 17:43 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Ted bohuzel nemam fyzicky pristup k serveru ssh je vypnuty a kolega v cudu hodim to sem zitra.
17.8.2007 17:47 boar | skóre: 24 | Praha
Rozbalit Rozbalit vše Re: Trojan
Mno pravdepodobne vypnuty ssh nepomuze ...
Jestli to IRC neni tvoje zalezitos, tak to by mohl bejt BOT na irc ... v nejakym botnetu. ovladanej nekym ...
a ten v sobe bude mit nejakou binarku ssh klienta ... takze tak.
kazdopadne hodne stesti. a urcite porefereuj, jak to dopadlo!
17.8.2007 18:19 kh
Rozbalit Rozbalit vše Re: Trojan
http://195.47.67.109/
17.8.2007 18:30 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Jak si prisel na tuhle IP?
17.8.2007 18:35 phero | skóre: 17 | blog: techblog
Rozbalit Rozbalit vše Re: Trojan
vzdyt si ji jsem psal :-)

Zkusime se tam dostat (kdyz vime ze to jde) ? :-D
17.8.2007 18:37 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Promin mam uz toho dneska plny zuby a uz ani nevim co pisu :).
17.8.2007 18:53 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Trojan
Opravdu to vypadá na toho irc bota, ale před jeho odstřihnutím by možná stálo za to zjistit, jak se tam dostal... taky by se dala chytat odchozí/příchozí komunikace a z ní zjistit případný kanál a IP toho, kdo s botem komunikuje (pokud nechodí na irc server přes proxy nebo to neblokuje přímo server)..
Víra je firma si myslela, že něco je pravdivé. LMAO -- “zlehčovat mého osla”
17.8.2007 19:16 neznalek
Rozbalit Rozbalit vše Re: Trojan
No mě to připadá, jako by ten server sloužil jako proxy. Zkusil bych projít logy apache. Ještě existuje nějaká aplikace, kterou když spustíš tak ti zkontroluje systém a vypíše jestli něco nebylo hacknutý. Jak se ta aplikace jmenuje ti musí tady někdo říct, na název si teď totiž nevzpomenu :-).
17.8.2007 23:43 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Asi bych rekl ze to bude ten IRC bot, ted jsem mluvl s kolegou a nikdo z nas IRC vubec nezapinal. Jinak tenhle server je "stary" asi tri dny a tipnul bych, ze utocnik ziskal pristup behem prvnich par hodin, protoze jsem (ja pitomec) nezmenil defaultni heslo ihned a navic bylo shodne s nazvem serveru.
18.8.2007 09:52 Ctirad Feřtr | skóre: 43 | Praha
Rozbalit Rozbalit vše Re: Trojan
Defaultní heslo? Co to je proboha za systém?
18.8.2007 09:56 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Jeda se o dedikovany server takze pri predani mel nastaveny snadno uhadnutelny heslo. Jinak system je Debian.
Václav 18.8.2007 09:58 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Trojan
To jsou taky nápady připojovat ho na net před změnou hesla :) Jestli bylo opravdu shodné s názvem serveru je to celkem jasné..
Cross my heart and hope to fly, stick a cupcake in my eye!
18.8.2007 10:00 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Tak ja jsem moc nemohl ovlivnit kdy ho pripoji :-)
18.8.2007 10:44 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: Trojan
$ whois 195.47.67.109
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '195.47.67.0 - 195.47.67.255'

inetnum:        195.47.67.0 - 195.47.67.255
netname:        STICKFISH-RACK
descr:          Stickfish, s.r.o.
descr:          Rehorova 54/1039
descr:          Praha 3
descr:          13000
country:        cz
admin-c:        FK476-RIPE
tech-c:         FK476-RIPE
status:         ASSIGNED PA
remarks:        uid=rack1.nagano
mnt-by:         AS6721-MNT
source:         RIPE # Filtered
Takze to vypada, ze mas server u abchostingu? Ze by tam davali slaby snadno uhadnutelny hesla? No fuj.
Michal Fecko avatar 18.8.2007 11:20 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Trojan
Takze to vypada, ze mas server u abchostingu? Ze by tam davali slaby snadno uhadnutelny hesla? No fuj.
Aj antireklama je reklama :-D
18.8.2007 12:18 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
A nema nekdo napad jak by se dal ten pravdepodobny bot odstranit?
18.8.2007 12:22 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Trojan
... zabít process a smazat binárku?
Víra je firma si myslela, že něco je pravdivé. LMAO -- “zlehčovat mého osla”
18.8.2007 12:25 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Trojan
resp. zkoumat ve výpisu ps -AfH (ps -faeH) processy jeden po druhém a prověřovat je ... než narazíš na něco, co tam nemá být.
Víra je firma si myslela, že něco je pravdivé. LMAO -- “zlehčovat mého osla”
18.8.2007 12:25 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Tohle me napadlo taky ale z tech bezicich procesu ktere jsem na zacatku vypsal moc moudry nejsem a taky me nejak nenapada kde bych tu binarku mel hledat(i kdyz to zaze takovy problem nebude).
18.8.2007 12:42 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: Trojan
podle putna.txt cos vystavil na http://195.47.67.109/putna.txt to dela:
tcp        0      0 195.47.67.109:60146     194.109.20.90:6667      ESTABLISHED2615/bash
proces 2615 - bash, kde je videt ze se konekti na irc server na port 6667

Zkus, jestli je videt prikazem ps, a najdi jeho binarku...

Doporucuju nejako knizku o "hackingu", kde jsou popsane postupy co delat kdyz je stroj napaden.
18.8.2007 12:48 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan
Tak tim proces to asi urcite bude, dik za tip. Zkousel jsem chrootkit, ale ten nic nenasel a jeste v adresari /tmp je jen jediny soubor s nazvem pstree.out jenz obsahuje "vypis" bezicich procesu. V tomhle se sice nevyznam, ale napadlo me jestli opravdu nemuze byt podvrzene ps a jestli to misto spravneho vypisu nezobrazi tento soubor.
michich avatar 18.8.2007 12:43 michich | skóre: 50 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Trojan
To bych vůbec nezkoušel. Nikdy nevíš, jestli to najdeš všechno. Může to být skryté chytrým rootkitem. Radši od základů přeinstalovat.
18.8.2007 12:33 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Trojan
Samozřejmě nejdříve jej vypnout (třeba přes netstat) a pak bych zkusil chkrootkit.
18.8.2007 12:35 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: Trojan
jak jsem jiz psal, nejdriv zkontroluj, zda nemas podvreznou binarku samotneho prikazu "ps"ktera umi skryt procesy toho crackera, podivej do /tmp a nainstaluj i nejaky sw na detekci rootkitu, uplne ale prvni vec, odpoj to od site :-)
18.8.2007 12:57 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Mrkni jestli tam nemas nejaky rootkit

http://www.chkrootkit.org/
cd /pub | more beer
18.8.2007 13:00 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
chkrootkit jsem uz zkousel-> nic
18.8.2007 13:16 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Tak v tom pripade jeste antivir na pritomnost Trojanu, pokud tam mas nejake weby jak jsi psal

apt-get install clamav

a pak pouzit clamscan
cd /pub | more beer
18.8.2007 14:03 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
s tim antivirem to byl dobry napad(opet se stydim, ze me to nenapadlo) naslo mi to nasledujici havet: Trojan.Linux.Rst.b Trojan.Rst.a
18.8.2007 14:18 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
haaleluja ... videl bych to na nejaky blbe napsany php script nejakeho webu na to serveru, ze by ten trojan byl v adresari napr. "fotos" ? :o)
cd /pub | more beer
18.8.2007 14:21 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Opravdu by to mohlo byt kvuli php? Jestli je to pravdepodobny musel bych asi servat kolegu, ale nemam zadnej dukaz, ktery by to potvrdil.Jinak infekci jsem zatim nasel v rootovskym adresari a byli to dva soubory s priponou jpg, ale klidne muze byt i jinde protoze to zatim neprojelo vsechno.
18.8.2007 14:26 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
ajaj ajaj v /root/... to neni dobre, to vypada na reinstalaci OS, to bude asi hackly server a nedivil bych se, kdyz tam byl i nejaky backdoor. Leda ze by ti treba apache s php bezelo pod rootem, ale to snad ne.
cd /pub | more beer
18.8.2007 14:28 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
ne apache bezi pod vlastnim uzivatelem.
18.8.2007 15:08 phero | skóre: 17 | blog: techblog
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
PHP/perl apod. bývá nejslabší místo podobných serverů.
18.8.2007 14:30 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Jestli muzu alespon doporucit, tak pokud mozno vsechny weby jet v safe_modu a do php.ini dej tohle

disable_functions = dl, system, shell_exec, exec, escapeshellarg, escapeshellcmd, passthru, proc_close, proc_open, proc_get_status, proc_nice, proc_open, proc_terminate, popen, pclose, disk_free_space, disk_total_space, diskfreespace, fileinode
cd /pub | more beer
18.8.2007 14:32 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Tohle jsem na minulym serevru mel ale bohuzel tady jsem to nestihnu :-(
18.8.2007 14:34 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
hehe tak to se pak neni cemu divit :o)
cd /pub | more beer
18.8.2007 14:37 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
To si opravdu myslis ze se mi tam utocnik dostal pres Apache? Protoze vsechny php skripty jsou tam psany duverihodnou osobou(ten co si ten server plati).
18.8.2007 14:39 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Mno i duverihodna osoba muze delat chyby byt je to dobry programator. Zadny sw, script, program ...atd. neni bez chyb!
cd /pub | more beer
18.8.2007 14:40 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
To je mi jasny, jen ze mi prislo pravdepodobnejsi to uhadnuti pocatecniho hesla roota.
18.8.2007 14:45 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Jeste me zarazi, jak je mozne se pres ssh nalogujes rovnou jako root ...!!! to bych rozhodne vypnul! Prvni nejaky user s poradny heslem a potom pak "su". A nejlepe port 22 (ssh) omezit na firewallu jen z nekterych IP adres. Jestli nevis jak, rad poradim.
cd /pub | more beer
18.8.2007 14:49 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Tohle jsem planoval taky predelat, problem byl v tom ze presun byl dost na rychlo a nestihnul jsem to. Ale kdybych mohl poprosit potreboval bych v firewallu omezit komunikaco pres ssh na dve IP adresy. Na jine, aby vubec neodpovidal, popr jeste aby firewall blokoval vsechno krom portu pro www,ftp,smtp a vyse zminenych dvou IP na ssh.
18.8.2007 14:57 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Obecne firewall se stavi tak, ze zakazes vsechno a povolis jen to co potrebujes. Co se tyce omezeni ssh na IP tak je to nejak takhle:

/sbin/iptables -A INPUT -i eth0 -p TCP -s x.x.x.x --dport 22 -j ACCEPT

misto x.x.x.x dosadis IP adresu ze ktere bude povolen pristup na ssh. Ale pokud nemas zadny firewall, tak je ti to k nicemu, protoze tech pravidel je mnohem vice. Jestli nemas, muzu sem dat kopletni firewall script pro hostingovy server.
cd /pub | more beer
18.8.2007 15:01 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Nejaky predinstalovany firewall tam pry je, ale radsi bych mel jistotu ze blokuje, krom toho co opravdu potrebuju, vsechno. Proto jestli by te mohl o ten skript poprosit.
18.8.2007 15:11 phero | skóre: 17 | blog: techblog
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Nejaky duvod neprihlasovat se primo jako root pres ssh? No, hesla bych vubec nepouzival - klice nejsou jen pro srandu.
18.8.2007 15:17 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
O klicich taky vim uz jsem ho tam mel i pridany, ale jak uz jsem psal to napadeni bylo pomerne brzo. Prstup k serveru jsem dostal v stredu vecer a uz ve ctvrtek po pulnoci to zacalo vykazovat prvni znaky problemu. Vim, ze jsem udelal chybu, ze jsem se prioritne nevenoval zabezpeceni, ale nikdy jsem takovehle problemy nemel a myslel jsem si ze to den pocka(krom zmen hese to jsem udelal temer okamzite) a muzu se venovat jinym vecem.
18.8.2007 15:31 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Takze tady to je:

/usr/local/sbin/fw-on

#!/bin/sh
#
# fw-on - script pro spusteni firewallu
#
# Prevzato od Mirka Petricka http://www.petricek.cz
#
# Upraveno by B0biN

# IP adresa a vnejsi rozhrani
INET_IP="X.X.X.X"
INET_IFACE="eth0"

# Lokalni loopback rozhrani
LO_IFACE="lo"
LO_IP="127.0.0.1/32"

# Cesta k programu iptables
IPTABLES="/sbin/iptables"

# Inicializace databaze modulu
/sbin/depmod -a

# Zavedeme moduly pro nestandardni cile
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT

# Modul pro FTP prenosy
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Vypneme routovani paketu
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "0" > /proc/sys/net/ipv4/tcp_syncookies

# rp_filter na zamezeni IP spoofovani
for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
   echo "1" > ${interface}
done

# Implicitni politikou je zahazovat nepovolene pakety
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP

#
# Pridavne retezce pro snazsi kontrolu na rezervovane adresy
#

# Zahazovat a logovat (max. 5 x 3 pakety za hod)
$IPTABLES -N logdrop
$IPTABLES -A logdrop -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "Rezervovana adresa: "
$IPTABLES -A logdrop -j DROP

# V tomto retezci se kontroluje, zda prichozi pakety nemaji nesmyslnou IP adresu
$IPTABLES -N IN_FW
$IPTABLES -A IN_FW -s 192.168.0.0/16 -j logdrop # rezervovano podle RFC1918
$IPTABLES -A IN_FW -s 10.0.0.0/8 -j logdrop     #   ---- dtto ----
$IPTABLES -A IN_FW -s 172.16.0.0/12 -j logdrop  #   ---- dtto ----  
$IPTABLES -A IN_FW -s 96.0.0.0/4 -j logdrop     # rezervovano podle IANA
# ... dalsi rezervovane adresy mozno doplnit podle 
#       http://www.iana.com/assignments/ipv4-address-space


# TOS flagy slouzi k optimalizaci datovych cest. Pro ssh, ftp a telnet
# pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput
#
# Retezec INPUT
#

# Portscan s nastavenym SYN,FIN
$IPTABLES -A INPUT -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j LOG -m limit --limit 10/m --log-prefix="bogus packet: "
$IPTABLES -A INPUT -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j DROP

# Pravidla pro povolene sluzby 
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 20 -j ACCEPT  #FTP server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 21 -j ACCEPT  #FTP server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 25 -j ACCEPT  #SMTP server
$IPTABLES -A INPUT -i $INET_IFACE -p UDP --dport 53 -j ACCEPT  #DNS server UDP
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 53 -j ACCEPT  #DNS server TCP
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 80 -j ACCEPT  #WWW server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 110 -j ACCEPT #POP3 server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 143 -j ACCEPT #IMAP server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 443 -j ACCEPT #HTTPS server

#Povoleni pro SSH z urcite IP adresy
$IPTABLES -A INPUT -i $INET_IFACE -s X.X.X.X -p TCP --dport 22 -j ACCEPT # misto X.X.X.X dosadit IP ze ktere je povoleno ssh


# Sluzbu AUTH neni dobre filtrovat pomoci DROP, protoze to muze
# vest k prodlevam pri navazovani nekterych spojeni. Proto jej
# sice zamitneme, ale tak, aby nedoslo k nezadoucim prodlevam.
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -m limit --limit 12/h -j LOG
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -j REJECT --reject-with tcp-reset #AUTH server

# Propoustime pouze ICMP ping
$IPTABLES -A INPUT -i $INET_IFACE -p ICMP --icmp-type echo-request -j ACCEPT

# Loopback neni radno omezovat
$IPTABLES -A INPUT -i $LO_IFACE -j ACCEPT

# Pakety od navazanych spojeni jsou v poradku
$IPTABLES -A INPUT -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

# Vsechno ostatni je zakazano - tedy logujeme, maxim. 12x5 pkt/hod 
$IPTABLES -A INPUT -m limit --limit 12/h -j LOG --log-prefix "INPUT drop: "

#
# Retezec OUTPUT
#

# TOS flagy slouzi k optimalizaci datovych cest. Pro ssh, ftp a telnet
# pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput

# Povolime odchozi pakety, ktere maji nase IP adresy
$IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT

# Ostatni pakety logujeme (nemely by byt zadne takove)
$IPTABLES -A OUTPUT -j LOG --log-prefix "OUTPUT drop: "


Script pro vypnuti firewallu a vymazani vsech pravidel

/usr/local/sbin/fw-off

#!/bin/bash

IPTABLES="/sbin/iptables"

function delete_chain() {
	echo -n "$1/$2: ";
	while [ -z "`$IPTABLES -t $1 -D $2 1 2>&1 `" ]; do
		echo -n "#"
	done
	echo " OK";
}

$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT

delete_chain filter INPUT;
delete_chain filter OUTPUT;
delete_chain filter FORWARD;
delete_chain filter IN_FW;
delete_chain filter logdrop;
delete_chain filter syn-flood;

$IPTABLES -X IN_FW 2> /dev/null;
$IPTABLES -X logdrop 2> /dev/null;
$IPTABLES -X syn-flood 2> /dev/null;

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT

delete_chain nat PREROUTING;
delete_chain nat OUTPUT;
delete_chain nat POSTROUTING;

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT

delete_chain mangle PREROUTING;
delete_chain mangle OUTPUT;


A jeste init script:

/etc/init.d/firewall

#!/bin/sh -e

# Start a stop firewallu
#

case "$1" in
    start)
	echo -n "Spoustim Firewall"
	echo ""
	/usr/local/sbin/fw-on
	echo ""
	echo "Firewall spusten!"
    ;;

    stop)
	echo -n "Zastavuji Firewall!"
	echo ""
	/usr/local/sbin/fw-off
	echo ""
	echo "Firewall zastaven!"
    ;;

    restart)
        $0 stop || true
        $0 start
    ;;
    status)
	echo ""
	/sbin/iptables -L -n
	echo ""
    ;;    
    
    *)
	echo "Pouziti: /etc/init.d/firewall {start|stop|restart|status}"
	exit 1
    ;;
esac

exit 0
cd /pub | more beer
18.8.2007 16:46 lnykryn | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
Diky

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.