abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Projekt Patina, implementace UEFI firmwaru v Rustu
    včera 15:44 | Zajímavý software

    Iniciativa Open Device Partnership (ODP) nedávno představila projekt Patina. Jedná se o implementaci UEFI firmwaru v Rustu. Vývoj probíhá na GitHubu. Zdrojové kódy jsou k dispozici pod licencí Apache 2.0. Nejnovější verze Patiny je 13.0.0.

    Ladislav Hagara | Komentářů: 0
    Datacentra využívají pro napájení AI staré proudové motory
    včera 05:11 | Zajímavý článek

    Obrovská poptávka po plynových turbínách zapříčinila, že datová centra začala používat v generátorech dodávajících energii pro provoz AI staré dobré proudové letecké motory, konvertované na plyn. Jejich výhodou je, že jsou menší, lehčí a lépe udržovatelné než jejich průmyslové protějšky. Proto jsou ideální pro dočasné nebo mobilní použití.

    karkar | Komentářů: 2
    Typst 0.14
    24.10. 19:55 | Nová verze

    Typst byl vydán ve verzi 0.14. Jedná se o rozšiřitelný značkovací jazyk a překladač pro vytváření dokumentů včetně odborných textů s matematickými vzorci, diagramy či bibliografií.

    Ladislav Hagara | Komentářů: 0
    Malware se maskuje za aplikaci ČNB, útočníci pak pomocí NFC technologie vybírají peníze z bankomatů
    24.10. 13:33 | Bezpečnostní upozornění

    Specialisté společnosti ESET zaznamenali útočnou kampaň, která cílí na uživatele a uživatelky v Česku a na Slovensku. Útočníci po telefonu zmanipulují oběť ke stažení falešné aplikace údajně od České národní banky (ČNB) nebo Národní banky Slovenska (NBS), přiložení platební karty k telefonu a zadání PINu. Malware poté v reálném čase přenese data z karty útočníkovi, který je bezkontaktně zneužije u bankomatu nebo na platebním terminálu.

    Ladislav Hagara | Komentářů: 10
    Nefunkční automatická aktualizace Ubuntu 25.10
    24.10. 13:22 | Upozornění

    V Ubuntu 25.10 byl balíček základních nástrojů gnu-coreutils nahrazen balíčkem rust-coreutils se základními nástroji přepsanými do Rustu. Ukázalo se, že nový "date" znefunkčnil automatickou aktualizaci. Pro obnovu je nutno balíček rust-coreutils manuálně aktualizovat.

    Ladislav Hagara | Komentářů: 9
    VST 3 nově pod licencí MIT
    24.10. 04:55 | Komunita

    VST 3 je nově pod licencí MIT. S verzí 3.8.0 proběhlo přelicencování zdrojových kódů z licencí "Proprietary Steinberg VST3 License" a "General Public License (GPL) Version 3". VST (Virtual Studio Technology, Wikipedie) je softwarové rozhraní pro komunikaci mezi hostitelským programem a zásuvnými moduly (pluginy), kde tyto moduly slouží ke generování a úpravě digitálního audio signálu.

    Ladislav Hagara | Komentářů: 1
    Open 3D Engine (O3DE) 25.10
    24.10. 03:22 | Nová verze

    Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 25.10. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Ubuntu Summit 25.10
    23.10. 20:11 | Komunita

    V Londýně probíhá dvoudenní Ubuntu Summit 25.10. Na programu je řada zajímavých přednášek. Zhlédnout je lze také na YouTube (23. 10. a 24. 10.).

    Ladislav Hagara | Komentářů: 0
    Gemini CLI 0.10.0
    23.10. 13:22 | Nová verze

    Gemini CLI umožňuje používání AI Gemini přímo v terminálu. Vydána byla verze 0.10.0.

    Ladislav Hagara | Komentářů: 0
    Konference OpenAlt 2025 již příští víkend 1. a 2. listopadu v Brně
    23.10. 12:55 | Pozvánky

    Konference OpenAlt 2025 proběhne již příští víkend 1. a 2. listopadu v Brně. Nabídne přibližně 80 přednášek a workshopů rozdělených do 7 tematických tracků. Program se může ještě mírně měnit až do samotné konference, a to s ohledem na opožděné úpravy abstraktů i případné podzimní virózy. Díky partnerům je vstup na konferenci zdarma. Registrace není nutná. Vyplnění formuláře však pomůže s lepším plánováním dalších ročníků konference.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (35%)
     (48%)
     (20%)
     (20%)
     (24%)
     (18%)
     (21%)
     (18%)
     (18%)
    Celkem 268 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Jak chápat výpis tcpdump
    Štítky: ano, C, proces, programování, server, sítě, tcpdump

    Dotaz: Jak chápat výpis tcpdump

    9.1.2012 14:06 jan.rok | skóre: 21
    Jak chápat výpis tcpdump
    Přečteno: 1544×
    Zdravím ,

    ve výpisu tcpdump se mi objevuje toto: 
    14:00:01.936182 IP 64-68-192-210.host.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  22268*- 1/4/8 A ns2.easydns.com (318)
14:00:01.942881 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  30704*-| 0/0/0 (45)
14:00:01.944848 IP c.tld.sk.domain > mujserver.mojedomena.cz.filenet-rpc:  14604- 0/2/3 (110)
14:00:01.945028 IP mujserver.mojedomena.cz.filenet-rpc > stan.oneemedia.com.domain:  59102% [1au] A? ns1.mojhosting.sk. (46)
14:00:01.945207 IP c.tld.sk.domain > mujserver.mojedomena.cz.filenet-rpc:  62897- 0/2/3 (110)
14:00:01.945346 IP mujserver.mojedomena.cz.filenet-rpc > stan.oneemedia.com.domain:  56404% [1au] A? ns2.mojhosting.sk. (46)
14:00:01.948310 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  38723*-| 0/0/0 (45)
14:00:01.957644 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  29393*-| 0/0/0 (46)
14:00:01.979412 IP stan.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  59102* 1/2/2 A stan.oneemedia.com (110)
14:00:01.979579 IP mujserver.mojedomena.cz.filenet-rpc > kenny.oneemedia.com.domain:  42529 [1au] PTR? 203.128/25.244.240.92.in-addr.arpa. (63)
14:00:01.979775 IP stan.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  56404* 1/2/2 A kenny.oneemedia.com (110)
14:00:01.992717 IP kenny.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  42529* 1/2/3 (178)
14:00:01.994239 IP mujserver.mojedomena.cz.filenet-rpc > pri.authdns.ripe.net.domain:  45240 [1au] PTR? 1.16.6.193.in-addr.arpa. (52)
14:00:02.015805 IP pri.authdns.ripe.net.domain > mujserver.mojedomena.cz.filenet-rpc:  45240- 0/6/1 (373)
14:00:02.016073 IP mujserver.mojedomena.cz.filenet-rpc > ns5.univie.ac.at.domain:  7826 [1au] PTR? 1.16.6.193.in-addr.arpa. (52)
14:00:02.016135 IP mujserver.mojedomena.cz.filenet-rpc > hu1.dnsnode.net.domain:  36909% [1au] A? ns2.iif.hu. (39)
14:00:02.016186 IP mujserver.mojedomena.cz.filenet-rpc > hu1.dnsnode.net.domain:  29330% [1au] A? ns2.sztaki.hu. (42)
14:00:02.026839 IP ns5.univie.ac.at.domain > mujserver.mojedomena.cz.filenet-rpc:  7826- 0/3/5 (207)
    Ve skutečnosti je tam toho mnohem víc. Jak tomu mám rozumět? Znamená to, že server se pokouší komunikovat s náhodnými servery pomocí nějakého protokolu "filenet-rpc"? A pokud ano, jak zjistím proces, který to vyvolává?

    Děkuji. JR

    Řešení dotazu:

    Nástroje: Začni sledovat (4) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    9.1.2012 14:28 l4m4
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Najít to v netstat -p.
    9.1.2012 14:48 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Nemůže být problém v tomto: 
    tcp        0      0 192.168.1.2:56748       194.109.129.222:6667    ESTABLISHED 20376/sshd:
    Server má IP=192.168.1.2

    Když ten proces ukončím, za chvíli se nastartuje nový na jinou IP a na jiném portu.
    9.1.2012 14:31 radek
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Zkus nethogs pro vypsání kolik / co bere bandwith popř. ntop
    9.1.2012 15:02 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    no podle toho dumpu to vypadá, že spíš ty ostatní servery komunikují s ním :) teda že na tvém serveru poslouchá nějaký proces na protokolu filenet-rpc a ostatní servery s ním vesele komunikují. Pak by ti netstat měl prozradit, jaký proces na tomto portu visí.
    9.1.2012 15:13 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    jedna se o DNS resolving (zdrojovy port se holt vybral z registrovanych jmen - nic to neznamena)
    9.1.2012 15:17 tomk
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Podle vseho jsou to DNS dotazy mirici z Tveho serveru na DNS servery, pripadne odpovedi DNS serveru. Druha strana je vzdy domain(53) a v obsahu packetu jsou take videt data odpovidajici dotazum a odpovedem. Na strane Tveho serveru se pro takove dotazy vybere volny port vetsi nez 1024, kterym proste zrovna je port "filenet-rpc" (v /etc/services by melo jit zjistit, jake ma cislo).

    Doporucuju predchazet zmateni a tcpdump so poustet s -nn

    Tomas
    9.1.2012 15:55 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Díky, teď už tomu rozumím, zmátla mě jména portů.

    Pak už mi v komunikaci vadí jen ten cílový port 6667 (viz výše). Pomocí netstat jsem zjistil, že to používá sshd, ale z mého serveru by se nic nikam pomocí ssh připojovat nemělo.
    9.1.2012 16:04 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    a nepouzivas ssh tunneling? treba pro protunelovani irc apod (na quakenet.xs4all.nl)?
    9.1.2012 16:10 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Jednoduše odpovězeno: nevím :-) Server jsem zdědil a teprve zjišťuju, co a jak. Nevím sice, proč by to na serveru mělo být, ale prověřím to. Díky.
    9.1.2012 16:13 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    ok, pokud chces zakazat tunneling over ssh, tak v konfiguraku sshd zmen z AllowTcpForwarding yes X11Forwarding yes

    na

    AllowTcpForwarding no X11Forwarding no

    a zrestartuj sshd
    9.1.2012 16:25 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Oba parametry jsem zakázal, sshd restartoval, ale nepomohlo to. Divné je, že když sshd zastavím, tak status ukazuje stále "running".
    9.1.2012 17:34 Matlák
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Prozatím můžeš zakázat spojení s touto adresou a portem pomocí iptables. Pokud vyroste někde jiné na jinou adresu či port, můžeš si být jistý že ten server je nakopnutý :-)
    9.1.2012 18:02 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Je tam jen spojení na quakenet.xs4all.nl.

    Když killnu ten proces sshd, který vyvolává spojení na quakenet.xs4all.nl:6667, tak se za chvíli nastartuje znovu.
    9.1.2012 20:57 rt
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    lsof -p "cislo_procesu"
    9.1.2012 21:12 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Děkuji! Je tam vidět toto: 
    supr:~ # lsof -p 11080
COMMAND   PID   USER   FD   TYPE DEVICE    SIZE     NODE NAME
sshd:   11080 wwwrun  cwd    DIR    8,2    4096  1164207 /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m
sshd:   11080 wwwrun  rtd    DIR    8,2    4096        2 /
sshd:   11080 wwwrun  txt    REG    8,2  152108  1164213 /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m/sshd:
sshd:   11080 wwwrun  mem    REG    0,0                0 [heap] (stat: No such file or directory)
sshd:   11080 wwwrun  DEL    REG    8,2         17762149 /var/run/nscd/dbUqVduq
sshd:   11080 wwwrun  mem    REG    8,2 1433557 16891922 /lib/libc-2.4.so
sshd:   11080 wwwrun  mem    REG    8,2  129557 16892104 /lib/ld-2.4.so
sshd:   11080 wwwrun    0u  IPv4  30665              TCP supr.prak.cz:43957->quakenet.xs4all.nl:6667 (ESTABLISHED)
sshd:   11080 wwwrun    3u  IPv4  30016              UDP *:32781
sshd:   11080 wwwrun    8u  sock    0,5            30005 can't identify protocol
    V té složce 
    /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m
    jsou velmi podivné věci: 
    -rwx--x--x 1 wwwrun www    174 Jan  9 21:00 1
-rwxr-xr-x 1 wwwrun www    323 Jan 13  2011 autorun
-rw-r--r-- 1 wwwrun www   1295 Jan  3 08:15 cat.seen
-rw-r--r-- 1 wwwrun www    107 Jan  2 20:07 cron.d
-rw-r--r-- 1 wwwrun www   1217 Jan  9 21:00 cz.seen
-rw-r--r-- 1 wwwrun www     74 Jan  2 20:07 mech.dir
-rw-r--r-- 1 wwwrun www   1064 Jan  9 21:00 mech.levels
-rw------- 1 wwwrun www      6 Jan  9 17:54 mech.pid
-rw-r--r-- 1 wwwrun www    312 Jan  9 21:00 mech.session
-rwx--x--x 1 wwwrun www    531 Jan 12  2011 mech.set
-rwxr-xr-x 1 wwwrun www     27 Jan 12  2011 run
-rwx--x--x 1 wwwrun www 152108 Jan 12  2011 sshd:
-rwxr-xr-x 1 wwwrun www     17 Nov  5  2008 start
-rwx--x--x 1 wwwrun www  15195 Sep  2  2004 std
-rwxr--r-- 1 wwwrun www    355 Jan  2 20:07 update
    To vypadá na nějaké napadení serveru.
    9.1.2012 22:51 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    A toto je výpis obsahu např. souboru cz.seen: 
    t2 t2!~t2@93-103-128-102.static.t-2.net none 1326133827 2 Read error: Operation timed out
rock rock!~rock@amy.noctecserver.de none 1326100732 2 Ping timeout
ns2 ns2!~ns2@ns2.weeba.net none 1325667125 2 Ping timeout
kent_ kent_!~clark@mail.agenziasposito.it none 1325857003 3 kent
hack_2 hack_2!~h@li104-200.members.linode.com none 1325864618 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
espace espace!~espace@ns266g.espace2001.com none 1325755507 2 Read error: EOF from client
dedibox_ dedibox_!~dedi@sd-13306.dedibox.fr none 1325865008 3 dedibox
Damian Damian!~damian@secure.users.quakenet.org none 1325881444 2 Ping timeout
cat_ cat_!~cc@217.151.109.103 none 1325587391 3 cat
CO CO!~CO@static.192.170.63.178.clients.your-server.de none 1325672655 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
CO_ CO_!~CO@static.192.170.63.178.clients.your-server.de none 1325680822 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
cat cat!~the@siddhartha.freelancehosting.net none 1325845551 2 Ping timeout
cool^ cool^!~cool@194.106.175.170 none 1326104714 2 Ping timeout
Alias Alias!~alias@75-149-221-249-Illinois.hfc.comcastbusiness.net none 1326137869 2 Ping timeout
    Je to na serveru od 3. ledna 2012. Podle adresáře, kde to bylo, odhaduju, že byl napadený plugin squirrelmailu, který zajišťuje autorespond/forward.
    10.1.2012 09:10 CET
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Jo, presne, tak tohle znam:) To je hacker:) Uz mas server soucasti IRC botneta:)

    Zkontroluj a smaz veci v /var/spool/cron/crontabs a taky koukni do /etc/cron*, jestli tam neni neco, co tam nepatri, smaz (nebo presun pro pozdejsi analyzu) ten .m

    Proste se tam nekdo dostal, svuj irc bot pojmenoval jako sshd, aby to vypadalo jako normalni proces a pak se pripojil na IRC. Obvykle se to pozna prave tim schovanym adresarem a nejakym systemovym procesem (cron, sshd...), kterej bezi z "divnyho" adresare.
    10.1.2012 12:27 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Udělal jsem vše dle rady. Průběžně sleduju pomocí 
    netstat -netap
    komunikaci serveru s okolím a zatím tam nic podezřelého není. snad už to bude v pořádku. Děkuji všem za rady. JR
    10.1.2012 16:37 Ĺupex
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Váš server byl rootnut. Jediná cesta je kompletní reinstalace, už proto, že byly pravděpodobně upraveny knihovny a otevřeny další backdoory, takže zcela jistě se to bude opakovat, i posmazání těchle adresářů.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.