abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Linux Mint 22.3 Zena – Beta
    včera 05:00 | Nová verze

    Byla vydána beta verze Linux Mintu 22.3 s kódovým jménem Zena. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze, že nástroj Systémová hlášení (System Reports) získal mnoho nových funkcí a byl přejmenován na Informace o systému (System Information). Linux Mint 22.3 bude podporován do roku 2029.

    Ladislav Hagara | Komentářů: 1
    GNU Project Debugger aneb GDB 17.1
    včera 01:55 | Nová verze

    GNU Project Debugger aneb GDB byl vydán ve verzi 17.1. Podrobný přehled novinek v souboru NEWS.

    Ladislav Hagara | Komentářů: 0
    CAD soubory rámů tiskáren Prusa CORE One a CORE One L pod novou licencí OCL neboli Open Community License
    19.12. 17:22 | IT novinky

    Josef Průša oznámil zveřejnění kompletních CAD souborů rámů tiskáren Prusa CORE One a CORE One L. Nejsou vydány pod obecnou veřejnou licenci GNU ani Creative Commons ale pod novou licencí OCL neboli Open Community License. Ta nepovoluje prodávat kompletní tiskárny či remixy založené na těchto zdrojích.

    Ladislav Hagara | Komentářů: 3
    Ve Firefoxu bude existovat volba pro zakázání všech AI funkcí
    19.12. 17:00 | Komunita

    Nový CEO Mozilla Corporation Anthony Enzor-DeMeo tento týden prohlásil, že by se Firefox měl vyvinout v moderní AI prohlížeč. Po bouřlivých diskusích na redditu ujistil, že v nastavení Firefoxu bude existovat volba pro zakázání všech AI funkcí.

    Ladislav Hagara | Komentářů: 0
    V Edici CZ.NIC vychází kniha Kity, bity, neurony od Martina Malého
    19.12. 10:11 | IT novinky

    V pořadí šestou knihou autora Martina Malého, která vychází v Edici CZ.NIC, správce české národní domény, je titul Kity, bity, neurony. Kniha s podtitulem Moderní technologie pro hobby elektroniku přináší ucelený pohled na svět současných technologií a jejich praktické využití v domácích elektronických projektech. Tento knižní průvodce je ideální pro každého, kdo se chce podívat na současné trendy v oblasti hobby elektroniky, od

    … více »
    Ladislav Hagara | Komentářů: 4
    Výroční zpráva Linux Foundation za rok 2025
    19.12. 03:11 | Komunita

    Linux Foundation zveřejnila Výroční zprávu za rok 2025 (pdf). Příjmy Linux Foundation byly 311 miliónů dolarů. Výdaje 285 miliónů dolarů. Na podporu linuxového jádra (Linux Kernel Project) šlo 8,4 miliónu dolarů. Linux Foundation podporuje téměř 1 500 open source projektů.

    Ladislav Hagara | Komentářů: 0
    Novinky v Kdenlive 25.12.0
    19.12. 02:11 | Zajímavý článek

    Jean-Baptiste Mardelle se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 25.12.0 editoru videa Kdenlive (Wikipedie). Ke stažení také na Flathubu.

    Ladislav Hagara | Komentářů: 0
    OpenZFS 2.4.0
    19.12. 02:00 | Nová verze

    OpenZFS (Wikipedie), tj. implementace souborového systému ZFS pro Linux a FreeBSD, byl vydán ve verzi 2.4.0.

    Ladislav Hagara | Komentářů: 0
    Mezinárodní operace OCTOPUS a CONNECT
    19.12. 01:00 | IT novinky

    Kriminalisté z NCTEKK společně s českými i zahraničními kolegy objasnili mimořádně rozsáhlou trestnou činnost z oblasti kybernetické kriminality. V rámci operací OCTOPUS a CONNECT ukončili činnost čtyř call center na Ukrajině. V prvním případě se jednalo o podvodné investice, v případě druhém o podvodné telefonáty, při kterých se zločinci vydávali za policisty a pod legendou napadeného bankovního účtu okrádali své oběti o vysoké finanční částky.

    Ladislav Hagara | Komentářů: 8
    Instalace 5G opakovačů ve vlacích ČD je dokončena
    18.12. 14:44 | IT novinky

    Na lepší pokrytí mobilním signálem a dostupnější mobilní internet se mohou těšit cestující v Pendolinech, railjetech a InterPanterech Českých drah. Konsorcium firem ČD - Telematika a.s. a Kontron Transportation s.r.o. dokončilo instalaci 5G opakovačů mobilního signálu do jednotek Pendolino a InterPanter. Tento krok navazuje na zavedení této technologie v jednotkách Railjet z letošního jara.

    Ladislav Hagara | Komentářů: 7
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kdo vám letos nadělí dárek?
     (27%)
     (2%)
     (12%)
     (2%)
     (2%)
     (2%)
     (12%)
     (24%)
     (15%)
    Celkem 41 hlasů
     Komentářů: 14, poslední včera 19:13
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Jak chápat výpis tcpdump
    Štítky: ano, C, proces, programování, server, sítě, tcpdump

    Dotaz: Jak chápat výpis tcpdump

    9.1.2012 14:06 jan.rok | skóre: 21
    Jak chápat výpis tcpdump
    Přečteno: 1551×
    Zdravím ,

    ve výpisu tcpdump se mi objevuje toto: 
    14:00:01.936182 IP 64-68-192-210.host.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  22268*- 1/4/8 A ns2.easydns.com (318)
14:00:01.942881 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  30704*-| 0/0/0 (45)
14:00:01.944848 IP c.tld.sk.domain > mujserver.mojedomena.cz.filenet-rpc:  14604- 0/2/3 (110)
14:00:01.945028 IP mujserver.mojedomena.cz.filenet-rpc > stan.oneemedia.com.domain:  59102% [1au] A? ns1.mojhosting.sk. (46)
14:00:01.945207 IP c.tld.sk.domain > mujserver.mojedomena.cz.filenet-rpc:  62897- 0/2/3 (110)
14:00:01.945346 IP mujserver.mojedomena.cz.filenet-rpc > stan.oneemedia.com.domain:  56404% [1au] A? ns2.mojhosting.sk. (46)
14:00:01.948310 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  38723*-| 0/0/0 (45)
14:00:01.957644 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  29393*-| 0/0/0 (46)
14:00:01.979412 IP stan.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  59102* 1/2/2 A stan.oneemedia.com (110)
14:00:01.979579 IP mujserver.mojedomena.cz.filenet-rpc > kenny.oneemedia.com.domain:  42529 [1au] PTR? 203.128/25.244.240.92.in-addr.arpa. (63)
14:00:01.979775 IP stan.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  56404* 1/2/2 A kenny.oneemedia.com (110)
14:00:01.992717 IP kenny.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  42529* 1/2/3 (178)
14:00:01.994239 IP mujserver.mojedomena.cz.filenet-rpc > pri.authdns.ripe.net.domain:  45240 [1au] PTR? 1.16.6.193.in-addr.arpa. (52)
14:00:02.015805 IP pri.authdns.ripe.net.domain > mujserver.mojedomena.cz.filenet-rpc:  45240- 0/6/1 (373)
14:00:02.016073 IP mujserver.mojedomena.cz.filenet-rpc > ns5.univie.ac.at.domain:  7826 [1au] PTR? 1.16.6.193.in-addr.arpa. (52)
14:00:02.016135 IP mujserver.mojedomena.cz.filenet-rpc > hu1.dnsnode.net.domain:  36909% [1au] A? ns2.iif.hu. (39)
14:00:02.016186 IP mujserver.mojedomena.cz.filenet-rpc > hu1.dnsnode.net.domain:  29330% [1au] A? ns2.sztaki.hu. (42)
14:00:02.026839 IP ns5.univie.ac.at.domain > mujserver.mojedomena.cz.filenet-rpc:  7826- 0/3/5 (207)
    Ve skutečnosti je tam toho mnohem víc. Jak tomu mám rozumět? Znamená to, že server se pokouší komunikovat s náhodnými servery pomocí nějakého protokolu "filenet-rpc"? A pokud ano, jak zjistím proces, který to vyvolává?

    Děkuji. JR

    Řešení dotazu:

    Nástroje: Začni sledovat (4) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    9.1.2012 14:28 l4m4
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Najít to v netstat -p.
    9.1.2012 14:48 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Nemůže být problém v tomto: 
    tcp        0      0 192.168.1.2:56748       194.109.129.222:6667    ESTABLISHED 20376/sshd:
    Server má IP=192.168.1.2

    Když ten proces ukončím, za chvíli se nastartuje nový na jinou IP a na jiném portu.
    9.1.2012 14:31 radek
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Zkus nethogs pro vypsání kolik / co bere bandwith popř. ntop
    9.1.2012 15:02 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    no podle toho dumpu to vypadá, že spíš ty ostatní servery komunikují s ním :) teda že na tvém serveru poslouchá nějaký proces na protokolu filenet-rpc a ostatní servery s ním vesele komunikují. Pak by ti netstat měl prozradit, jaký proces na tomto portu visí.
    9.1.2012 15:13 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    jedna se o DNS resolving (zdrojovy port se holt vybral z registrovanych jmen - nic to neznamena)
    9.1.2012 15:17 tomk
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Podle vseho jsou to DNS dotazy mirici z Tveho serveru na DNS servery, pripadne odpovedi DNS serveru. Druha strana je vzdy domain(53) a v obsahu packetu jsou take videt data odpovidajici dotazum a odpovedem. Na strane Tveho serveru se pro takove dotazy vybere volny port vetsi nez 1024, kterym proste zrovna je port "filenet-rpc" (v /etc/services by melo jit zjistit, jake ma cislo).

    Doporucuju predchazet zmateni a tcpdump so poustet s -nn

    Tomas
    9.1.2012 15:55 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Díky, teď už tomu rozumím, zmátla mě jména portů.

    Pak už mi v komunikaci vadí jen ten cílový port 6667 (viz výše). Pomocí netstat jsem zjistil, že to používá sshd, ale z mého serveru by se nic nikam pomocí ssh připojovat nemělo.
    9.1.2012 16:04 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    a nepouzivas ssh tunneling? treba pro protunelovani irc apod (na quakenet.xs4all.nl)?
    9.1.2012 16:10 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Jednoduše odpovězeno: nevím :-) Server jsem zdědil a teprve zjišťuju, co a jak. Nevím sice, proč by to na serveru mělo být, ale prověřím to. Díky.
    9.1.2012 16:13 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    ok, pokud chces zakazat tunneling over ssh, tak v konfiguraku sshd zmen z AllowTcpForwarding yes X11Forwarding yes

    na

    AllowTcpForwarding no X11Forwarding no

    a zrestartuj sshd
    9.1.2012 16:25 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Oba parametry jsem zakázal, sshd restartoval, ale nepomohlo to. Divné je, že když sshd zastavím, tak status ukazuje stále "running".
    9.1.2012 17:34 Matlák
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Prozatím můžeš zakázat spojení s touto adresou a portem pomocí iptables. Pokud vyroste někde jiné na jinou adresu či port, můžeš si být jistý že ten server je nakopnutý :-)
    9.1.2012 18:02 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Je tam jen spojení na quakenet.xs4all.nl.

    Když killnu ten proces sshd, který vyvolává spojení na quakenet.xs4all.nl:6667, tak se za chvíli nastartuje znovu.
    9.1.2012 20:57 rt
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    lsof -p "cislo_procesu"
    9.1.2012 21:12 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Děkuji! Je tam vidět toto: 
    supr:~ # lsof -p 11080
COMMAND   PID   USER   FD   TYPE DEVICE    SIZE     NODE NAME
sshd:   11080 wwwrun  cwd    DIR    8,2    4096  1164207 /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m
sshd:   11080 wwwrun  rtd    DIR    8,2    4096        2 /
sshd:   11080 wwwrun  txt    REG    8,2  152108  1164213 /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m/sshd:
sshd:   11080 wwwrun  mem    REG    0,0                0 [heap] (stat: No such file or directory)
sshd:   11080 wwwrun  DEL    REG    8,2         17762149 /var/run/nscd/dbUqVduq
sshd:   11080 wwwrun  mem    REG    8,2 1433557 16891922 /lib/libc-2.4.so
sshd:   11080 wwwrun  mem    REG    8,2  129557 16892104 /lib/ld-2.4.so
sshd:   11080 wwwrun    0u  IPv4  30665              TCP supr.prak.cz:43957->quakenet.xs4all.nl:6667 (ESTABLISHED)
sshd:   11080 wwwrun    3u  IPv4  30016              UDP *:32781
sshd:   11080 wwwrun    8u  sock    0,5            30005 can't identify protocol
    V té složce 
    /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m
    jsou velmi podivné věci: 
    -rwx--x--x 1 wwwrun www    174 Jan  9 21:00 1
-rwxr-xr-x 1 wwwrun www    323 Jan 13  2011 autorun
-rw-r--r-- 1 wwwrun www   1295 Jan  3 08:15 cat.seen
-rw-r--r-- 1 wwwrun www    107 Jan  2 20:07 cron.d
-rw-r--r-- 1 wwwrun www   1217 Jan  9 21:00 cz.seen
-rw-r--r-- 1 wwwrun www     74 Jan  2 20:07 mech.dir
-rw-r--r-- 1 wwwrun www   1064 Jan  9 21:00 mech.levels
-rw------- 1 wwwrun www      6 Jan  9 17:54 mech.pid
-rw-r--r-- 1 wwwrun www    312 Jan  9 21:00 mech.session
-rwx--x--x 1 wwwrun www    531 Jan 12  2011 mech.set
-rwxr-xr-x 1 wwwrun www     27 Jan 12  2011 run
-rwx--x--x 1 wwwrun www 152108 Jan 12  2011 sshd:
-rwxr-xr-x 1 wwwrun www     17 Nov  5  2008 start
-rwx--x--x 1 wwwrun www  15195 Sep  2  2004 std
-rwxr--r-- 1 wwwrun www    355 Jan  2 20:07 update
    To vypadá na nějaké napadení serveru.
    9.1.2012 22:51 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    A toto je výpis obsahu např. souboru cz.seen: 
    t2 t2!~t2@93-103-128-102.static.t-2.net none 1326133827 2 Read error: Operation timed out
rock rock!~rock@amy.noctecserver.de none 1326100732 2 Ping timeout
ns2 ns2!~ns2@ns2.weeba.net none 1325667125 2 Ping timeout
kent_ kent_!~clark@mail.agenziasposito.it none 1325857003 3 kent
hack_2 hack_2!~h@li104-200.members.linode.com none 1325864618 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
espace espace!~espace@ns266g.espace2001.com none 1325755507 2 Read error: EOF from client
dedibox_ dedibox_!~dedi@sd-13306.dedibox.fr none 1325865008 3 dedibox
Damian Damian!~damian@secure.users.quakenet.org none 1325881444 2 Ping timeout
cat_ cat_!~cc@217.151.109.103 none 1325587391 3 cat
CO CO!~CO@static.192.170.63.178.clients.your-server.de none 1325672655 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
CO_ CO_!~CO@static.192.170.63.178.clients.your-server.de none 1325680822 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
cat cat!~the@siddhartha.freelancehosting.net none 1325845551 2 Ping timeout
cool^ cool^!~cool@194.106.175.170 none 1326104714 2 Ping timeout
Alias Alias!~alias@75-149-221-249-Illinois.hfc.comcastbusiness.net none 1326137869 2 Ping timeout
    Je to na serveru od 3. ledna 2012. Podle adresáře, kde to bylo, odhaduju, že byl napadený plugin squirrelmailu, který zajišťuje autorespond/forward.
    10.1.2012 09:10 CET
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Jo, presne, tak tohle znam:) To je hacker:) Uz mas server soucasti IRC botneta:)

    Zkontroluj a smaz veci v /var/spool/cron/crontabs a taky koukni do /etc/cron*, jestli tam neni neco, co tam nepatri, smaz (nebo presun pro pozdejsi analyzu) ten .m

    Proste se tam nekdo dostal, svuj irc bot pojmenoval jako sshd, aby to vypadalo jako normalni proces a pak se pripojil na IRC. Obvykle se to pozna prave tim schovanym adresarem a nejakym systemovym procesem (cron, sshd...), kterej bezi z "divnyho" adresare.
    10.1.2012 12:27 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Udělal jsem vše dle rady. Průběžně sleduju pomocí 
    netstat -netap
    komunikaci serveru s okolím a zatím tam nic podezřelého není. snad už to bude v pořádku. Děkuji všem za rady. JR
    10.1.2012 16:37 Ĺupex
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Váš server byl rootnut. Jediná cesta je kompletní reinstalace, už proto, že byly pravděpodobně upraveny knihovny a otevřeny další backdoory, takže zcela jistě se to bude opakovat, i posmazání těchle adresářů.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.