abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Shotcut 26.6.25
    dnes 05:00 | Nová verze

    Byla vydána nová verze 26.6.25 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Shotcut je vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

    Ladislav Hagara | Komentářů: 0
    Apple odstranil ze svého obchodu sociální síť VKontaktě
    včera 14:44 | IT novinky

    Apple bez varování odstranil ze svého obchodu sociální síť VKontaktě i další aplikace skupiny VK, jako je VK Music nebo VK Video [Novinky.cz].

    Ladislav Hagara | Komentářů: 4
    Notion Mail bude 22. září ukončen
    včera 14:22 | IT novinky

    V dubnu loňského roku představený poštovní klient Notion Mail bude 22. září ukončen.

    Ladislav Hagara | Komentářů: 2
    Konference OpenAlt 2026 hledá přednášející
    včera 04:33 | Komunita

    Konference OpenAlt 2026 hledá přednášející. Proběhne o víkendu 7. a 8. listopadu na půdě Fakulty informačních technologií VUT v Brně. Témata konference jsou: Otevřený a svobodný software, IoT a Hnutí tvůrců, Vzdělávání, Bezpečnost a soukromí, Otevřená společnost, komunity a data, OpenMobility a další.

    Ladislav Hagara | Komentářů: 0
    Jalapeño, čip optimalizovaný pro AI od společností OpenAI a Broadcom
    včera 04:22 | IT novinky

    Společnosti OpenAI a Broadcom oznámily čip optimalizovaný pro AI pojmenovaný Jalapeño.

    Ladislav Hagara | Komentářů: 0
    Deno 2.9 s deno desktop
    25.6. 20:22 | Nová verze

    Deno (Wikipedie), běhové prostředí (runtime) pro JavaScript, TypeScript a WebAssembly, bylo vydáno v nové verzi 2.9. Hlavní novinkou je deno desktop pro převod Deno projektu na desktopovou aplikaci. Jedná se o alternativu k frameworkům Electron nebo Tauri.

    Ladislav Hagara | Komentářů: 2
    Datové schránky na datovka.gov.cz
    25.6. 15:44 | IT novinky

    Od zítra jsou Datové schránky oficiálně na nové adrese datovka.gov.cz. Adresa mojedatovaschranka.cz zůstává funkční do 27. srpna 2026, následně budou uživatelé automaticky přesměrováni na datovka.gov.cz.

    Ladislav Hagara | Komentářů: 3
    Emulátor Dolphin 2606
    25.6. 13:44 | Nová verze

    Dolphin (Wikipedie), tj. open source multiplatformní emulátor herních konzolí GameCube a Wii od Nintenda, byl vydán ve verzi 2606. S podporou Game Boy Playeru.

    Ladislav Hagara | Komentářů: 0
    debvulns, alternativa k debsecan
    25.6. 11:11 | Zajímavý software

    Vasudeva Kamath představil utilitu debvulns, alternativu k nativní utilitě debsecan, pro výpis zranitelností v Debianu. Navíc má především možnost výstupu ve strukturovaných formátech JSON a CSV. V plánu je exportér pro Prometheus.

    Ladislav Hagara | Komentářů: 0
    Oficiální český státní eshop s elektronickými dálničními známkami nově na edalnice.gov.cz
    24.6. 21:44 | IT novinky

    Oficiální český státní eshop s elektronickými dálničními známkami nově najdete na edalnice.gov.cz. Doména gov.cz jasně potvrzuje, že jste na oficiálním státním webu [𝕏].

    Ladislav Hagara | Komentářů: 27
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (8%)
     (2%)
     (17%)
     (31%)
     (3%)
     (6%)
     (2%)
     (15%)
     (26%)
    Celkem 1997 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Jak chápat výpis tcpdump
    Štítky: ano, C, proces, programování, server, sítě, tcpdump


    Dotaz: Jak chápat výpis tcpdump

    9.1.2012 14:06 jan.rok | skóre: 21
    Jak chápat výpis tcpdump
    Přečteno: 1571×
    Zdravím ,

    ve výpisu tcpdump se mi objevuje toto: 
    14:00:01.936182 IP 64-68-192-210.host.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  22268*- 1/4/8 A ns2.easydns.com (318)
14:00:01.942881 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  30704*-| 0/0/0 (45)
14:00:01.944848 IP c.tld.sk.domain > mujserver.mojedomena.cz.filenet-rpc:  14604- 0/2/3 (110)
14:00:01.945028 IP mujserver.mojedomena.cz.filenet-rpc > stan.oneemedia.com.domain:  59102% [1au] A? ns1.mojhosting.sk. (46)
14:00:01.945207 IP c.tld.sk.domain > mujserver.mojedomena.cz.filenet-rpc:  62897- 0/2/3 (110)
14:00:01.945346 IP mujserver.mojedomena.cz.filenet-rpc > stan.oneemedia.com.domain:  56404% [1au] A? ns2.mojhosting.sk. (46)
14:00:01.948310 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  38723*-| 0/0/0 (45)
14:00:01.957644 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  29393*-| 0/0/0 (46)
14:00:01.979412 IP stan.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  59102* 1/2/2 A stan.oneemedia.com (110)
14:00:01.979579 IP mujserver.mojedomena.cz.filenet-rpc > kenny.oneemedia.com.domain:  42529 [1au] PTR? 203.128/25.244.240.92.in-addr.arpa. (63)
14:00:01.979775 IP stan.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  56404* 1/2/2 A kenny.oneemedia.com (110)
14:00:01.992717 IP kenny.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  42529* 1/2/3 (178)
14:00:01.994239 IP mujserver.mojedomena.cz.filenet-rpc > pri.authdns.ripe.net.domain:  45240 [1au] PTR? 1.16.6.193.in-addr.arpa. (52)
14:00:02.015805 IP pri.authdns.ripe.net.domain > mujserver.mojedomena.cz.filenet-rpc:  45240- 0/6/1 (373)
14:00:02.016073 IP mujserver.mojedomena.cz.filenet-rpc > ns5.univie.ac.at.domain:  7826 [1au] PTR? 1.16.6.193.in-addr.arpa. (52)
14:00:02.016135 IP mujserver.mojedomena.cz.filenet-rpc > hu1.dnsnode.net.domain:  36909% [1au] A? ns2.iif.hu. (39)
14:00:02.016186 IP mujserver.mojedomena.cz.filenet-rpc > hu1.dnsnode.net.domain:  29330% [1au] A? ns2.sztaki.hu. (42)
14:00:02.026839 IP ns5.univie.ac.at.domain > mujserver.mojedomena.cz.filenet-rpc:  7826- 0/3/5 (207)
    Ve skutečnosti je tam toho mnohem víc. Jak tomu mám rozumět? Znamená to, že server se pokouší komunikovat s náhodnými servery pomocí nějakého protokolu "filenet-rpc"? A pokud ano, jak zjistím proces, který to vyvolává?

    Děkuji. JR

    Řešení dotazu:

    Nástroje: Začni sledovat (4) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    9.1.2012 14:28 l4m4
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Najít to v netstat -p.
    9.1.2012 14:48 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Nemůže být problém v tomto: 
    tcp        0      0 192.168.1.2:56748       194.109.129.222:6667    ESTABLISHED 20376/sshd:
    Server má IP=192.168.1.2

    Když ten proces ukončím, za chvíli se nastartuje nový na jinou IP a na jiném portu.
    9.1.2012 14:31 radek
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Zkus nethogs pro vypsání kolik / co bere bandwith popř. ntop
    9.1.2012 15:02 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    no podle toho dumpu to vypadá, že spíš ty ostatní servery komunikují s ním :) teda že na tvém serveru poslouchá nějaký proces na protokolu filenet-rpc a ostatní servery s ním vesele komunikují. Pak by ti netstat měl prozradit, jaký proces na tomto portu visí.
    9.1.2012 15:13 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    jedna se o DNS resolving (zdrojovy port se holt vybral z registrovanych jmen - nic to neznamena)
    9.1.2012 15:17 tomk
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Podle vseho jsou to DNS dotazy mirici z Tveho serveru na DNS servery, pripadne odpovedi DNS serveru. Druha strana je vzdy domain(53) a v obsahu packetu jsou take videt data odpovidajici dotazum a odpovedem. Na strane Tveho serveru se pro takove dotazy vybere volny port vetsi nez 1024, kterym proste zrovna je port "filenet-rpc" (v /etc/services by melo jit zjistit, jake ma cislo).

    Doporucuju predchazet zmateni a tcpdump so poustet s -nn

    Tomas
    9.1.2012 15:55 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Díky, teď už tomu rozumím, zmátla mě jména portů.

    Pak už mi v komunikaci vadí jen ten cílový port 6667 (viz výše). Pomocí netstat jsem zjistil, že to používá sshd, ale z mého serveru by se nic nikam pomocí ssh připojovat nemělo.
    9.1.2012 16:04 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    a nepouzivas ssh tunneling? treba pro protunelovani irc apod (na quakenet.xs4all.nl)?
    9.1.2012 16:10 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Jednoduše odpovězeno: nevím :-) Server jsem zdědil a teprve zjišťuju, co a jak. Nevím sice, proč by to na serveru mělo být, ale prověřím to. Díky.
    9.1.2012 16:13 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    ok, pokud chces zakazat tunneling over ssh, tak v konfiguraku sshd zmen z AllowTcpForwarding yes X11Forwarding yes

    na

    AllowTcpForwarding no X11Forwarding no

    a zrestartuj sshd
    9.1.2012 16:25 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Oba parametry jsem zakázal, sshd restartoval, ale nepomohlo to. Divné je, že když sshd zastavím, tak status ukazuje stále "running".
    9.1.2012 17:34 Matlák
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Prozatím můžeš zakázat spojení s touto adresou a portem pomocí iptables. Pokud vyroste někde jiné na jinou adresu či port, můžeš si být jistý že ten server je nakopnutý :-)
    9.1.2012 18:02 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Je tam jen spojení na quakenet.xs4all.nl.

    Když killnu ten proces sshd, který vyvolává spojení na quakenet.xs4all.nl:6667, tak se za chvíli nastartuje znovu.
    9.1.2012 20:57 rt
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    lsof -p "cislo_procesu"
    9.1.2012 21:12 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Děkuji! Je tam vidět toto: 
    supr:~ # lsof -p 11080
COMMAND   PID   USER   FD   TYPE DEVICE    SIZE     NODE NAME
sshd:   11080 wwwrun  cwd    DIR    8,2    4096  1164207 /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m
sshd:   11080 wwwrun  rtd    DIR    8,2    4096        2 /
sshd:   11080 wwwrun  txt    REG    8,2  152108  1164213 /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m/sshd:
sshd:   11080 wwwrun  mem    REG    0,0                0 [heap] (stat: No such file or directory)
sshd:   11080 wwwrun  DEL    REG    8,2         17762149 /var/run/nscd/dbUqVduq
sshd:   11080 wwwrun  mem    REG    8,2 1433557 16891922 /lib/libc-2.4.so
sshd:   11080 wwwrun  mem    REG    8,2  129557 16892104 /lib/ld-2.4.so
sshd:   11080 wwwrun    0u  IPv4  30665              TCP supr.prak.cz:43957->quakenet.xs4all.nl:6667 (ESTABLISHED)
sshd:   11080 wwwrun    3u  IPv4  30016              UDP *:32781
sshd:   11080 wwwrun    8u  sock    0,5            30005 can't identify protocol
    V té složce 
    /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m
    jsou velmi podivné věci: 
    -rwx--x--x 1 wwwrun www    174 Jan  9 21:00 1
-rwxr-xr-x 1 wwwrun www    323 Jan 13  2011 autorun
-rw-r--r-- 1 wwwrun www   1295 Jan  3 08:15 cat.seen
-rw-r--r-- 1 wwwrun www    107 Jan  2 20:07 cron.d
-rw-r--r-- 1 wwwrun www   1217 Jan  9 21:00 cz.seen
-rw-r--r-- 1 wwwrun www     74 Jan  2 20:07 mech.dir
-rw-r--r-- 1 wwwrun www   1064 Jan  9 21:00 mech.levels
-rw------- 1 wwwrun www      6 Jan  9 17:54 mech.pid
-rw-r--r-- 1 wwwrun www    312 Jan  9 21:00 mech.session
-rwx--x--x 1 wwwrun www    531 Jan 12  2011 mech.set
-rwxr-xr-x 1 wwwrun www     27 Jan 12  2011 run
-rwx--x--x 1 wwwrun www 152108 Jan 12  2011 sshd:
-rwxr-xr-x 1 wwwrun www     17 Nov  5  2008 start
-rwx--x--x 1 wwwrun www  15195 Sep  2  2004 std
-rwxr--r-- 1 wwwrun www    355 Jan  2 20:07 update
    To vypadá na nějaké napadení serveru.
    9.1.2012 22:51 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    A toto je výpis obsahu např. souboru cz.seen: 
    t2 t2!~t2@93-103-128-102.static.t-2.net none 1326133827 2 Read error: Operation timed out
rock rock!~rock@amy.noctecserver.de none 1326100732 2 Ping timeout
ns2 ns2!~ns2@ns2.weeba.net none 1325667125 2 Ping timeout
kent_ kent_!~clark@mail.agenziasposito.it none 1325857003 3 kent
hack_2 hack_2!~h@li104-200.members.linode.com none 1325864618 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
espace espace!~espace@ns266g.espace2001.com none 1325755507 2 Read error: EOF from client
dedibox_ dedibox_!~dedi@sd-13306.dedibox.fr none 1325865008 3 dedibox
Damian Damian!~damian@secure.users.quakenet.org none 1325881444 2 Ping timeout
cat_ cat_!~cc@217.151.109.103 none 1325587391 3 cat
CO CO!~CO@static.192.170.63.178.clients.your-server.de none 1325672655 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
CO_ CO_!~CO@static.192.170.63.178.clients.your-server.de none 1325680822 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
cat cat!~the@siddhartha.freelancehosting.net none 1325845551 2 Ping timeout
cool^ cool^!~cool@194.106.175.170 none 1326104714 2 Ping timeout
Alias Alias!~alias@75-149-221-249-Illinois.hfc.comcastbusiness.net none 1326137869 2 Ping timeout
    Je to na serveru od 3. ledna 2012. Podle adresáře, kde to bylo, odhaduju, že byl napadený plugin squirrelmailu, který zajišťuje autorespond/forward.
    10.1.2012 09:10 CET
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Jo, presne, tak tohle znam:) To je hacker:) Uz mas server soucasti IRC botneta:)

    Zkontroluj a smaz veci v /var/spool/cron/crontabs a taky koukni do /etc/cron*, jestli tam neni neco, co tam nepatri, smaz (nebo presun pro pozdejsi analyzu) ten .m

    Proste se tam nekdo dostal, svuj irc bot pojmenoval jako sshd, aby to vypadalo jako normalni proces a pak se pripojil na IRC. Obvykle se to pozna prave tim schovanym adresarem a nejakym systemovym procesem (cron, sshd...), kterej bezi z "divnyho" adresare.
    10.1.2012 12:27 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Udělal jsem vše dle rady. Průběžně sleduju pomocí 
    netstat -netap
    komunikaci serveru s okolím a zatím tam nic podezřelého není. snad už to bude v pořádku. Děkuji všem za rady. JR
    10.1.2012 16:37 Ĺupex
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Váš server byl rootnut. Jediná cesta je kompletní reinstalace, už proto, že byly pravděpodobně upraveny knihovny a otevřeny další backdoory, takže zcela jistě se to bude opakovat, i posmazání těchle adresářů.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.