abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Týden v GNOME a Týden v KDE Plasma (2. a 3. května 2025)
    dnes 21:44 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

    Ladislav Hagara | Komentářů: 0
    Před 25 lety zaplavil celý svět virus ILOVEYOU
    dnes 14:22 | IT novinky

    Před 25 lety zaplavil celý svět virus ILOVEYOU. Virus se šířil e-mailem, jenž nesl přílohu s názvem I Love You. Příjemci, zvědavému, kdo se do něj zamiloval, pak program spuštěný otevřením přílohy načetl z adresáře e-mailové adresy a na ně pak „milostný vzkaz“ poslal dál. Škody vznikaly jak zahlcením e-mailových serverů, tak i druhou činností viru, kterou bylo přemazání souborů uložených v napadeném počítači.

    Ladislav Hagara | Komentářů: 10
    BleachBit 5.0.0
    včera 22:33 | Nová verze

    Byla vydána nová major verze 5.0.0 svobodného multiplatformního nástroje BleachBit (GitHub, Wikipedie) určeného především k efektivnímu čištění disku od nepotřebných souborů.

    Ladislav Hagara | Komentářů: 2
    Vývoj webového prohlížeče Ladybird (04/2025)
    2.5. 22:22 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za duben (YouTube).

    Ladislav Hagara | Komentářů: 0
    TikTok dostal v EU pokutu 530 milionů eur za nedostatky při ochraně dat
    2.5. 19:11 | IT novinky

    Provozovatel čínské sociální sítě TikTok dostal v Evropské unii pokutu 530 milionů eur (13,2 miliardy Kč) za nedostatky při ochraně osobních údajů. Ve svém oznámení to dnes uvedla irská Komise pro ochranu údajů (DPC), která jedná jménem EU. Zároveň TikToku nařídila, že pokud správu dat neuvede do šesti měsíců do souladu s požadavky, musí přestat posílat data o unijních uživatelích do Číny. TikTok uvedl, že se proti rozhodnutí odvolá.

    Ladislav Hagara | Komentářů: 3
    Společnost JetBrains uvolnila Mellum, tj. svůj velký jazykový model (LLM) pro vývojáře, jako open source
    2.5. 11:22 | Zajímavý projekt

    Společnost JetBrains uvolnila Mellum, tj. svůj velký jazykový model (LLM) pro vývojáře, jako open source. Mellum podporuje programovací jazyky Java, Kotlin, Python, Go, PHP, C, C++, C#, JavaScript, TypeScript, CSS, HTML, Rust a Ruby.

    Ladislav Hagara | Komentářů: 2
    Kali Linux má nový klíč pro podepisování balíčků
    2.5. 09:11 | Bezpečnostní upozornění

    Vývojáři Kali Linuxu upozorňují na nový klíč pro podepisování balíčků. K původnímu klíči ztratili přístup.

    Ladislav Hagara | Komentářů: 2
    Redis je opět svobodný
    1.5. 20:00 | Komunita

    V březnu loňského roku přestal být Redis svobodný. Společnost Redis Labs jej přelicencovala z licence BSD na nesvobodné licence Redis Source Available License (RSALv2) a Server Side Public License (SSPLv1). Hned o pár dní později vznikly svobodné forky Redisu s názvy Valkey a Redict. Dnes bylo oznámeno, že Redis je opět svobodný. S nejnovější verzí 8 je k dispozici také pod licencí AGPLv3.

    Ladislav Hagara | Komentářů: 3
    Ceny Raspberry Pi Compute Modulů 4 klesly o 5, respektive 10 dolarů
    1.5. 19:22 | IT novinky

    Oficiální ceny Raspberry Pi Compute Modulů 4 klesly o 5 dolarů (4 GB varianty), respektive o 10 dolarů (8 GB varianty).

    Ladislav Hagara | Komentářů: 0
    openSUSE Leap 16 Beta
    30.4. 22:33 | Nová verze

    Byla vydána beta verze openSUSE Leap 16. Ve výchozím nastavení s novým instalátorem Agama.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký filesystém primárně používáte?
     (58%)
     (1%)
     (8%)
     (21%)
     (4%)
     (2%)
     (3%)
     (0%)
     (1%)
     (3%)
    Celkem 520 hlasů
     Komentářů: 19, poslední 30.4. 11:32
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Jak chápat výpis tcpdump
    Štítky: ano, C, proces, programování, server, sítě, tcpdump

    Dotaz: Jak chápat výpis tcpdump

    9.1.2012 14:06 jan.rok | skóre: 21
    Jak chápat výpis tcpdump
    Přečteno: 1532×
    Zdravím ,

    ve výpisu tcpdump se mi objevuje toto: 
    14:00:01.936182 IP 64-68-192-210.host.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  22268*- 1/4/8 A ns2.easydns.com (318)
14:00:01.942881 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  30704*-| 0/0/0 (45)
14:00:01.944848 IP c.tld.sk.domain > mujserver.mojedomena.cz.filenet-rpc:  14604- 0/2/3 (110)
14:00:01.945028 IP mujserver.mojedomena.cz.filenet-rpc > stan.oneemedia.com.domain:  59102% [1au] A? ns1.mojhosting.sk. (46)
14:00:01.945207 IP c.tld.sk.domain > mujserver.mojedomena.cz.filenet-rpc:  62897- 0/2/3 (110)
14:00:01.945346 IP mujserver.mojedomena.cz.filenet-rpc > stan.oneemedia.com.domain:  56404% [1au] A? ns2.mojhosting.sk. (46)
14:00:01.948310 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  38723*-| 0/0/0 (45)
14:00:01.957644 IP ns2.easydns.com.domain > mujserver.mojedomena.cz.filenet-rpc:  29393*-| 0/0/0 (46)
14:00:01.979412 IP stan.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  59102* 1/2/2 A stan.oneemedia.com (110)
14:00:01.979579 IP mujserver.mojedomena.cz.filenet-rpc > kenny.oneemedia.com.domain:  42529 [1au] PTR? 203.128/25.244.240.92.in-addr.arpa. (63)
14:00:01.979775 IP stan.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  56404* 1/2/2 A kenny.oneemedia.com (110)
14:00:01.992717 IP kenny.oneemedia.com.domain > mujserver.mojedomena.cz.filenet-rpc:  42529* 1/2/3 (178)
14:00:01.994239 IP mujserver.mojedomena.cz.filenet-rpc > pri.authdns.ripe.net.domain:  45240 [1au] PTR? 1.16.6.193.in-addr.arpa. (52)
14:00:02.015805 IP pri.authdns.ripe.net.domain > mujserver.mojedomena.cz.filenet-rpc:  45240- 0/6/1 (373)
14:00:02.016073 IP mujserver.mojedomena.cz.filenet-rpc > ns5.univie.ac.at.domain:  7826 [1au] PTR? 1.16.6.193.in-addr.arpa. (52)
14:00:02.016135 IP mujserver.mojedomena.cz.filenet-rpc > hu1.dnsnode.net.domain:  36909% [1au] A? ns2.iif.hu. (39)
14:00:02.016186 IP mujserver.mojedomena.cz.filenet-rpc > hu1.dnsnode.net.domain:  29330% [1au] A? ns2.sztaki.hu. (42)
14:00:02.026839 IP ns5.univie.ac.at.domain > mujserver.mojedomena.cz.filenet-rpc:  7826- 0/3/5 (207)
    Ve skutečnosti je tam toho mnohem víc. Jak tomu mám rozumět? Znamená to, že server se pokouší komunikovat s náhodnými servery pomocí nějakého protokolu "filenet-rpc"? A pokud ano, jak zjistím proces, který to vyvolává?

    Děkuji. JR

    Řešení dotazu:

    Nástroje: Začni sledovat (4) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    9.1.2012 14:28 l4m4
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Najít to v netstat -p.
    9.1.2012 14:48 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Nemůže být problém v tomto: 
    tcp        0      0 192.168.1.2:56748       194.109.129.222:6667    ESTABLISHED 20376/sshd:
    Server má IP=192.168.1.2

    Když ten proces ukončím, za chvíli se nastartuje nový na jinou IP a na jiném portu.
    9.1.2012 14:31 radek
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Zkus nethogs pro vypsání kolik / co bere bandwith popř. ntop
    9.1.2012 15:02 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    no podle toho dumpu to vypadá, že spíš ty ostatní servery komunikují s ním :) teda že na tvém serveru poslouchá nějaký proces na protokolu filenet-rpc a ostatní servery s ním vesele komunikují. Pak by ti netstat měl prozradit, jaký proces na tomto portu visí.
    9.1.2012 15:13 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    jedna se o DNS resolving (zdrojovy port se holt vybral z registrovanych jmen - nic to neznamena)
    9.1.2012 15:17 tomk
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Podle vseho jsou to DNS dotazy mirici z Tveho serveru na DNS servery, pripadne odpovedi DNS serveru. Druha strana je vzdy domain(53) a v obsahu packetu jsou take videt data odpovidajici dotazum a odpovedem. Na strane Tveho serveru se pro takove dotazy vybere volny port vetsi nez 1024, kterym proste zrovna je port "filenet-rpc" (v /etc/services by melo jit zjistit, jake ma cislo).

    Doporucuju predchazet zmateni a tcpdump so poustet s -nn

    Tomas
    9.1.2012 15:55 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Díky, teď už tomu rozumím, zmátla mě jména portů.

    Pak už mi v komunikaci vadí jen ten cílový port 6667 (viz výše). Pomocí netstat jsem zjistil, že to používá sshd, ale z mého serveru by se nic nikam pomocí ssh připojovat nemělo.
    9.1.2012 16:04 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    a nepouzivas ssh tunneling? treba pro protunelovani irc apod (na quakenet.xs4all.nl)?
    9.1.2012 16:10 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Jednoduše odpovězeno: nevím :-) Server jsem zdědil a teprve zjišťuju, co a jak. Nevím sice, proč by to na serveru mělo být, ale prověřím to. Díky.
    9.1.2012 16:13 Me
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    ok, pokud chces zakazat tunneling over ssh, tak v konfiguraku sshd zmen z AllowTcpForwarding yes X11Forwarding yes

    na

    AllowTcpForwarding no X11Forwarding no

    a zrestartuj sshd
    9.1.2012 16:25 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Oba parametry jsem zakázal, sshd restartoval, ale nepomohlo to. Divné je, že když sshd zastavím, tak status ukazuje stále "running".
    9.1.2012 17:34 Matlák
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Prozatím můžeš zakázat spojení s touto adresou a portem pomocí iptables. Pokud vyroste někde jiné na jinou adresu či port, můžeš si být jistý že ten server je nakopnutý :-)
    9.1.2012 18:02 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Je tam jen spojení na quakenet.xs4all.nl.

    Když killnu ten proces sshd, který vyvolává spojení na quakenet.xs4all.nl:6667, tak se za chvíli nastartuje znovu.
    9.1.2012 20:57 rt
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    lsof -p "cislo_procesu"
    9.1.2012 21:12 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Děkuji! Je tam vidět toto: 
    supr:~ # lsof -p 11080
COMMAND   PID   USER   FD   TYPE DEVICE    SIZE     NODE NAME
sshd:   11080 wwwrun  cwd    DIR    8,2    4096  1164207 /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m
sshd:   11080 wwwrun  rtd    DIR    8,2    4096        2 /
sshd:   11080 wwwrun  txt    REG    8,2  152108  1164213 /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m/sshd:
sshd:   11080 wwwrun  mem    REG    0,0                0 [heap] (stat: No such file or directory)
sshd:   11080 wwwrun  DEL    REG    8,2         17762149 /var/run/nscd/dbUqVduq
sshd:   11080 wwwrun  mem    REG    8,2 1433557 16891922 /lib/libc-2.4.so
sshd:   11080 wwwrun  mem    REG    8,2  129557 16892104 /lib/ld-2.4.so
sshd:   11080 wwwrun    0u  IPv4  30665              TCP supr.prak.cz:43957->quakenet.xs4all.nl:6667 (ESTABLISHED)
sshd:   11080 wwwrun    3u  IPv4  30016              UDP *:32781
sshd:   11080 wwwrun    8u  sock    0,5            30005 can't identify protocol
    V té složce 
    /srv/www/htdocs/webmail/plugins/local_autorespond_forward/suid_backend/.m
    jsou velmi podivné věci: 
    -rwx--x--x 1 wwwrun www    174 Jan  9 21:00 1
-rwxr-xr-x 1 wwwrun www    323 Jan 13  2011 autorun
-rw-r--r-- 1 wwwrun www   1295 Jan  3 08:15 cat.seen
-rw-r--r-- 1 wwwrun www    107 Jan  2 20:07 cron.d
-rw-r--r-- 1 wwwrun www   1217 Jan  9 21:00 cz.seen
-rw-r--r-- 1 wwwrun www     74 Jan  2 20:07 mech.dir
-rw-r--r-- 1 wwwrun www   1064 Jan  9 21:00 mech.levels
-rw------- 1 wwwrun www      6 Jan  9 17:54 mech.pid
-rw-r--r-- 1 wwwrun www    312 Jan  9 21:00 mech.session
-rwx--x--x 1 wwwrun www    531 Jan 12  2011 mech.set
-rwxr-xr-x 1 wwwrun www     27 Jan 12  2011 run
-rwx--x--x 1 wwwrun www 152108 Jan 12  2011 sshd:
-rwxr-xr-x 1 wwwrun www     17 Nov  5  2008 start
-rwx--x--x 1 wwwrun www  15195 Sep  2  2004 std
-rwxr--r-- 1 wwwrun www    355 Jan  2 20:07 update
    To vypadá na nějaké napadení serveru.
    9.1.2012 22:51 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    A toto je výpis obsahu např. souboru cz.seen: 
    t2 t2!~t2@93-103-128-102.static.t-2.net none 1326133827 2 Read error: Operation timed out
rock rock!~rock@amy.noctecserver.de none 1326100732 2 Ping timeout
ns2 ns2!~ns2@ns2.weeba.net none 1325667125 2 Ping timeout
kent_ kent_!~clark@mail.agenziasposito.it none 1325857003 3 kent
hack_2 hack_2!~h@li104-200.members.linode.com none 1325864618 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
espace espace!~espace@ns266g.espace2001.com none 1325755507 2 Read error: EOF from client
dedibox_ dedibox_!~dedi@sd-13306.dedibox.fr none 1325865008 3 dedibox
Damian Damian!~damian@secure.users.quakenet.org none 1325881444 2 Ping timeout
cat_ cat_!~cc@217.151.109.103 none 1325587391 3 cat
CO CO!~CO@static.192.170.63.178.clients.your-server.de none 1325672655 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
CO_ CO_!~CO@static.192.170.63.178.clients.your-server.de none 1325680822 2 Quit: What have I done to deserve this?? aaaaaarrghhh! (SIGTERM)
cat cat!~the@siddhartha.freelancehosting.net none 1325845551 2 Ping timeout
cool^ cool^!~cool@194.106.175.170 none 1326104714 2 Ping timeout
Alias Alias!~alias@75-149-221-249-Illinois.hfc.comcastbusiness.net none 1326137869 2 Ping timeout
    Je to na serveru od 3. ledna 2012. Podle adresáře, kde to bylo, odhaduju, že byl napadený plugin squirrelmailu, který zajišťuje autorespond/forward.
    10.1.2012 09:10 CET
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Jo, presne, tak tohle znam:) To je hacker:) Uz mas server soucasti IRC botneta:)

    Zkontroluj a smaz veci v /var/spool/cron/crontabs a taky koukni do /etc/cron*, jestli tam neni neco, co tam nepatri, smaz (nebo presun pro pozdejsi analyzu) ten .m

    Proste se tam nekdo dostal, svuj irc bot pojmenoval jako sshd, aby to vypadalo jako normalni proces a pak se pripojil na IRC. Obvykle se to pozna prave tim schovanym adresarem a nejakym systemovym procesem (cron, sshd...), kterej bezi z "divnyho" adresare.
    10.1.2012 12:27 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Udělal jsem vše dle rady. Průběžně sleduju pomocí 
    netstat -netap
    komunikaci serveru s okolím a zatím tam nic podezřelého není. snad už to bude v pořádku. Děkuji všem za rady. JR
    10.1.2012 16:37 Ĺupex
    Rozbalit Rozbalit vše Re: Jak chápat výpis tcpdump
    Váš server byl rootnut. Jediná cesta je kompletní reinstalace, už proto, že byly pravděpodobně upraveny knihovny a otevřeny další backdoory, takže zcela jistě se to bude opakovat, i posmazání těchle adresářů.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.