abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 21:11 | Nová verze

Společnost Artifex Software vydala novou stabilní verzi 1.12.0 prohlížeče PDF, XPS a EPUB souborů, knihovny a řádkových nástrojů MuPDF (Wikipedie). MuPDF je k dispozici jak pod komerční, tak pod open source licencí GNU AGPLv3.

Ladislav Hagara | Komentářů: 0
dnes 12:55 | Nová verze

Byla vydána verze 1.8.0 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus. Nejnovější verze Lazarusu je postavena na Free Pascal Compileru (FPC) 3.0.4. Podrobnosti v poznámkách k vydání (Lazarus, Free Pascal Compiler).

Ladislav Hagara | Komentářů: 11
dnes 11:11 | Nová verze

Byla vydána verze 2.0 svobodného softwaru ScummVM (Wikipedie) umožňujícího bezproblémový běh mnoha klasických adventur na zařízeních, pro které nebyly nikdy určeny. Nejnovější verze ScummVM přináší podporu pro 23 zcela nových starých her. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 3
včera 16:11 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 4. a 5. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu.

Ladislav Hagara | Komentářů: 7
včera 14:11 | Komunita

Některým uživatelům Firefoxu se tento týden do Firefoxu nainstalovalo neznámé rozšíření Looking Glass 1.0.3 (png). Ve fórů Mozilly se řešilo, zda se nejedná o malware. Mozilla později informovala, že se jednalo o reklamu na seriál Mr. Robot. Řadě uživatelů Firefoxu se jednání Mozilly vůbec nelíbilo. Mozilla proto automatickou instalaci doplňku ukončila [Hacker News, reddit].

Ladislav Hagara | Komentářů: 22
16.12. 12:00 | Nová verze

Po cca 3 týdnech od vydání Linux Mintu 18.3 s kódovým jménem Sylvia a prostředími MATE a Cinnamon byla oznámena také vydání s prostředími KDE a Xfce. Podrobnosti v poznámkách k vydání (KDE, Xfce) a v přehledech novinek s náhledy (KDE, Xfce). Linux Mint 18.3 je podporován do roku 2021.

Ladislav Hagara | Komentářů: 7
15.12. 12:55 | Nová verze

Byla vydána verze 17.12.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace, které nebyly dosud portovány na KDE Frameworks 5, byly z KDE Aplikací odstraněny.

Ladislav Hagara | Komentářů: 69
15.12. 03:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Company of Heroes 2 (Wikipedie, YouTube) běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
15.12. 02:00 | Zajímavý software

Christian Kellner představil na svém blogu projekt Bolt řešící bezpečnost rozhraní Thunderbolt 3 na Linuxu. Pomocí příkazu boltctl nebo rozšíření GNOME Shellu lze komunikovat s démonem boltd a například zakázat neznámá zařízení a předejít tak útokům typu Thunderstrike nebo DMA.

Ladislav Hagara | Komentářů: 10
15.12. 01:00 | Nová verze

Po půl roce vývoje od vydání verze 11.0 byla vydána verze 11.1 svobodného softwaru pro vytváření datových úložišť na síti FreeNAS (Wikipedie). Nejnovější FreeNAS je postaven na FreeBSD 11.1. Přehled novinek v příspěvku na blogu. Zdůraznit lze zvýšení výkonu OpenZFS, počáteční podporu Dockeru nebo synchronizaci s cloudovými službami Amazon S3 (Simple Storage Services), Backblaze B2 Cloud, Google Cloud a Microsoft Azure

Ladislav Hagara | Komentářů: 0
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (76%)
 (14%)
Celkem 1027 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Dotaz: Jak chápat výpis tcpdump

    9.1.2012 14:06 jan.rok | skóre: 17
    Jak chápat výpis tcpdump
    Přečteno: 1309×
    Zdravím ,

    ve výpisu tcpdump se mi objevuje toto:
    14:00:01.936182 IP 64-68-192-210.host.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  22268*- 1/4/8 A ns2.easydns.com (318)
    14:00:01.942881 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  30704*-| 0/0/0 (45)
    14:00:01.944848 IP c.tld.sk.domain > mujserver.mojedomena.cz.filenet-rpc:  14604- 0/2/3 (110)
    14:00:01.945028 IP mujserver.mojedomena.cz.filenet-rpc > stan.oneemedia.com.domain:  59102% [1au] A? ns1.mojhosting.sk. (46)
    14:00:01.945207 IP c.tld.sk.domain > mujserver.mojedomena.cz.filenet-rpc:  62897- 0/2/3 (110)
    14:00:01.945346 IP mujserver.mojedomena.cz.filenet-rpc > stan.oneemedia.com.domain:  56404% [1au] A? ns2.mojhosting.sk. (46)
    14:00:01.948310 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  38723*-| 0/0/0 (45)
    14:00:01.957644 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  29393*-| 0/0/0 (46)
    14:00:01.979412 IP stan.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  59102* 1/2/2 A stan.oneemedia.com (110)
    14:00:01.979579 IP mujserver.mojedomena.cz.filenet-rpc > kenny.oneemedia.com.domain:  42529 [1au] PTR? 203.128/25.244.240.92.in-addr.arpa. (63)
    14:00:01.979775 IP stan.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  56404* 1/2/2 A kenny.oneemedia.com (110)
    14:00:01.992717 IP kenny.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  42529* 1/2/3 (178)
    14:00:01.994239 IP mujserver.mojedomena.cz.filenet-rpc > pri.authdns.ripe.net.domain:  45240 [1au] PTR? 1.16.6.193.in-addr.arpa. (52)
    14:00:02.015805 IP pri.authdns.ripe.net.domain > mujserver.mojedomena.cz.filenet-rpc:  45240- 0/6/1 (373)
    14:00:02.016073 IP mujserver.mojedomena.cz.filenet-rpc > ns5.univie.ac.at.domain:  7826 [1au] PTR? 1.16.6.193.in-addr.arpa. (52)
    14:00:02.016135 IP mujserver.mojedomena.cz.filenet-rpc > hu1.dnsnode.net.domain:  36909% [1au] A? ns2.iif.hu. (39)
    14:00:02.016186 IP mujserver.mojedomena.cz.filenet-rpc > hu1.dnsnode.net.domain:  29330% [1au] A? ns2.sztaki.hu. (42)
    14:00:02.026839 IP ns5.univie.ac.at.domain > mujserver.mojedomena.cz.filenet-rpc:  7826- 0/3/5 (207)
    Ve skutečnosti je tam toho mnohem víc. Jak tomu mám rozumět? Znamená to, že server se pokouší komunikovat s náhodnými servery pomocí nějakého protokolu "filenet-rpc"? A pokud ano, jak zjistím proces, který to vyvolává?

    Děkuji. JR

    Řešení dotazu:


    Odpovědi

    9.1.2012 14:28 l4m4
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Najít to v netstat -p.
    9.1.2012 14:48 jan.rok | skóre: 17
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Nemůže být problém v tomto:
    tcp        0      0 192.168.1.2:56748       194.109.129.222:6667    ESTABLISHED 20376/sshd:
    
    Server má IP=192.168.1.2

    Když ten proces ukončím, za chvíli se nastartuje nový na jinou IP a na jiném portu.
    9.1.2012 14:31 radek
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Zkus nethogs pro vypsání kolik / co bere bandwith popř. ntop
    9.1.2012 15:02 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    no podle toho dumpu to vypadá, že spíš ty ostatní servery komunikují s ním :) teda že na tvém serveru poslouchá nějaký proces na protokolu filenet-rpc a ostatní servery s ním vesele komunikují. Pak by ti netstat měl prozradit, jaký proces na tomto portu visí.
    9.1.2012 15:13 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    jedna se o DNS resolving (zdrojovy port se holt vybral z registrovanych jmen - nic to neznamena)
    9.1.2012 15:17 tomk
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Podle vseho jsou to DNS dotazy mirici z Tveho serveru na DNS servery, pripadne odpovedi DNS serveru. Druha strana je vzdy domain(53) a v obsahu packetu jsou take videt data odpovidajici dotazum a odpovedem. Na strane Tveho serveru se pro takove dotazy vybere volny port vetsi nez 1024, kterym proste zrovna je port "filenet-rpc" (v /etc/services by melo jit zjistit, jake ma cislo).

    Doporucuju predchazet zmateni a tcpdump so poustet s -nn

    Tomas
    9.1.2012 15:55 jan.rok | skóre: 17
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Díky, teď už tomu rozumím, zmátla mě jména portů.

    Pak už mi v komunikaci vadí jen ten cílový port 6667 (viz výše). Pomocí netstat jsem zjistil, že to používá sshd, ale z mého serveru by se nic nikam pomocí ssh připojovat nemělo.
    9.1.2012 16:04 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    a nepouzivas ssh tunneling? treba pro protunelovani irc apod (na quakenet.xs4all.nl)?
    9.1.2012 16:10 jan.rok | skóre: 17
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Jednoduše odpovězeno: nevím :-) Server jsem zdědil a teprve zjišťuju, co a jak. Nevím sice, proč by to na serveru mělo být, ale prověřím to. Díky.
    9.1.2012 16:13 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    ok, pokud chces zakazat tunneling over ssh, tak v konfiguraku sshd zmen z AllowTcpForwarding yes X11Forwarding yes

    na

    AllowTcpForwarding no X11Forwarding no

    a zrestartuj sshd
    9.1.2012 16:25 jan.rok | skóre: 17
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Oba parametry jsem zakázal, sshd restartoval, ale nepomohlo to. Divné je, že když sshd zastavím, tak status ukazuje stále "running".
    9.1.2012 17:34 Matlák
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Prozatím můžeš zakázat spojení s touto adresou a portem pomocí iptables. Pokud vyroste někde jiné na jinou adresu či port, můžeš si být jistý že ten server je nakopnutý :-)
    9.1.2012 18:02 jan.rok | skóre: 17
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Je tam jen spojení na quakenet.xs4all.nl.

    Když killnu ten proces sshd, který vyvolává spojení na quakenet.xs4all.nl:6667, tak se za chvíli nastartuje znovu.
    9.1.2012 20:57 rt
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    lsof -p "cislo_procesu"
    9.1.2012 21:12 jan.rok | skóre: 17
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Děkuji! Je tam vidět toto:
    supr:~ # lsof -p 11080
    COMMAND   PID   USER   FD   TYPE DEVICE    SIZE     NODE NAME
    sshd:   11080 wwwrun  cwd    DIR    8,2    4096  1164207 /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m
    sshd:   11080 wwwrun  rtd    DIR    8,2    4096        2 /
    sshd:   11080 wwwrun  txt    REG    8,2  152108  1164213 /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m/sshd:
    sshd:   11080 wwwrun  mem    REG    0,0                0 [heap] (stat: No such file or directory)
    sshd:   11080 wwwrun  DEL    REG    8,2         17762149 /var/run/nscd/dbUqVduq
    sshd:   11080 wwwrun  mem    REG    8,2 1433557 16891922 /lib/libc-2.4.so
    sshd:   11080 wwwrun  mem    REG    8,2  129557 16892104 /lib/ld-2.4.so
    sshd:   11080 wwwrun    0u  IPv4  30665              TCP supr.prak.cz:43957->quakenet.xs4all.nl:6667 (ESTABLISHED)
    sshd:   11080 wwwrun    3u  IPv4  30016              UDP *:32781
    sshd:   11080 wwwrun    8u  sock    0,5            30005 can't identify protocol
    
    V té složce
    /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m
    jsou velmi podivné věci:
    -rwx--x--x 1 wwwrun www    174 Jan  9 21:00 1
    -rwxr-xr-x 1 wwwrun www    323 Jan 13  2011 autorun
    -rw-r--r-- 1 wwwrun www   1295 Jan  3 08:15 cat.seen
    -rw-r--r-- 1 wwwrun www    107 Jan  2 20:07 cron.d
    -rw-r--r-- 1 wwwrun www   1217 Jan  9 21:00 cz.seen
    -rw-r--r-- 1 wwwrun www     74 Jan  2 20:07 mech.dir
    -rw-r--r-- 1 wwwrun www   1064 Jan  9 21:00 mech.levels
    -rw------- 1 wwwrun www      6 Jan  9 17:54 mech.pid
    -rw-r--r-- 1 wwwrun www    312 Jan  9 21:00 mech.session
    -rwx--x--x 1 wwwrun www    531 Jan 12  2011 mech.set
    -rwxr-xr-x 1 wwwrun www     27 Jan 12  2011 run
    -rwx--x--x 1 wwwrun www 152108 Jan 12  2011 sshd:
    -rwxr-xr-x 1 wwwrun www     17 Nov  5  2008 start
    -rwx--x--x 1 wwwrun www  15195 Sep  2  2004 std
    -rwxr--r-- 1 wwwrun www    355 Jan  2 20:07 update
    
    To vypadá na nějaké napadení serveru.
    9.1.2012 22:51 jan.rok | skóre: 17
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    A toto je výpis obsahu např. souboru cz.seen:
    t2 t2!~t2@93-103-128-102.static.t-2.net none 1326133827 2 Read error: Operation timed out
    rock rock!~rock@amy.noctecserver.de none 1326100732 2 Ping timeout
    ns2 ns2!~ns2@ns2.weeba.net none 1325667125 2 Ping timeout
    kent_ kent_!~clark@mail.agenziasposito.it none 1325857003 3 kent
    hack_2 hack_2!~h@li104-200.members.linode.com none 1325864618 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
    espace espace!~espace@ns266g.espace2001.com none 1325755507 2 Read error: EOF from client
    dedibox_ dedibox_!~dedi@sd-13306.dedibox.fr none 1325865008 3 dedibox
    Damian Damian!~damian@secure.users.quakenet.org none 1325881444 2 Ping timeout
    cat_ cat_!~cc@217.151.109.103 none 1325587391 3 cat
    CO CO!~CO@static.192.170.63.178.clients.your-server.de none 1325672655 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
    CO_ CO_!~CO@static.192.170.63.178.clients.your-server.de none 1325680822 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
    cat cat!~the@siddhartha.freelancehosting.net none 1325845551 2 Ping timeout
    cool^ cool^!~cool@194.106.175.170 none 1326104714 2 Ping timeout
    Alias Alias!~alias@75-149-221-249-Illinois.hfc.comcastbusiness.net none 1326137869 2 Ping timeout
    
    Je to na serveru od 3. ledna 2012. Podle adresáře, kde to bylo, odhaduju, že byl napadený plugin squirrelmailu, který zajišťuje autorespond/forward.
    10.1.2012 09:10 CET
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Jo, presne, tak tohle znam:) To je hacker:) Uz mas server soucasti IRC botneta:)

    Zkontroluj a smaz veci v /var/spool/cron/crontabs a taky koukni do /etc/cron*, jestli tam neni neco, co tam nepatri, smaz (nebo presun pro pozdejsi analyzu) ten .m

    Proste se tam nekdo dostal, svuj irc bot pojmenoval jako sshd, aby to vypadalo jako normalni proces a pak se pripojil na IRC. Obvykle se to pozna prave tim schovanym adresarem a nejakym systemovym procesem (cron, sshd...), kterej bezi z "divnyho" adresare.
    10.1.2012 12:27 jan.rok | skóre: 17
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Udělal jsem vše dle rady. Průběžně sleduju pomocí
    netstat -netap
    komunikaci serveru s okolím a zatím tam nic podezřelého není. snad už to bude v pořádku. Děkuji všem za rady. JR
    10.1.2012 16:37 Ĺupex
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Váš server byl rootnut. Jediná cesta je kompletní reinstalace, už proto, že byly pravděpodobně upraveny knihovny a otevřeny další backdoory, takže zcela jistě se to bude opakovat, i posmazání těchle adresářů.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.