Linux: разрешение вопросов, перспективы и общение (comp.soft.linux.discuss) : Рассылка : Subscribe.Ru

← Июль 2009 →
	1 01.07.2009 00:47:20 22:16:24	2 02.07.2009 00:32:36 21:37:03 21:38:04 21:40:28 21:41:44 21:42:29 22:40:29 22:44:09	3 03.07.2009 00:25:58 02:24:10	4 04.07.2009 12:53:21 18:08:47 19:18:41	5 05.07.2009 21:46:21 21:47:09 23:49:21
6 06.07.2009 07:49:08 23:28:57	7 07.07.2009 10:36:30 16:57:18 23:43:33	8 08.07.2009 00:25:31 00:25:42 01:40:32 01:40:40 01:41:13 01:41:18 02:03:04 04:18:02 05:21:52 07:37:28 08:15:52 08:21:22 10:30:59 10:39:03 11:17:25 12:23:19 17:17:46 20:24:50 21:19:14 22:14:05 22:14:09 22:14:45	9 09.07.2009 00:02:46 00:37:01 01:23:55 05:54:16 06:29:31 06:43:05 06:54:04 08:04:10 08:41:37 09:05:25 10:12:49 10:29:31 14:31:25 19:37:46 20:12:57 20:36:12 23:30:46 23:31:15	10 10.07.2009 00:01:48 00:13:23 01:19:46 02:01:28 05:59:44 07:58:35 09:54:57 09:59:06 10:48:09 11:04:41 11:35:36 11:55:31 12:33:20 12:35:12 13:13:54 14:33:12 16:50:13 16:56:26 17:02:01 21:07:55 22:16:08 23:36:20	11 11.07.2009 01:43:15 11:01:30 12:17:32 18:47:47 19:36:51 22:24:46	12
13 13.07.2009 05:49:11 06:54:32	14	15 15.07.2009 16:40:22 20:46:37 23:51:53 23:52:18	16 16.07.2009 00:17:58 01:56:33 06:53:33 09:48:27 10:09:45 10:09:50 10:18:22	17	18	19
20	21 21.07.2009 13:27:59 18:20:40 18:48:53 18:55:26	22 22.07.2009 00:43:09 00:43:35 00:45:04 00:47:56 00:53:09 00:56:44 00:57:42 01:05:52 01:09:20 06:30:16 11:23:47 18:57:34 20:27:41 22:12:04 22:14:17 23:32:39 23:36:44	23	24	25 25.07.2009 00:09:55 10:23:45	26
27	28	29	30	31

← Июль 2009 →

01.07.2009
00:47:20
22:16:24

02.07.2009
00:32:36
21:37:03
21:38:04
21:40:28
21:41:44
21:42:29
22:40:29
22:44:09

03.07.2009
00:25:58
02:24:10

04.07.2009
12:53:21
18:08:47
19:18:41

05.07.2009
21:46:21
21:47:09
23:49:21

06.07.2009
07:49:08
23:28:57

07.07.2009
10:36:30
16:57:18
23:43:33

09.07.2009
00:02:46
00:37:01
01:23:55
05:54:16
06:29:31
06:43:05
06:54:04
08:04:10
08:41:37
09:05:25
10:12:49
10:29:31
14:31:25
19:37:46
20:12:57
20:36:12
23:30:46
23:31:15

11.07.2009
01:43:15
11:01:30
12:17:32
18:47:47
19:36:51
22:24:46

13.07.2009
05:49:11
06:54:32

15.07.2009
16:40:22
20:46:37
23:51:53
23:52:18

16.07.2009
00:17:58
01:56:33
06:53:33
09:48:27
10:09:45
10:09:50
10:18:22

21.07.2009
13:27:59
18:20:40
18:48:53
18:55:26

22.07.2009
00:43:09
00:43:35
00:45:04
00:47:56
00:53:09
00:56:44
00:57:42
01:05:52
01:09:20
06:30:16
11:23:47
18:57:34
20:27:41
22:12:04
22:14:17
23:32:39
23:36:44

25.07.2009
00:09:55
10:23:45

За 2009-07-02

Re: Ваши действия после взлома?

On Thu, 2 Jul 2009 13:53:45 +0700
Strong and Humble wrote:

> Спасибо за Ваш ответ, Oleg:
> > Скорее подсунуть в районе ~/bin и прописать в
> > $PATH на первое место его. Емнип, там как-то прячутся от системных
>
> А как они "помогают" пользователю запустить rootkit? - Прав-то на
> изменение PATH - нет.
>
Чтобы изменить $PATH юзеру, достаточно иметь права этого юзера. А
чтобы затереть ls, это рутом надо стать.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36258; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880787

Oleg Matviychuk 2009-07-02 22:44:09 (#880787)

Re: Ваши действия после взлома?

On Wed, 1 Jul 2009 22:13:53 +0700
Strong and Humble wrote:

> Спасибо за Ваш ответ, Oleg:
> > корень в ro монтировать, ибо тоже нефиг в штатном режиме туда
> > чего-то писать.
>
> А обновлять как - постоянно перемонтировать?
>
Просмотрел обновления на своем сервере: в среднем раз в неделю. Не
сильно большой головняк. Тем более, у меня по крону обновление. Там
же можно попросить на время обновления в rw перемонтировать.

> И ещё, как fail2ban может помочь мне, если:
>
> 1. я использую только ssh и *неавторизованный* доступ к паутине;
>
> 2. по ssh доступ - только для одного польз-ля, по ключу - подобрать
> - наврядли.
>
А в опциях так прям и сказано: пускать только по ключу?

> 3. Доступ по ssh разрешён не более, скажем, 4 соединения в полчаса.
>
> ??
>
> Скорее, тут м/б найдена дыра в ssh-сервере, но тут и fail2ban не
> поможет - если соединения случаются...
>
У вас компания, для которой экономически выгодно заказывать поиск не
публичной уязвимости? Если нет, то в нормальном дистрибутиве
обновления безопасности появляются через несколько часов после
появления баги в багтраке.

> Однако, не понятно:
>
> 1. Можно ли автоматически обработать весь поток через
> маршрутизатор, слив его предварительно, для анализа: "как взломали
> сервер? Как они работают с ним?"
>
Чем tcpdump не устраивает? Дампим соединение на подозреваемые порты и
смотрим вдумчиво.

> 2. Как заставить службы работать не с правами админ-а?
>
Все нормальные службы умеют менять uid/gid процесса на желаемый. И в
конфиге имеют соответствующие опции, от имени кого им работать.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36257; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880785

Oleg Matviychuk 2009-07-02 22:40:29 (#880785)

Re: Пригодна ли для чего старая машина (пентиум1)?

Спасибо за Ваш ответ, avm7wo***@m*****.ru:
> На первом пне на встроенном контроллере стояли и работали диски по 300ГБ
> и это не предел спецификации IDE.
> Сам контроллер IDE был обнаружен?

Не помню (сейчас не могу посмотреть). Но КД-привод на том же шлейфе работал -
стало быть...

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36256; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880755

Strong and Humble 2009-07-02 21:42:29 (#880755)

Re: Ваши действия после взлома?

Спасибо за Ваш ответ, Eugene:
> Не знаю :-(

Просто когда не получается найти причину, уже думаешь о самом невероятном - как
перепрограммирование БИОСа, и т.д. С другой стороны, м/б просто оборудование
протестировать....

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36255; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880753

Strong and Humble 2009-07-02 21:41:44 (#880753)

Re: Ваши действия после взлома?

Спасибо за Ваш ответ, Eugene:
> В моем дистре (клон RHEL 5.3) в файле /etc/syslog.conf строки
>
> # The authpriv file has restricted access.
> authpriv.* /var/log/secure

Ясно. У меня это в /var/log/auth складывается:

auth,authpriv.* /var/log/auth.log

> В файле /etc/vsftpd/vsftpd.conf строки
> xferlog_enable=YES
> xferlog_std_format=YES
> xferlog_file=/var/log/xferlog
> отвечают за /var/log/xferlog

Пардон. Забыл, что там так этот файл называется...

> Кроме того есть хорошая команда lastlog, выдающая время последнего входа

Да... только вот "молодцы" сносят /var/log/lastlog регулярно...

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36254; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880752

Strong and Humble 2009-07-02 21:40:28 (#880752)

Re: Ваши действия после взлома?

Спасибо за Ваш ответ, Oleg:
> Скорее подсунуть в районе ~/bin и прописать в
> $PATH на первое место его. Емнип, там как-то прячутся от системных

А как они "помогают" пользователю запустить rootkit? - Прав-то на изменение
PATH - нет.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36253; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880750

Strong and Humble 2009-07-02 21:38:04 (#880750)

Поиск файлов по ссылкам модулем перла File::Find

Здравствуйте.

Не могу сделать поиск файлов с переходом по ссылкам в модуле перла File::Find
с
использованием фун-ции-обработчика. Т.е. я делаю так:

&find(\&mklist, $curdir);

но он не ищет по ссылкам.

В док-ции указано на

find({ wanted => \&process, follow => 1 }, '.');

но я так и не понял, как этот process работает.

Если у Вас есть идеи, пожалуйста, поделитесь.

Спасибо за Ваше время.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36252; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880749

Strong and Humble 2009-07-02 21:37:03 (#880749)

Re[3]: терминальный ws2003 поверх Убунты

24 июня 2009 г. 11:16 пользователь Maxim <znakom***@y*****.ru> написал:

> Здравствуйте, Avm7work.
>
> Вы писали 22 червня 2009 р., 10:01:08:
>
> amr> я использую опцию rdesktop: -k common
>
> тут стоит tsclient запускается без ключей
>
http://en.wikipedia.org/wiki/Tsclient

tsclient (Terminal Server Client) is a frontend for rdesktop and other
remote desktop tools. It is a GNOME application. Notable visual options
include color depth, screen size, and motion blocking.

> --
> С уважением,
> Maxim mailto:znakom***@y*****.ru
>
>

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36251; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880342

Павел Цикаловский

2009-07-02 00:32:36 (#880342)

← Июль 2009 →
		1 01.07.2009 00:47:20 22:16:24	2 02.07.2009 00:32:36 21:37:03 21:38:04 21:40:28 21:41:44 21:42:29 22:40:29 22:44:09	3 03.07.2009 00:25:58 02:24:10	4 04.07.2009 12:53:21 18:08:47 19:18:41	5 05.07.2009 21:46:21 21:47:09 23:49:21
6 06.07.2009 07:49:08 23:28:57	7 07.07.2009 10:36:30 16:57:18 23:43:33	8 08.07.2009 00:25:31 00:25:42 01:40:32 01:40:40 01:41:13 01:41:18 02:03:04 04:18:02 05:21:52 07:37:28 08:15:52 08:21:22 10:30:59 10:39:03 11:17:25 12:23:19 17:17:46 20:24:50 21:19:14 22:14:05 22:14:09 22:14:45	9 09.07.2009 00:02:46 00:37:01 01:23:55 05:54:16 06:29:31 06:43:05 06:54:04 08:04:10 08:41:37 09:05:25 10:12:49 10:29:31 14:31:25 19:37:46 20:12:57 20:36:12 23:30:46 23:31:15	10 10.07.2009 00:01:48 00:13:23 01:19:46 02:01:28 05:59:44 07:58:35 09:54:57 09:59:06 10:48:09 11:04:41 11:35:36 11:55:31 12:33:20 12:35:12 13:13:54 14:33:12 16:50:13 16:56:26 17:02:01 21:07:55 22:16:08 23:36:20	11 11.07.2009 01:43:15 11:01:30 12:17:32 18:47:47 19:36:51 22:24:46	12
13 13.07.2009 05:49:11 06:54:32	14	15 15.07.2009 16:40:22 20:46:37 23:51:53 23:52:18	16 16.07.2009 00:17:58 01:56:33 06:53:33 09:48:27 10:09:45 10:09:50 10:18:22	17	18	19
20	21 21.07.2009 13:27:59 18:20:40 18:48:53 18:55:26	22 22.07.2009 00:43:09 00:43:35 00:45:04 00:47:56 00:53:09 00:56:44 00:57:42 01:05:52 01:09:20 06:30:16 11:23:47 18:57:34 20:27:41 22:12:04 22:14:17 23:32:39 23:36:44	23	24	25 25.07.2009 00:09:55 10:23:45	26
27	28	29	30	31