abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Ubuntu 24.04 LTS Noble Numbat
    dnes 17:33 | Nová verze

    Canonical vydal (email, blog, YouTube) Ubuntu 24.04 LTS Noble Numbat. Přehled novinek v poznámkách k vydání a také příspěvcích na blogu: novinky v desktopu a novinky v bezpečnosti. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 10. LTS verzi.

    Ladislav Hagara | Komentářů: 3
    Videozáznam z Czech Open Source Policy Forum 2024
    dnes 14:22 | Komunita

    Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.

    Ladislav Hagara | Komentářů: 0
    Fossil 2.24
    dnes 13:22 | Nová verze

    Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.

    Ladislav Hagara | Komentářů: 0
    Vivaldi 6.7
    dnes 12:44 | Nová verze

    Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).

    Ladislav Hagara | Komentářů: 0
    Node.js 22
    dnes 04:55 | Nová verze

    OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.

    Ladislav Hagara | Komentářů: 0
    Proxmox Virtual Environment 8.2
    dnes 04:22 | Nová verze

    Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.

    Ladislav Hagara | Komentářů: 0
    R 4.4.0 (Puppy Cup)
    dnes 04:11 | Nová verze

    R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.

    Ladislav Hagara | Komentářů: 0
    IBM kupuje společnost HashiCorp za 6,4 miliardy dolarů
    včera 22:44 | IT novinky

    IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.

    Ladislav Hagara | Komentářů: 12
    TrueNAS SCALE 24.04 “Dragonfish”
    včera 15:55 | Nová verze

    Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Raspberry Pi Compute Module 4S s 2 GB, 4 GB a 8 GB paměti
    včera 13:44 | IT novinky

    Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    KDE Plasma 6
     (72%)
     (9%)
     (2%)
     (17%)
    Celkem 755 hlasů
     Komentářů: 4, poslední 6.4. 15:51
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Trojan - jak se bránit?
    Štítky: AbcLinuxu, antiviry, Apache, audio, Bash, databáze, Debian, distribuce, e-mail, FTP, Gentoo, GNOME, grafika, hardware, IDE, instalace, Internet, KDE, kernel, komunikace, Linux, multimédia, ovladače, problém, programování, prohlížeče, server, sítě, software, SUSE, textové editory, USB, Vim, web, Windows

    Dotaz: Trojan - jak se bránit?

    17.8.2007 16:19 lnykryn | skóre: 11 | Brno
    Trojan - jak se bránit?
    Přečteno: 2097×
    Bylo mi poskytovatelem oznameno, ze muj server byl napaden "jakymsi" trojskym konem. Potreboval by zjistit co je to za "mrchu" a jak ji odstranit. Tady je vypis z ps 

    USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   1944   644 ?        Ss   11:06   0:02 init [2]
root         2  0.0  0.0      0     0 ?        S    11:06   0:00 [migration/0]
root         3  0.0  0.0      0     0 ?        SN   11:06   0:00 [ksoftirqd/0]
root         4  0.0  0.0      0     0 ?        S<   11:06   0:00 [events/0]
root         5  0.0  0.0      0     0 ?        S<   11:06   0:00 [khelper]
root         6  0.0  0.0      0     0 ?        S<   11:06   0:00 [kthread]
root         9  0.0  0.0      0     0 ?        S<   11:06   0:00 [kblockd/0]
root        10  0.0  0.0      0     0 ?        S<   11:06   0:00 [kacpid]
root        75  0.0  0.0      0     0 ?        S<   11:06   0:00 [kseriod]
root       109  0.0  0.0      0     0 ?        S    11:06   0:00 [pdflush]
root       110  0.0  0.0      0     0 ?        S    11:06   0:00 [pdflush]
root       111  0.0  0.0      0     0 ?        S<   11:06   0:00 [kswapd0]
root       112  0.0  0.0      0     0 ?        S<   11:06   0:00 [aio/0]
root       555  0.0  0.0      0     0 ?        S<   11:06   0:00 [khubd]
root       813  0.0  0.0      0     0 ?        S<   11:06   0:03 [kjournald]
root       974  0.0  0.0   2180   600 ?        S<  11:06   0:00 udevd --daemon
root      1236  0.0  0.0      0     0 ?        S<   11:06   0:00 [kpsmoused]
root      1469  0.0  0.0      0     0 ?        S<   11:06   0:00 [kmirrord]
root      1670  0.0  0.0   1624   616 ?        Ss   11:06   0:03 /sbin/syslogd
root      1676  0.0  0.0   1576   380 ?        Ss   11:06   0:00 /sbin/klogd -x
root      1722  0.0  0.1   2664  1332 ?        S    11:06   0:00 /bin/sh /usr/bin/mysqld_safe
mysql     1759  0.6  4.0 129908 42028 ?        Sl   11:06   2:17 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-external-locking --port=3306 --socket=/var/run/mysqld/mysqld.sock
root      1760  0.0  0.0   1560   508 ?        S    11:06   0:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
root      1886  0.0  0.0   1576   560 ?        Ss   11:06   0:00 /usr/sbin/acpid -c /etc/acpi/events -s /var/run/acpid.socket
root      1895  0.0  0.0   1748   576 ?        Ss   11:06   0:00 /usr/sbin/inetd
root      1955  0.0  0.1   4808  1604 ?        Ss   11:06   0:00 /usr/lib/postfix/master
postfix   1962  0.0  0.1   4856  1700 ?        S    11:06   0:00 qmgr -l -t fifo -u
root      2013  0.0  0.0   1920   576 ?        Ss   11:06   0:00 /usr/sbin/dovecot
root      2026  0.0  0.0   2196   880 ?        Ss   11:06   0:00 /usr/sbin/cron
root      2038  0.0  0.1   8360  2060 ?        S    11:06   0:00 dovecot-auth
dovecot   2039  0.0  0.1   3296  1480 ?        S    11:06   0:00 pop3-login
dovecot   2040  0.0  0.1   3296  1484 ?        S    11:06   0:00 pop3-login
dovecot   2041  0.0  0.1   3296  1484 ?        S    11:06   0:00 pop3-login
dovecot   2042  0.0  0.1   3300  1480 ?        S    11:06   0:00 imap-login
dovecot   2043  0.0  0.1   3300  1480 ?        S    11:06   0:00 imap-login
dovecot   2044  0.0  0.1   3304  1480 ?        S    11:06   0:00 imap-login
root      2045  0.0  1.1  28344 11448 ?        Ss   11:06   0:00 /usr/sbin/apache2 -k start
root      2067  0.0  0.0   1576   496 tty1     Ss+  11:06   0:00 /sbin/getty 38400 tty1
root      2068  0.0  0.0   1576   492 tty2     Ss+  11:06   0:00 /sbin/getty 38400 tty2
root      2069  0.0  0.0   1572   492 tty3     Ss+  11:06   0:00 /sbin/getty 38400 tty3
root      2070  0.0  0.0   1576   496 tty4     Ss+  11:06   0:00 /sbin/getty 38400 tty4
root      2071  0.0  0.0   1572   492 tty5     Ss+  11:06   0:00 /sbin/getty 38400 tty5
root      2072  0.0  0.0   1572   492 tty6     Ss+  11:06   0:00 /sbin/getty 38400 tty6
root      2074  0.0  0.0   1576   500 ttyS1    Ss+  11:06   0:00 /sbin/getty -L ttyS1 9600 vt100
postfix   2436  0.0  0.1   4868  1992 ?        S    11:08   0:00 tlsmgr -l -t unix -u -c
root      2615  0.0  0.1   2284  1256 ?        Ss   11:10   0:01 bash
root      3068  0.0  0.0   1576   500 ttyS0    Ss+  11:13   0:00 /sbin/getty -L ttyS0 9600 vt100
root     19243  0.0  0.2   7692  2284 ?        Ss   12:14   0:00 sshd: souki [priv]
souki    19334  0.0  0.1   7692  1592 ?        S    12:14   0:00 sshd: souki@pts/0
souki    19336  0.0  0.1   4480  1972 pts/0    Ss   12:14   0:00 -sh
root     20639  0.0  0.2   7852  2376 ?        Ss   12:18   0:00 sshd: root@pts/1
root     20735  0.0  0.1   3996  1728 pts/1    Ss+  12:18   0:00 -bash
postfix  22723  0.0  0.1   4820  1560 ?        S    16:04   0:00 pickup -l -t fifo -u -c
www-data 30108  0.4  1.0  28872 11088 ?        S    17:02   0:03 /usr/sbin/apache2 -k start
www-data 30118  0.1  0.9  28720  9984 ?        S    17:02   0:01 /usr/sbin/apache2 -k start
www-data 30125  0.2  1.1  29080 11408 ?        S    17:02   0:02 /usr/sbin/apache2 -k start
www-data 30128  0.1  0.9  28692 10020 ?        S    17:02   0:01 /usr/sbin/apache2 -k start
www-data 30851  0.3  1.0  28772 11016 ?        S    17:05   0:02 /usr/sbin/apache2 -k start
www-data 30878  0.3  0.9  28684  9872 ?        S    17:05   0:02 /usr/sbin/apache2 -k start
www-data 31272  0.5  0.9  28768  9884 ?        S    17:09   0:02 /usr/sbin/apache2 -k start
www-data 31569  1.1  0.9  28704  9896 ?        S    17:15   0:01 /usr/sbin/apache2 -k start
www-data 31571  0.6  0.9  28704 10012 ?        S    17:15   0:01 /usr/sbin/apache2 -k start
www-data 31604  0.8  0.9  28676  9856 ?        S    17:15   0:01 /usr/sbin/apache2 -k start
postfix  31736  0.0  0.2   5180  2656 ?        S    17:17   0:00 smtpd -n smtp -t inet -u -c
postfix  31737  0.0  0.1   4816  1576 ?        S    17:17   0:00 proxymap -t unix -u
postfix  31738  0.0  0.1   4816  1580 ?        S    17:17   0:00 anvil -l -t unix -u -c

    a popr jeste vypis souboru v /etc/init.d 

    acpid              ifupdown               mysql          sendsigs
apache2            ifupdown-clean         mysql-ndb      single
bootclean          keymap.sh              mysql-ndb-mgm  skeleton
bootlogd           killprocs              networking     spamassassin
bootmisc.sh        klogd                  openbsd-inetd  ssh
checkfs.sh         libdevmapper1.02       postfix        stop-bootlogd
checkroot.sh       makedev                procps.sh      stop-bootlogd-single
console-screen.sh  module-init-tools      proftpd        sysklogd
cron               mountall-bootclean.sh  pure-ftpd      udev
dovecot            mountall.sh            rc             udev-mtab
exim4              mountdevsubfs.sh       rc.local       umountfs
glibc.sh           mountkernfs.sh         rcS            umountnfs.sh
halt               mountnfs-bootclean.sh  README         umountroot
hostname.sh        mountnfs.sh            reboot         urandom
hwclock.sh         mtab.sh                rmnologin      x11-common

    Predem dekuji za kazdou radu. PS: Pokud potrebujete jeste nejaky vypis rad dodam
    Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    17.8.2007 16:22 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    at to upresni ten "provider" :) cim se ten udajny trojan projevuje atd...
    17.8.2007 16:22 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Jeste mi doslo asi jsem mel napsat co ten "trojan" delal: pripojoval se na cizi ssh a snazil se uhadnout heslo, proto jsem radeji zablokoval veskerou komunikaci pres ssh.
    17.8.2007 16:24 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Jeste jsem z kolegy vypacil nasludujici uryvek z mailu: doslo nam upozorneni ze spolecnosti GTS Novera, ze Vas server > xxx.xxx.xx.xx vykazuje Zombie host/network attack.
    17.8.2007 16:37 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    nejspise vam to tedy nekdo haknul, nebo pokud tento server dela nat pro nejako vetsi sit, muze to bytk kdokoliv ze site. Doporucuji odpojit a dukladne zanalyzovat system. Zacal bych treba kontrolou binarek, treba takove podstrcene ps nezobrazi vsechny procesy... take v /tmp obcas byvaji poklady :-)
    17.8.2007 16:39 Ctirad Feřtr | skóre: 43 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    A není za tím serverem čirou náhodou zanatovaná nějaká síť s potenciálně zavirovanými počítači?
    17.8.2007 16:40 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Ne jedna se jen o jeden webovy server pripojeny primo do intenetu a mame na nej pristup pouze dva takze infiltraci zevnitr to urcite nebude.
    17.8.2007 16:48 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Trojan
    V případě nějakého většího http hosting serveru, kde není možné uhlídat klientské php scripty a současně není dost dobře zabezpečen Apache, se něco podobného může stát - třeba nějaký z "klientů" zanechá omylem na stránce chybu zneužitelnou přes RFI (Remote File Inclusion) - nějaká třetí strana toho využije a přiměje php interpreter, aby zpracoval externí php backdoor, který, při nedostatečném ošetření, může i spouštět jiné aplikace nebo ze sebe udělat ssh scanner, jeho tvůrce jej může využít k eskalaci práv (pokud možno), atd.
    17.8.2007 16:50 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    To taky neni muj pripad zatim tam je jen par domen, ktere dela kolega.
    17.8.2007 16:58 boar | skóre: 25 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    co si pohrat s tcpdumpem ? jestli opravdu vypisuje traffic na nejaky SSHcka ? popripade kouknout do netstatu ... napada me este upravit FW, aby veskerej odchozi traffic logoval ...
    17.8.2007 17:05 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    tady je vypis z netstatu: 
    Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 195.47.67.109:39898     195.144.12.5:ircd       ESTABLISHED

tcp        0      0 195.47.67.109:36603     undernet.irc.juste:6661 ESTABLISHED

tcp        0      0 195.47.67.109:60146     undernet.xs4all.nl:ircd ESTABLISHED

tcp6       0      0 ::ffff:195.47.67.10:www vpscomp.tgnet.cz:1138   ESTABLISHED

tcp6       0      0 ::ffff:195.47.67.10:www vpscomp.tgnet.cz:1139   ESTABLISHED

tcp6       0      0 ::ffff:195.47.67.10:ssh 12.219.forpsi.net:27770 ESTABLISHED

tcp6       0    132 ::ffff:195.47.67.10:ssh 12.219.forpsi.net:27656 ESTABLISHED

Active UNIX domain sockets (w/o servers)

Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ]         DGRAM                    2759     @/org/kernel/udev/udevd
unix  10     [ ]         DGRAM                    4246     /dev/log
unix  3      [ ]         STREAM     CONNECTED     323137   /var/run/mysqld/mysqld.sock
unix  3      [ ]         STREAM     CONNECTED     323136
unix  2      [ ]         DGRAM                    311016
unix  2      [ ]         DGRAM                    91751
unix  3      [ ]         STREAM     CONNECTED     91748
unix  3      [ ]         STREAM     CONNECTED     91747
unix  2      [ ]         DGRAM                    8960
unix  3      [ ]         STREAM     CONNECTED     5089     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5088
unix  3      [ ]         STREAM     CONNECTED     5085     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5084
unix  3      [ ]         STREAM     CONNECTED     5081     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5080
unix  3      [ ]         STREAM     CONNECTED     5077     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5076
unix  3      [ ]         STREAM     CONNECTED     5073     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5072
unix  3      [ ]         STREAM     CONNECTED     5069     /var/run/dovecot/login/default
unix  3      [ ]         STREAM     CONNECTED     5068
unix  3      [ ]         STREAM     CONNECTED     5062
unix  3      [ ]         STREAM     CONNECTED     5061
unix  3      [ ]         STREAM     CONNECTED     5059
unix  3      [ ]         STREAM     CONNECTED     5058
unix  3      [ ]         STREAM     CONNECTED     5056
unix  3      [ ]         STREAM     CONNECTED     5055
unix  3      [ ]         STREAM     CONNECTED     5053
unix  3      [ ]         STREAM     CONNECTED     5052
unix  3      [ ]         STREAM     CONNECTED     5050
unix  3      [ ]         STREAM     CONNECTED     5049
unix  3      [ ]         STREAM     CONNECTED     5047
unix  3      [ ]         STREAM     CONNECTED     5046
unix  3      [ ]         STREAM     CONNECTED     5042
unix  3      [ ]         STREAM     CONNECTED     5041
unix  2      [ ]         DGRAM                    4994
unix  2      [ ]         DGRAM                    4870
unix  3      [ ]         STREAM     CONNECTED     4853
unix  3      [ ]         STREAM     CONNECTED     4852
unix  3      [ ]         STREAM     CONNECTED     4849
unix  3      [ ]         STREAM     CONNECTED     4848
unix  3      [ ]         STREAM     CONNECTED     4845
unix  3      [ ]         STREAM     CONNECTED     4844
unix  3      [ ]         STREAM     CONNECTED     4841
unix  3      [ ]         STREAM     CONNECTED     4840
unix  3      [ ]         STREAM     CONNECTED     4837
unix  3      [ ]         STREAM     CONNECTED     4836
unix  3      [ ]         STREAM     CONNECTED     4833
unix  3      [ ]         STREAM     CONNECTED     4832
unix  3      [ ]         STREAM     CONNECTED     4829
unix  3      [ ]         STREAM     CONNECTED     4828
unix  3      [ ]         STREAM     CONNECTED     4825
unix  3      [ ]         STREAM     CONNECTED     4824
unix  3      [ ]         STREAM     CONNECTED     4821
unix  3      [ ]         STREAM     CONNECTED     4820
unix  3      [ ]         STREAM     CONNECTED     4817
unix  3      [ ]         STREAM     CONNECTED     4816
unix  3      [ ]         STREAM     CONNECTED     4813
unix  3      [ ]         STREAM     CONNECTED     4812
unix  3      [ ]         STREAM     CONNECTED     4809
unix  3      [ ]         STREAM     CONNECTED     4808
unix  3      [ ]         STREAM     CONNECTED     4805
unix  3      [ ]         STREAM     CONNECTED     4804
unix  3      [ ]         STREAM     CONNECTED     4801
unix  3      [ ]         STREAM     CONNECTED     4800
unix  3      [ ]         STREAM     CONNECTED     4797
unix  3      [ ]         STREAM     CONNECTED     4796
unix  3      [ ]         STREAM     CONNECTED     4793
unix  3      [ ]         STREAM     CONNECTED     4792
unix  3      [ ]         STREAM     CONNECTED     4789
unix  3      [ ]         STREAM     CONNECTED     4788
unix  3      [ ]         STREAM     CONNECTED     4785
unix  3      [ ]         STREAM     CONNECTED     4784
unix  3      [ ]         STREAM     CONNECTED     4781
unix  3      [ ]         STREAM     CONNECTED     4780
unix  3      [ ]         STREAM     CONNECTED     4777
unix  3      [ ]         STREAM     CONNECTED     4776
unix  3      [ ]         STREAM     CONNECTED     4773
unix  3      [ ]         STREAM     CONNECTED     4772
unix  3      [ ]         STREAM     CONNECTED     4769
unix  3      [ ]         STREAM     CONNECTED     4768
unix  3      [ ]         STREAM     CONNECTED     4765
unix  3      [ ]         STREAM     CONNECTED     4764
unix  3      [ ]         STREAM     CONNECTED     4761
unix  3      [ ]         STREAM     CONNECTED     4760
unix  3      [ ]         STREAM     CONNECTED     4757
unix  3      [ ]         STREAM     CONNECTED     4756
unix  3      [ ]         STREAM     CONNECTED     4754
unix  3      [ ]         STREAM     CONNECTED     4753
unix  3      [ ]         STREAM     CONNECTED     4750
unix  3      [ ]         STREAM     CONNECTED     4749
unix  3      [ ]         STREAM     CONNECTED     4747
unix  3      [ ]         STREAM     CONNECTED     4746
unix  2      [ ]         DGRAM                    4738
unix  2      [ ]         DGRAM                    4346
unix  2      [ ]         DGRAM                    4261
    17.8.2007 17:09 boar | skóre: 25 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    hele, to IRC, to je tvoje ?!
    17.8.2007 17:11 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    rekl bych ze ne
    17.8.2007 17:12 boar | skóre: 25 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    Mno tak jelikoz nevidim zadnyho klienta ocividne beziciho (mozna jsem si ho jen nevsiml) tak by to klidne mohlo bejt ono ... mmnt zkusim tam kouknout :)
    17.8.2007 17:14 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: Trojan
    kedze nevies/nevieme kanal, tak ti to bude asi na prd :)
    17.8.2007 17:19 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    ale IRC jsem na serveru urcite nepouzival
    17.8.2007 17:18 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    posli vypis netstat -putna
    17.8.2007 17:43 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Ted bohuzel nemam fyzicky pristup k serveru ssh je vypnuty a kolega v cudu hodim to sem zitra.
    17.8.2007 17:47 boar | skóre: 25 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    Mno pravdepodobne vypnuty ssh nepomuze ...
    Jestli to IRC neni tvoje zalezitos, tak to by mohl bejt BOT na irc ... v nejakym botnetu. ovladanej nekym ...
    a ten v sobe bude mit nejakou binarku ssh klienta ... takze tak.
    kazdopadne hodne stesti. a urcite porefereuj, jak to dopadlo!
    17.8.2007 18:19 kh
    Rozbalit Rozbalit vše Re: Trojan
    http://195.47.67.109/
    17.8.2007 18:30 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Jak si prisel na tuhle IP?
    17.8.2007 18:35 phero | skóre: 17 | blog: techblog
    Rozbalit Rozbalit vše Re: Trojan
    vzdyt si ji jsem psal :-)

    Zkusime se tam dostat (kdyz vime ze to jde) ? :-D
    17.8.2007 18:37 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Promin mam uz toho dneska plny zuby a uz ani nevim co pisu :).
    17.8.2007 18:53 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Opravdu to vypadá na toho irc bota, ale před jeho odstřihnutím by možná stálo za to zjistit, jak se tam dostal... taky by se dala chytat odchozí/příchozí komunikace a z ní zjistit případný kanál a IP toho, kdo s botem komunikuje (pokud nechodí na irc server přes proxy nebo to neblokuje přímo server)..
    17.8.2007 19:16 neznalek
    Rozbalit Rozbalit vše Re: Trojan
    No mě to připadá, jako by ten server sloužil jako proxy. Zkusil bych projít logy apache. Ještě existuje nějaká aplikace, kterou když spustíš tak ti zkontroluje systém a vypíše jestli něco nebylo hacknutý. Jak se ta aplikace jmenuje ti musí tady někdo říct, na název si teď totiž nevzpomenu :-).
    17.8.2007 23:43 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Asi bych rekl ze to bude ten IRC bot, ted jsem mluvl s kolegou a nikdo z nas IRC vubec nezapinal. Jinak tenhle server je "stary" asi tri dny a tipnul bych, ze utocnik ziskal pristup behem prvnich par hodin, protoze jsem (ja pitomec) nezmenil defaultni heslo ihned a navic bylo shodne s nazvem serveru.
    18.8.2007 09:52 Ctirad Feřtr | skóre: 43 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    Defaultní heslo? Co to je proboha za systém?
    18.8.2007 09:56 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Jeda se o dedikovany server takze pri predani mel nastaveny snadno uhadnutelny heslo. Jinak system je Debian.
    Václav 18.8.2007 09:58 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
    Rozbalit Rozbalit vše Re: Trojan
    To jsou taky nápady připojovat ho na net před změnou hesla :) Jestli bylo opravdu shodné s názvem serveru je to celkem jasné..
    Cross my heart and hope to fly, stick a cupcake in my eye!
    18.8.2007 10:00 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Tak ja jsem moc nemohl ovlivnit kdy ho pripoji :-)
    18.8.2007 10:44 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan 
    $ whois 195.47.67.109
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '195.47.67.0 - 195.47.67.255'

inetnum:        195.47.67.0 - 195.47.67.255
netname:        STICKFISH-RACK
descr:          Stickfish, s.r.o.
descr:          Rehorova 54/1039
descr:          Praha 3
descr:          13000
country:        cz
admin-c:        FK476-RIPE
tech-c:         FK476-RIPE
status:         ASSIGNED PA
remarks:        uid=rack1.nagano
mnt-by:         AS6721-MNT
source:         RIPE # Filtered
    Takze to vypada, ze mas server u abchostingu? Ze by tam davali slaby snadno uhadnutelny hesla? No fuj.
    Michal Fecko avatar 18.8.2007 11:20 Michal Fecko | skóre: 31 | blog: Poznámkový blog
    Rozbalit Rozbalit vše Re: Trojan
    Takze to vypada, ze mas server u abchostingu? Ze by tam davali slaby snadno uhadnutelny hesla? No fuj.
    Aj antireklama je reklama :-D
    18.8.2007 12:18 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    A nema nekdo napad jak by se dal ten pravdepodobny bot odstranit?
    18.8.2007 12:22 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Trojan
    ... zabít process a smazat binárku?
    18.8.2007 12:25 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Trojan
    resp. zkoumat ve výpisu ps -AfH (ps -faeH) processy jeden po druhém a prověřovat je ... než narazíš na něco, co tam nemá být.
    18.8.2007 12:25 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Tohle me napadlo taky ale z tech bezicich procesu ktere jsem na zacatku vypsal moc moudry nejsem a taky me nejak nenapada kde bych tu binarku mel hledat(i kdyz to zaze takovy problem nebude).
    18.8.2007 12:42 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    podle putna.txt cos vystavil na http://195.47.67.109/putna.txt to dela: 
    tcp        0      0 195.47.67.109:60146     194.109.20.90:6667      ESTABLISHED2615/bash
    proces 2615 - bash, kde je videt ze se konekti na irc server na port 6667

    Zkus, jestli je videt prikazem ps, a najdi jeho binarku...

    Doporucuju nejako knizku o "hackingu", kde jsou popsane postupy co delat kdyz je stroj napaden.
    18.8.2007 12:48 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Tak tim proces to asi urcite bude, dik za tip. Zkousel jsem chrootkit, ale ten nic nenasel a jeste v adresari /tmp je jen jediny soubor s nazvem pstree.out jenz obsahuje "vypis" bezicich procesu. V tomhle se sice nevyznam, ale napadlo me jestli opravdu nemuze byt podvrzene ps a jestli to misto spravneho vypisu nezobrazi tento soubor.
    michich avatar 18.8.2007 12:43 michich | skóre: 51 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: Trojan
    To bych vůbec nezkoušel. Nikdy nevíš, jestli to najdeš všechno. Může to být skryté chytrým rootkitem. Radši od základů přeinstalovat.
    18.8.2007 12:33 dustin | skóre: 63 | blog: dustin
    Rozbalit Rozbalit vše Re: Trojan
    Samozřejmě nejdříve jej vypnout (třeba přes netstat) a pak bych zkusil chkrootkit.
    18.8.2007 12:35 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    jak jsem jiz psal, nejdriv zkontroluj, zda nemas podvreznou binarku samotneho prikazu "ps"ktera umi skryt procesy toho crackera, podivej do /tmp a nainstaluj i nejaky sw na detekci rootkitu, uplne ale prvni vec, odpoj to od site :-)
    18.8.2007 12:57 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Mrkni jestli tam nemas nejaky rootkit

    http://www.chkrootkit.org/
    cd /pub | more beer
    18.8.2007 13:00 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    chkrootkit jsem uz zkousel-> nic
    18.8.2007 13:16 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Tak v tom pripade jeste antivir na pritomnost Trojanu, pokud tam mas nejake weby jak jsi psal

    apt-get install clamav

    a pak pouzit clamscan
    cd /pub | more beer
    18.8.2007 14:03 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    s tim antivirem to byl dobry napad(opet se stydim, ze me to nenapadlo) naslo mi to nasledujici havet: Trojan.Linux.Rst.b Trojan.Rst.a
    18.8.2007 14:18 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    haaleluja ... videl bych to na nejaky blbe napsany php script nejakeho webu na to serveru, ze by ten trojan byl v adresari napr. "fotos" ? :o)
    cd /pub | more beer
    18.8.2007 14:21 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Opravdu by to mohlo byt kvuli php? Jestli je to pravdepodobny musel bych asi servat kolegu, ale nemam zadnej dukaz, ktery by to potvrdil.Jinak infekci jsem zatim nasel v rootovskym adresari a byli to dva soubory s priponou jpg, ale klidne muze byt i jinde protoze to zatim neprojelo vsechno.
    18.8.2007 14:26 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    ajaj ajaj v /root/... to neni dobre, to vypada na reinstalaci OS, to bude asi hackly server a nedivil bych se, kdyz tam byl i nejaky backdoor. Leda ze by ti treba apache s php bezelo pod rootem, ale to snad ne.
    cd /pub | more beer
    18.8.2007 14:28 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    ne apache bezi pod vlastnim uzivatelem.
    18.8.2007 15:08 phero | skóre: 17 | blog: techblog
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    PHP/perl apod. bývá nejslabší místo podobných serverů.
    18.8.2007 14:30 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Jestli muzu alespon doporucit, tak pokud mozno vsechny weby jet v safe_modu a do php.ini dej tohle

    disable_functions = dl, system, shell_exec, exec, escapeshellarg, escapeshellcmd, passthru, proc_close, proc_open, proc_get_status, proc_nice, proc_open, proc_terminate, popen, pclose, disk_free_space, disk_total_space, diskfreespace, fileinode
    cd /pub | more beer
    18.8.2007 14:32 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Tohle jsem na minulym serevru mel ale bohuzel tady jsem to nestihnu :-(
    18.8.2007 14:34 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    hehe tak to se pak neni cemu divit :o)
    cd /pub | more beer
    18.8.2007 14:37 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    To si opravdu myslis ze se mi tam utocnik dostal pres Apache? Protoze vsechny php skripty jsou tam psany duverihodnou osobou(ten co si ten server plati).
    18.8.2007 14:39 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Mno i duverihodna osoba muze delat chyby byt je to dobry programator. Zadny sw, script, program ...atd. neni bez chyb!
    cd /pub | more beer
    18.8.2007 14:40 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    To je mi jasny, jen ze mi prislo pravdepodobnejsi to uhadnuti pocatecniho hesla roota.
    18.8.2007 14:45 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Jeste me zarazi, jak je mozne se pres ssh nalogujes rovnou jako root ...!!! to bych rozhodne vypnul! Prvni nejaky user s poradny heslem a potom pak "su". A nejlepe port 22 (ssh) omezit na firewallu jen z nekterych IP adres. Jestli nevis jak, rad poradim.
    cd /pub | more beer
    18.8.2007 14:49 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Tohle jsem planoval taky predelat, problem byl v tom ze presun byl dost na rychlo a nestihnul jsem to. Ale kdybych mohl poprosit potreboval bych v firewallu omezit komunikaco pres ssh na dve IP adresy. Na jine, aby vubec neodpovidal, popr jeste aby firewall blokoval vsechno krom portu pro www,ftp,smtp a vyse zminenych dvou IP na ssh.
    18.8.2007 14:57 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Obecne firewall se stavi tak, ze zakazes vsechno a povolis jen to co potrebujes. Co se tyce omezeni ssh na IP tak je to nejak takhle:

    /sbin/iptables -A INPUT -i eth0 -p TCP -s x.x.x.x --dport 22 -j ACCEPT

    misto x.x.x.x dosadis IP adresu ze ktere bude povolen pristup na ssh. Ale pokud nemas zadny firewall, tak je ti to k nicemu, protoze tech pravidel je mnohem vice. Jestli nemas, muzu sem dat kopletni firewall script pro hostingovy server.
    cd /pub | more beer
    18.8.2007 15:01 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Nejaky predinstalovany firewall tam pry je, ale radsi bych mel jistotu ze blokuje, krom toho co opravdu potrebuju, vsechno. Proto jestli by te mohl o ten skript poprosit.
    18.8.2007 15:11 phero | skóre: 17 | blog: techblog
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Nejaky duvod neprihlasovat se primo jako root pres ssh? No, hesla bych vubec nepouzival - klice nejsou jen pro srandu.
    18.8.2007 15:17 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    O klicich taky vim uz jsem ho tam mel i pridany, ale jak uz jsem psal to napadeni bylo pomerne brzo. Prstup k serveru jsem dostal v stredu vecer a uz ve ctvrtek po pulnoci to zacalo vykazovat prvni znaky problemu. Vim, ze jsem udelal chybu, ze jsem se prioritne nevenoval zabezpeceni, ale nikdy jsem takovehle problemy nemel a myslel jsem si ze to den pocka(krom zmen hese to jsem udelal temer okamzite) a muzu se venovat jinym vecem.
    18.8.2007 15:31 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Takze tady to je:

    /usr/local/sbin/fw-on

    #!/bin/sh
#
# fw-on - script pro spusteni firewallu
#
# Prevzato od Mirka Petricka http://www.petricek.cz
#
# Upraveno by B0biN

# IP adresa a vnejsi rozhrani
INET_IP="X.X.X.X"
INET_IFACE="eth0"

# Lokalni loopback rozhrani
LO_IFACE="lo"
LO_IP="127.0.0.1/32"

# Cesta k programu iptables
IPTABLES="/sbin/iptables"

# Inicializace databaze modulu
/sbin/depmod -a

# Zavedeme moduly pro nestandardni cile
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT

# Modul pro FTP prenosy
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Vypneme routovani paketu
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "0" > /proc/sys/net/ipv4/tcp_syncookies

# rp_filter na zamezeni IP spoofovani
for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
   echo "1" > ${interface}
done

# Implicitni politikou je zahazovat nepovolene pakety
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP

#
# Pridavne retezce pro snazsi kontrolu na rezervovane adresy
#

# Zahazovat a logovat (max. 5 x 3 pakety za hod)
$IPTABLES -N logdrop
$IPTABLES -A logdrop -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "Rezervovana adresa: "
$IPTABLES -A logdrop -j DROP

# V tomto retezci se kontroluje, zda prichozi pakety nemaji nesmyslnou IP adresu
$IPTABLES -N IN_FW
$IPTABLES -A IN_FW -s 192.168.0.0/16 -j logdrop # rezervovano podle RFC1918
$IPTABLES -A IN_FW -s 10.0.0.0/8 -j logdrop     #   ---- dtto ----
$IPTABLES -A IN_FW -s 172.16.0.0/12 -j logdrop  #   ---- dtto ----  
$IPTABLES -A IN_FW -s 96.0.0.0/4 -j logdrop     # rezervovano podle IANA
# ... dalsi rezervovane adresy mozno doplnit podle 
#       http://www.iana.com/assignments/ipv4-address-space


# TOS flagy slouzi k optimalizaci datovych cest. Pro ssh, ftp a telnet
# pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput
#
# Retezec INPUT
#

# Portscan s nastavenym SYN,FIN
$IPTABLES -A INPUT -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j LOG -m limit --limit 10/m --log-prefix="bogus packet: "
$IPTABLES -A INPUT -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j DROP

# Pravidla pro povolene sluzby 
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 20 -j ACCEPT  #FTP server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 21 -j ACCEPT  #FTP server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 25 -j ACCEPT  #SMTP server
$IPTABLES -A INPUT -i $INET_IFACE -p UDP --dport 53 -j ACCEPT  #DNS server UDP
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 53 -j ACCEPT  #DNS server TCP
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 80 -j ACCEPT  #WWW server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 110 -j ACCEPT #POP3 server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 143 -j ACCEPT #IMAP server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 443 -j ACCEPT #HTTPS server

#Povoleni pro SSH z urcite IP adresy
$IPTABLES -A INPUT -i $INET_IFACE -s X.X.X.X -p TCP --dport 22 -j ACCEPT # misto X.X.X.X dosadit IP ze ktere je povoleno ssh


# Sluzbu AUTH neni dobre filtrovat pomoci DROP, protoze to muze
# vest k prodlevam pri navazovani nekterych spojeni. Proto jej
# sice zamitneme, ale tak, aby nedoslo k nezadoucim prodlevam.
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -m limit --limit 12/h -j LOG
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -j REJECT --reject-with tcp-reset #AUTH server

# Propoustime pouze ICMP ping
$IPTABLES -A INPUT -i $INET_IFACE -p ICMP --icmp-type echo-request -j ACCEPT

# Loopback neni radno omezovat
$IPTABLES -A INPUT -i $LO_IFACE -j ACCEPT

# Pakety od navazanych spojeni jsou v poradku
$IPTABLES -A INPUT -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

# Vsechno ostatni je zakazano - tedy logujeme, maxim. 12x5 pkt/hod 
$IPTABLES -A INPUT -m limit --limit 12/h -j LOG --log-prefix "INPUT drop: "

#
# Retezec OUTPUT
#

# TOS flagy slouzi k optimalizaci datovych cest. Pro ssh, ftp a telnet
# pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput

# Povolime odchozi pakety, ktere maji nase IP adresy
$IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT

# Ostatni pakety logujeme (nemely by byt zadne takove)
$IPTABLES -A OUTPUT -j LOG --log-prefix "OUTPUT drop: "


    Script pro vypnuti firewallu a vymazani vsech pravidel

    /usr/local/sbin/fw-off

    #!/bin/bash

IPTABLES="/sbin/iptables"

function delete_chain() {
	echo -n "$1/$2: ";
	while [ -z "`$IPTABLES -t $1 -D $2 1 2>&1 `" ]; do
		echo -n "#"
	done
	echo " OK";
}

$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT

delete_chain filter INPUT;
delete_chain filter OUTPUT;
delete_chain filter FORWARD;
delete_chain filter IN_FW;
delete_chain filter logdrop;
delete_chain filter syn-flood;

$IPTABLES -X IN_FW 2> /dev/null;
$IPTABLES -X logdrop 2> /dev/null;
$IPTABLES -X syn-flood 2> /dev/null;

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT

delete_chain nat PREROUTING;
delete_chain nat OUTPUT;
delete_chain nat POSTROUTING;

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT

delete_chain mangle PREROUTING;
delete_chain mangle OUTPUT;


    A jeste init script:

    /etc/init.d/firewall

    #!/bin/sh -e

# Start a stop firewallu
#

case "$1" in
    start)
	echo -n "Spoustim Firewall"
	echo ""
	/usr/local/sbin/fw-on
	echo ""
	echo "Firewall spusten!"
    ;;

    stop)
	echo -n "Zastavuji Firewall!"
	echo ""
	/usr/local/sbin/fw-off
	echo ""
	echo "Firewall zastaven!"
    ;;

    restart)
        $0 stop || true
        $0 start
    ;;
    status)
	echo ""
	/sbin/iptables -L -n
	echo ""
    ;;    
    
    *)
	echo "Pouziti: /etc/init.d/firewall {start|stop|restart|status}"
	exit 1
    ;;
esac

exit 0
    cd /pub | more beer
    18.8.2007 16:46 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Diky

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.