abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 13:11 | Nová verze

Po téměř dvou letech byla vydána nová verze 4.0 linuxové distribuce Audiophile Linux (též AP-Linux-V4). Tato distribuce vychází z Arch Linuxu, používá systemd, správce oken Fluxbox a vlastní real-time jádro pro nižší latence. Z novinek můžeme jmenovat podporu nových procesorů Intel Skylake a Kaby Lake nebo možnost instalace vedle jiných OS na stejný disk. Pokud se zajímáte o přehrávání hudby v Linuxu, doporučuji návštěvu webu této

… více »
Blaazen | Komentářů: 0
27.4. 18:55 | Nová verze

Byla vydána nová stabilní verze 1.9 (1.9.818.44) webového prohlížeče Vivaldi (Wikipedie). Z novinek vývojáři zdůrazňují podporu nového vyhledávače Ecosia. Ten z příjmů z reklam podporuje výsadbu stromů po celém světě (YouTube). Nově lze přeskupovat ikonky rozšíření nebo řadit poznámky. Nejnovější Vivaldi je postaveno na Chromiu 58.0.3029.82.

Ladislav Hagara | Komentářů: 19
27.4. 17:00 | Nová verze

Byla vydána verze 3.7.0 svobodného systému pro správu obsahu (CMS) Joomla!. V oznámení o vydání (YouTube) se píše o 700 vylepšeních. Opraveno bylo také 8 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
27.4. 08:22 | Komunita

Grsecurity (Wikipedie) je sada bezpečnostních patchů pro linuxové jádro (porovnání se SELinuxem, AppArmorem a KSPP). Od září 2015 nejsou stabilní verze těchto patchů volně k dispozici. Dle včerejšího oznámení (FAQ) nejsou s okamžitou platností volně k dispozici už ani jejich testovací verze.

Ladislav Hagara | Komentářů: 60
26.4. 23:33 | Komunita

OpenBSD 6.1 vyšlo již 11. dubna. Po dvou týdnech byla vydána i oficiální píseň. Její název je Winter of 95 a k dispozici je ve formátech MP3 a OGG.

Ladislav Hagara | Komentářů: 0
26.4. 18:55 | Nová verze

Byla vydána verze 2017.1 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux. S vydáním verze 2016.1 se Kali Linux stal průběžně aktualizovanou distribucí. Aktualizovat jej lze pomocí příkazů "apt update; apt dist-upgrade; reboot".

Ladislav Hagara | Komentářů: 0
26.4. 18:22 | Nová verze

Po téměř pěti letech od vydání verze 2.00 byla vydána nová stabilní verze 2.02 systémového zavaděče GNU GRUB (GRand Unified Bootloader). Přehled novinek v souboru NEWS.

Ladislav Hagara | Komentářů: 24
26.4. 17:55 | Komunita

Vývojáři Debianu oznámili, že od 1. listopadu letošního roku nebudou jejich archivy dostupné pomocí protokolu FTP. Již v lednu oznámil ukončení podpory FTP kernel.org (The Linux Kernel Archives).

Ladislav Hagara | Komentářů: 28
26.4. 17:00 | Bezpečnostní upozornění

V oblíbeném webmailu postaveném na PHP SquirrelMail (Wikipedie) byla nalezena bezpečnostní chyba CVE-2017-7692, jež může být útočníkem zneužita ke spuštění libovolných příkazů a kompletnímu ovládnutí dotčeného serveru. Zranitelnost se týká pouze instancí, kde je pro transport používán Sendmail.

Ladislav Hagara | Komentářů: 3
26.4. 13:11 | Zajímavý článek

Soudní dvůr Evropské unie rozhodl (tisková zpráva) ve věci C-527/15: Prodej multimediálního přehrávače, který umožňuje zdarma a jednoduše zhlédnout na televizní obrazovce filmy protiprávně zpřístupněné na internetu, může představovat porušení autorského práva.

Ladislav Hagara | Komentářů: 32
Chystáte se pořídit CPU AMD Ryzen?
 (4%)
 (34%)
 (1%)
 (6%)
 (45%)
 (9%)
Celkem 340 hlasů
 Komentářů: 50, poslední 27.4. 04:06
    Rozcestník

    Dotaz: Průnik do webserveru :(

    29.8.2005 15:12 Rover | skóre: 10
    Průnik do webserveru :(
    Přečteno: 149×
    Zdravím, dneska jsme zaznamenali problém s počtem odeslaných paketů z našeho webserveru. Výpisem procesů jsem zjistil, že se spustili perlovské skritpy, které posílají cca 8000paketů/s na určitou ip adresu na port 80.

    ps ax -vypadal takto:

    sh -c cd /tmp;perl sbyte.t 67.43.159.2 80 99999999999 0 2>&1

    sh -c cd /tmp;perl sbyte.t 72.20.3.74 80 99999999999 16 2>&1

    ... z logů jsem zjistil, že byl tento(a ještě 3 další) nakopírovány z ip 195.213.50.200

    výpis logu apache

    --11:20:39-- http://www.asf.toscana.it/tmp/conback.pl => `conback.pl'

    Resolving www.asf.toscana.it... 159.213.50.200

    Connecting to www.asf.toscana.it[159.213.50.200]:80... connected.

    HTTP request sent, awaiting response... 200 OK Length: 1,100 [text/x-perl]

    OK . 100% 10.49 MB/s

    11:20:39 (10.49 MB/s) - `conback.pl' saved [1100/1100]

    -toto mi příjde, jako stažení pomocí wget. Nic víc jsem z logů nenašel,,, Pomocí ssh se na server nepřihlásil.

    Netušíte, kudy mohl útočník nahrát tyto skripty a hlavně jak je spustil??? Celkem by nám pomotal hlavu, kdyby nechal smazat celý adresář /var/www :(

    Odpovědi

    29.8.2005 16:35 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Nicmene pochybuji, ze panum fungoval ten bindshell ;), kdyz v conback.pl maji toto:
    open(STDIN, ">&SOCKET");
    open(STDOUT, ">&SOCKET");
    
    29.8.2005 19:10 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Tak koukám, že někdo opravdu už toto viděl a zažil....

    kdybyste chtěli, dám skripty conback.pl a sbyte.t k nahlédnutí...

    --Nejvíce by mě zajímalo, jak to tam dostali a jak to spustili? Ihned jsem aktualizoval Apache i perlové věcičky...
    29.8.2005 19:41 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Ne, nezazil ani nevidel (vlaste jednou ano, ale to byl cizi stroj, kde bylo _velmi_ slabe heslo).

    Ten connback.pl jsem vytahnul z URL ve vasem postu. Nicmene sbyte.t by me zajimal. Podle popisu to vypada na DDoS utok.

    Kudy se tam dosali? Na to jste poskytnul malo informaci. Existuji v zasade dve moznosti. Bud vyuzili nejakou chybu typu buffer overflow v nejake webove aplikaci (pak ale ta aplikace musela byt dostatecne znama -- napr. phpBB).

    Nebo a to bych videl jako pravdepodobnejsi, mate chybu ve vasich perlovych skriptech (napr. escapovany shellovy prikaz ve zpetnych apostofech ze vstupu -- BTW, pouzivate tainted modul?). Na to by ukazoval vystup, ktery jste nasel v httpd logu -- stderr vystup vaseho skriptu, ktery spustil wget. Byl to vas skript (apache hlasi nazev skriptu, ktery produkuje chybovy vystup)?
    29.8.2005 20:07 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    DoS útok to je na 100% akorát, že náš server byl využit jako hostitelský stroj, ze kterého útok byl páchán.

    Moc se bohužel v typech průniků nevyznám. V logu u toho překopírování nic jiného není. Třeba náznak který skript to byl -opravdu nic. Perlové skripty používám málokdy. Vlastní přístupné z webu nemám, pouze ty komerční (cricket,smokeping...), ale ty počítám že zásadní chybu ve skriptu nemají.

    Z modulů apache používám:

    config_log_module, mime_module, negotiation_module, status_module, includes_module, autoindex_module, dir_module, cgi_module, speling_module, userdir_module, alias_module, rewrite_module, access_module, auth_module, expires_module, unique_id_module, setenvif_module, dav_module, php4_module

    pokuď máte zájem o ten druhý sbyte.t skript, dejte mi mailovku -pošlu Vám to. (teda pokuď to neobrátíte proti mě :) )
    29.8.2005 20:28 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Za ten log se omlouvam, ted jsem si to overoval, a apache do error_logu opravdu (defaulne) nepise nazev skriptu, ktery neco vypoti na stderr. Kazdopadne jsem tam videl u vas cas. Podivejte se do access_logu na stejny cas. Najdete te tam vsechny http pozadavky, takze i nazvy skriptu, ktere byly pres HTTP volany.

    Tim tainted modulem jsem myslel perlovsky modul, ktery dokaze hlidat pohyb dat po skriptu a napr. odmine spustit prikaz, ktery pochazi ze vstupu od uzivatele.

    Kazdopadne, pokud nenajdete bezpecnosti chybu, doporucuji uktualizovat veskery sofwtare, ktery je volan z webovych skriptu a stroj po nejakou dobu hlidat. Pripadne napiste spravcovi site, ze ktere jste byl hacknut (pokud na to prijdete), protoze pravdepodobne i on byl kompromitovan.
    29.8.2005 20:45 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Do access_logu jsem se už díval a žádný skript v tu dobu se nezpouštěl... to vypadá, že se nedostal přes web server :/ ... dále jsem zjistil z výpisu služeb, že byl spuštěn "časovač" - už si to přesně nepamatuji ale něco jako "sleep 9999999 && perl sbyte.t IP.add.rre.sa 999999999 80 &" to znamená, že se to mohlo spustit o několik hodin později.... a být zapsáno do logu někdy kdysi před pár dny :/

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.