abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 21:33 | Komunita

    Projekt microDMG Racer na Kickstarteru nevyšel, tak se autor rozhodl uvolnit na ESP32 postavené autíčko i ovladač jako open source.

    Ladislav Hagara | Komentářů: 0
    dnes 13:22 | Nová verze

    Byl vydán TrueNAS SCALE 24.10 „Electric Eel“. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    dnes 13:11 | Nová verze

    Byla vydána nová verze 24.10.29 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Nově s podporou AI (whisper.cpp) pro generování titulků. Nejnovější Shotcut je již vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

    Ladislav Hagara | Komentářů: 0
    dnes 12:44 | Nová verze

    Wasmer byl vydán ve verzi 5.0. Jedná se o běhové prostředí pro programy ve WebAssembly. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 0
    dnes 12:22 | Bezpečnostní upozornění

    X.Org X server 21.1.14 a Xwayland 24.1.4 řeší bezpečnostní chybu CVE-2024-9632 využitelnou k eskalaci práv. Pochází z roku 2006 (xorg-server-1.1.1).

    Ladislav Hagara | Komentářů: 0
    dnes 02:44 | IT novinky

    Společnost Apple představila nový Mac mini. Menší, výkonnější a zároveň uhlíkově neutrální. S M4 nebo M4 Pro.

    Ladislav Hagara | Komentářů: 28
    dnes 02:22 | Nová verze

    Byla vydána (𝕏) říjnová aktualizace aneb nová verze 1.95 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.95 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    včera 18:44 | Nová verze

    Byl vydán Mozilla Firefox 132.0. Přehled novinek v poznámkách k vydání, poznámkách k vydání pro firmy a na stránce věnované vývojářům. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 132 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    včera 17:00 | IT novinky

    Jan Gruntorád byl včera večer ve Vladislavském sále Pražského hradu během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) vyznamenán prezidentem republiky medailí Za zásluhy 1. stupně za zásluhy o stát v oblasti techniky. Gruntorád je český informatik a manažer, patří mezi průkopníky internetu v České republice a je často označovaný jako 'Otec českého internetu'. V roce 2021 byl uveden jako první Čech do Internetové síně slávy. Mezi léty 1996 až 2021 byl ředitelem sdružení CESNET.

    Gréta | Komentářů: 19
    včera 15:55 | Nová verze

    Bylo oznámeno (cs) vydání Fedora Linuxu 41. Ve finální verzi vychází pět oficiálních edic: Workstation pro desktopové, Server pro serverové, Fedora Cloud pro cloudové nasazení, IoT pro internet věcí a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich je k dispozici také Silverblue a Kinoite a alternativní desktopy, např. KDE Plasma, Xfce nebo LxQt, a k tomu laby – upravené vydání Fedory například pro designery, robotiku, vědecké použití atd. Přehled novinek ve Fedora Workstation 41 a Fedora KDE 41 na stránkách Fedora Magazinu.

    Ladislav Hagara | Komentářů: 17
    Rozcestník

    Dotaz: Trojan - jak se bránit?

    17.8.2007 16:19 lnykryn | skóre: 11 | Brno
    Trojan - jak se bránit?
    Přečteno: 2108×
    Bylo mi poskytovatelem oznameno, ze muj server byl napaden "jakymsi" trojskym konem. Potreboval by zjistit co je to za "mrchu" a jak ji odstranit. Tady je vypis z ps

    USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
    root         1  0.0  0.0   1944   644 ?        Ss   11:06   0:02 init [2]
    root         2  0.0  0.0      0     0 ?        S    11:06   0:00 [migration/0]
    root         3  0.0  0.0      0     0 ?        SN   11:06   0:00 [ksoftirqd/0]
    root         4  0.0  0.0      0     0 ?        S<   11:06   0:00 [events/0]
    root         5  0.0  0.0      0     0 ?        S<   11:06   0:00 [khelper]
    root         6  0.0  0.0      0     0 ?        S<   11:06   0:00 [kthread]
    root         9  0.0  0.0      0     0 ?        S<   11:06   0:00 [kblockd/0]
    root        10  0.0  0.0      0     0 ?        S<   11:06   0:00 [kacpid]
    root        75  0.0  0.0      0     0 ?        S<   11:06   0:00 [kseriod]
    root       109  0.0  0.0      0     0 ?        S    11:06   0:00 [pdflush]
    root       110  0.0  0.0      0     0 ?        S    11:06   0:00 [pdflush]
    root       111  0.0  0.0      0     0 ?        S<   11:06   0:00 [kswapd0]
    root       112  0.0  0.0      0     0 ?        S<   11:06   0:00 [aio/0]
    root       555  0.0  0.0      0     0 ?        S<   11:06   0:00 [khubd]
    root       813  0.0  0.0      0     0 ?        S<   11:06   0:03 [kjournald]
    root       974  0.0  0.0   2180   600 ?        S<  11:06   0:00 udevd --daemon
    root      1236  0.0  0.0      0     0 ?        S<   11:06   0:00 [kpsmoused]
    root      1469  0.0  0.0      0     0 ?        S<   11:06   0:00 [kmirrord]
    root      1670  0.0  0.0   1624   616 ?        Ss   11:06   0:03 /sbin/syslogd
    root      1676  0.0  0.0   1576   380 ?        Ss   11:06   0:00 /sbin/klogd -x
    root      1722  0.0  0.1   2664  1332 ?        S    11:06   0:00 /bin/sh /usr/bin/mysqld_safe
    mysql     1759  0.6  4.0 129908 42028 ?        Sl   11:06   2:17 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-external-locking --port=3306 --socket=/var/run/mysqld/mysqld.sock
    root      1760  0.0  0.0   1560   508 ?        S    11:06   0:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
    root      1886  0.0  0.0   1576   560 ?        Ss   11:06   0:00 /usr/sbin/acpid -c /etc/acpi/events -s /var/run/acpid.socket
    root      1895  0.0  0.0   1748   576 ?        Ss   11:06   0:00 /usr/sbin/inetd
    root      1955  0.0  0.1   4808  1604 ?        Ss   11:06   0:00 /usr/lib/postfix/master
    postfix   1962  0.0  0.1   4856  1700 ?        S    11:06   0:00 qmgr -l -t fifo -u
    root      2013  0.0  0.0   1920   576 ?        Ss   11:06   0:00 /usr/sbin/dovecot
    root      2026  0.0  0.0   2196   880 ?        Ss   11:06   0:00 /usr/sbin/cron
    root      2038  0.0  0.1   8360  2060 ?        S    11:06   0:00 dovecot-auth
    dovecot   2039  0.0  0.1   3296  1480 ?        S    11:06   0:00 pop3-login
    dovecot   2040  0.0  0.1   3296  1484 ?        S    11:06   0:00 pop3-login
    dovecot   2041  0.0  0.1   3296  1484 ?        S    11:06   0:00 pop3-login
    dovecot   2042  0.0  0.1   3300  1480 ?        S    11:06   0:00 imap-login
    dovecot   2043  0.0  0.1   3300  1480 ?        S    11:06   0:00 imap-login
    dovecot   2044  0.0  0.1   3304  1480 ?        S    11:06   0:00 imap-login
    root      2045  0.0  1.1  28344 11448 ?        Ss   11:06   0:00 /usr/sbin/apache2 -k start
    root      2067  0.0  0.0   1576   496 tty1     Ss+  11:06   0:00 /sbin/getty 38400 tty1
    root      2068  0.0  0.0   1576   492 tty2     Ss+  11:06   0:00 /sbin/getty 38400 tty2
    root      2069  0.0  0.0   1572   492 tty3     Ss+  11:06   0:00 /sbin/getty 38400 tty3
    root      2070  0.0  0.0   1576   496 tty4     Ss+  11:06   0:00 /sbin/getty 38400 tty4
    root      2071  0.0  0.0   1572   492 tty5     Ss+  11:06   0:00 /sbin/getty 38400 tty5
    root      2072  0.0  0.0   1572   492 tty6     Ss+  11:06   0:00 /sbin/getty 38400 tty6
    root      2074  0.0  0.0   1576   500 ttyS1    Ss+  11:06   0:00 /sbin/getty -L ttyS1 9600 vt100
    postfix   2436  0.0  0.1   4868  1992 ?        S    11:08   0:00 tlsmgr -l -t unix -u -c
    root      2615  0.0  0.1   2284  1256 ?        Ss   11:10   0:01 bash
    root      3068  0.0  0.0   1576   500 ttyS0    Ss+  11:13   0:00 /sbin/getty -L ttyS0 9600 vt100
    root     19243  0.0  0.2   7692  2284 ?        Ss   12:14   0:00 sshd: souki [priv]
    souki    19334  0.0  0.1   7692  1592 ?        S    12:14   0:00 sshd: souki@pts/0
    souki    19336  0.0  0.1   4480  1972 pts/0    Ss   12:14   0:00 -sh
    root     20639  0.0  0.2   7852  2376 ?        Ss   12:18   0:00 sshd: root@pts/1
    root     20735  0.0  0.1   3996  1728 pts/1    Ss+  12:18   0:00 -bash
    postfix  22723  0.0  0.1   4820  1560 ?        S    16:04   0:00 pickup -l -t fifo -u -c
    www-data 30108  0.4  1.0  28872 11088 ?        S    17:02   0:03 /usr/sbin/apache2 -k start
    www-data 30118  0.1  0.9  28720  9984 ?        S    17:02   0:01 /usr/sbin/apache2 -k start
    www-data 30125  0.2  1.1  29080 11408 ?        S    17:02   0:02 /usr/sbin/apache2 -k start
    www-data 30128  0.1  0.9  28692 10020 ?        S    17:02   0:01 /usr/sbin/apache2 -k start
    www-data 30851  0.3  1.0  28772 11016 ?        S    17:05   0:02 /usr/sbin/apache2 -k start
    www-data 30878  0.3  0.9  28684  9872 ?        S    17:05   0:02 /usr/sbin/apache2 -k start
    www-data 31272  0.5  0.9  28768  9884 ?        S    17:09   0:02 /usr/sbin/apache2 -k start
    www-data 31569  1.1  0.9  28704  9896 ?        S    17:15   0:01 /usr/sbin/apache2 -k start
    www-data 31571  0.6  0.9  28704 10012 ?        S    17:15   0:01 /usr/sbin/apache2 -k start
    www-data 31604  0.8  0.9  28676  9856 ?        S    17:15   0:01 /usr/sbin/apache2 -k start
    postfix  31736  0.0  0.2   5180  2656 ?        S    17:17   0:00 smtpd -n smtp -t inet -u -c
    postfix  31737  0.0  0.1   4816  1576 ?        S    17:17   0:00 proxymap -t unix -u
    postfix  31738  0.0  0.1   4816  1580 ?        S    17:17   0:00 anvil -l -t unix -u -c
    

    a popr jeste vypis souboru v /etc/init.d

    acpid              ifupdown               mysql          sendsigs
    apache2            ifupdown-clean         mysql-ndb      single
    bootclean          keymap.sh              mysql-ndb-mgm  skeleton
    bootlogd           killprocs              networking     spamassassin
    bootmisc.sh        klogd                  openbsd-inetd  ssh
    checkfs.sh         libdevmapper1.02       postfix        stop-bootlogd
    checkroot.sh       makedev                procps.sh      stop-bootlogd-single
    console-screen.sh  module-init-tools      proftpd        sysklogd
    cron               mountall-bootclean.sh  pure-ftpd      udev
    dovecot            mountall.sh            rc             udev-mtab
    exim4              mountdevsubfs.sh       rc.local       umountfs
    glibc.sh           mountkernfs.sh         rcS            umountnfs.sh
    halt               mountnfs-bootclean.sh  README         umountroot
    hostname.sh        mountnfs.sh            reboot         urandom
    hwclock.sh         mtab.sh                rmnologin      x11-common

    Predem dekuji za kazdou radu. PS: Pokud potrebujete jeste nejaky vypis rad dodam

    Odpovědi

    17.8.2007 16:22 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    at to upresni ten "provider" :) cim se ten udajny trojan projevuje atd...
    17.8.2007 16:22 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Jeste mi doslo asi jsem mel napsat co ten "trojan" delal: pripojoval se na cizi ssh a snazil se uhadnout heslo, proto jsem radeji zablokoval veskerou komunikaci pres ssh.
    17.8.2007 16:24 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Jeste jsem z kolegy vypacil nasludujici uryvek z mailu: doslo nam upozorneni ze spolecnosti GTS Novera, ze Vas server > xxx.xxx.xx.xx vykazuje Zombie host/network attack.
    17.8.2007 16:37 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    nejspise vam to tedy nekdo haknul, nebo pokud tento server dela nat pro nejako vetsi sit, muze to bytk kdokoliv ze site. Doporucuji odpojit a dukladne zanalyzovat system. Zacal bych treba kontrolou binarek, treba takove podstrcene ps nezobrazi vsechny procesy... take v /tmp obcas byvaji poklady :-)
    17.8.2007 16:39 Ctirad Feřtr | skóre: 43 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    A není za tím serverem čirou náhodou zanatovaná nějaká síť s potenciálně zavirovanými počítači?
    17.8.2007 16:40 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Ne jedna se jen o jeden webovy server pripojeny primo do intenetu a mame na nej pristup pouze dva takze infiltraci zevnitr to urcite nebude.
    17.8.2007 16:48 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Trojan
    V případě nějakého většího http hosting serveru, kde není možné uhlídat klientské php scripty a současně není dost dobře zabezpečen Apache, se něco podobného může stát - třeba nějaký z "klientů" zanechá omylem na stránce chybu zneužitelnou přes RFI (Remote File Inclusion) - nějaká třetí strana toho využije a přiměje php interpreter, aby zpracoval externí php backdoor, který, při nedostatečném ošetření, může i spouštět jiné aplikace nebo ze sebe udělat ssh scanner, jeho tvůrce jej může využít k eskalaci práv (pokud možno), atd.
    17.8.2007 16:50 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    To taky neni muj pripad zatim tam je jen par domen, ktere dela kolega.
    17.8.2007 16:58 boar | skóre: 25 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    co si pohrat s tcpdumpem ? jestli opravdu vypisuje traffic na nejaky SSHcka ? popripade kouknout do netstatu ... napada me este upravit FW, aby veskerej odchozi traffic logoval ...
    17.8.2007 17:05 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    tady je vypis z netstatu:
    Active Internet connections (w/o servers)
    
    Proto Recv-Q Send-Q Local Address           Foreign Address         State
    
    tcp        0      0 195.47.67.109:39898     195.144.12.5:ircd       ESTABLISHED
    
    tcp        0      0 195.47.67.109:36603     undernet.irc.juste:6661 ESTABLISHED
    
    tcp        0      0 195.47.67.109:60146     undernet.xs4all.nl:ircd ESTABLISHED
    
    tcp6       0      0 ::ffff:195.47.67.10:www vpscomp.tgnet.cz:1138   ESTABLISHED
    
    tcp6       0      0 ::ffff:195.47.67.10:www vpscomp.tgnet.cz:1139   ESTABLISHED
    
    tcp6       0      0 ::ffff:195.47.67.10:ssh 12.219.forpsi.net:27770 ESTABLISHED
    
    tcp6       0    132 ::ffff:195.47.67.10:ssh 12.219.forpsi.net:27656 ESTABLISHED
    
    Active UNIX domain sockets (w/o servers)
    
    Proto RefCnt Flags       Type       State         I-Node Path
    unix  2      [ ]         DGRAM                    2759     @/org/kernel/udev/udevd
    unix  10     [ ]         DGRAM                    4246     /dev/log
    unix  3      [ ]         STREAM     CONNECTED     323137   /var/run/mysqld/mysqld.sock
    unix  3      [ ]         STREAM     CONNECTED     323136
    unix  2      [ ]         DGRAM                    311016
    unix  2      [ ]         DGRAM                    91751
    unix  3      [ ]         STREAM     CONNECTED     91748
    unix  3      [ ]         STREAM     CONNECTED     91747
    unix  2      [ ]         DGRAM                    8960
    unix  3      [ ]         STREAM     CONNECTED     5089     /var/run/dovecot/login/default
    unix  3      [ ]         STREAM     CONNECTED     5088
    unix  3      [ ]         STREAM     CONNECTED     5085     /var/run/dovecot/login/default
    unix  3      [ ]         STREAM     CONNECTED     5084
    unix  3      [ ]         STREAM     CONNECTED     5081     /var/run/dovecot/login/default
    unix  3      [ ]         STREAM     CONNECTED     5080
    unix  3      [ ]         STREAM     CONNECTED     5077     /var/run/dovecot/login/default
    unix  3      [ ]         STREAM     CONNECTED     5076
    unix  3      [ ]         STREAM     CONNECTED     5073     /var/run/dovecot/login/default
    unix  3      [ ]         STREAM     CONNECTED     5072
    unix  3      [ ]         STREAM     CONNECTED     5069     /var/run/dovecot/login/default
    unix  3      [ ]         STREAM     CONNECTED     5068
    unix  3      [ ]         STREAM     CONNECTED     5062
    unix  3      [ ]         STREAM     CONNECTED     5061
    unix  3      [ ]         STREAM     CONNECTED     5059
    unix  3      [ ]         STREAM     CONNECTED     5058
    unix  3      [ ]         STREAM     CONNECTED     5056
    unix  3      [ ]         STREAM     CONNECTED     5055
    unix  3      [ ]         STREAM     CONNECTED     5053
    unix  3      [ ]         STREAM     CONNECTED     5052
    unix  3      [ ]         STREAM     CONNECTED     5050
    unix  3      [ ]         STREAM     CONNECTED     5049
    unix  3      [ ]         STREAM     CONNECTED     5047
    unix  3      [ ]         STREAM     CONNECTED     5046
    unix  3      [ ]         STREAM     CONNECTED     5042
    unix  3      [ ]         STREAM     CONNECTED     5041
    unix  2      [ ]         DGRAM                    4994
    unix  2      [ ]         DGRAM                    4870
    unix  3      [ ]         STREAM     CONNECTED     4853
    unix  3      [ ]         STREAM     CONNECTED     4852
    unix  3      [ ]         STREAM     CONNECTED     4849
    unix  3      [ ]         STREAM     CONNECTED     4848
    unix  3      [ ]         STREAM     CONNECTED     4845
    unix  3      [ ]         STREAM     CONNECTED     4844
    unix  3      [ ]         STREAM     CONNECTED     4841
    unix  3      [ ]         STREAM     CONNECTED     4840
    unix  3      [ ]         STREAM     CONNECTED     4837
    unix  3      [ ]         STREAM     CONNECTED     4836
    unix  3      [ ]         STREAM     CONNECTED     4833
    unix  3      [ ]         STREAM     CONNECTED     4832
    unix  3      [ ]         STREAM     CONNECTED     4829
    unix  3      [ ]         STREAM     CONNECTED     4828
    unix  3      [ ]         STREAM     CONNECTED     4825
    unix  3      [ ]         STREAM     CONNECTED     4824
    unix  3      [ ]         STREAM     CONNECTED     4821
    unix  3      [ ]         STREAM     CONNECTED     4820
    unix  3      [ ]         STREAM     CONNECTED     4817
    unix  3      [ ]         STREAM     CONNECTED     4816
    unix  3      [ ]         STREAM     CONNECTED     4813
    unix  3      [ ]         STREAM     CONNECTED     4812
    unix  3      [ ]         STREAM     CONNECTED     4809
    unix  3      [ ]         STREAM     CONNECTED     4808
    unix  3      [ ]         STREAM     CONNECTED     4805
    unix  3      [ ]         STREAM     CONNECTED     4804
    unix  3      [ ]         STREAM     CONNECTED     4801
    unix  3      [ ]         STREAM     CONNECTED     4800
    unix  3      [ ]         STREAM     CONNECTED     4797
    unix  3      [ ]         STREAM     CONNECTED     4796
    unix  3      [ ]         STREAM     CONNECTED     4793
    unix  3      [ ]         STREAM     CONNECTED     4792
    unix  3      [ ]         STREAM     CONNECTED     4789
    unix  3      [ ]         STREAM     CONNECTED     4788
    unix  3      [ ]         STREAM     CONNECTED     4785
    unix  3      [ ]         STREAM     CONNECTED     4784
    unix  3      [ ]         STREAM     CONNECTED     4781
    unix  3      [ ]         STREAM     CONNECTED     4780
    unix  3      [ ]         STREAM     CONNECTED     4777
    unix  3      [ ]         STREAM     CONNECTED     4776
    unix  3      [ ]         STREAM     CONNECTED     4773
    unix  3      [ ]         STREAM     CONNECTED     4772
    unix  3      [ ]         STREAM     CONNECTED     4769
    unix  3      [ ]         STREAM     CONNECTED     4768
    unix  3      [ ]         STREAM     CONNECTED     4765
    unix  3      [ ]         STREAM     CONNECTED     4764
    unix  3      [ ]         STREAM     CONNECTED     4761
    unix  3      [ ]         STREAM     CONNECTED     4760
    unix  3      [ ]         STREAM     CONNECTED     4757
    unix  3      [ ]         STREAM     CONNECTED     4756
    unix  3      [ ]         STREAM     CONNECTED     4754
    unix  3      [ ]         STREAM     CONNECTED     4753
    unix  3      [ ]         STREAM     CONNECTED     4750
    unix  3      [ ]         STREAM     CONNECTED     4749
    unix  3      [ ]         STREAM     CONNECTED     4747
    unix  3      [ ]         STREAM     CONNECTED     4746
    unix  2      [ ]         DGRAM                    4738
    unix  2      [ ]         DGRAM                    4346
    unix  2      [ ]         DGRAM                    4261
    
    17.8.2007 17:09 boar | skóre: 25 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    hele, to IRC, to je tvoje ?!
    17.8.2007 17:11 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    rekl bych ze ne
    17.8.2007 17:12 boar | skóre: 25 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    Mno tak jelikoz nevidim zadnyho klienta ocividne beziciho (mozna jsem si ho jen nevsiml) tak by to klidne mohlo bejt ono ... mmnt zkusim tam kouknout :)
    17.8.2007 17:14 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: Trojan
    kedze nevies/nevieme kanal, tak ti to bude asi na prd :)
    17.8.2007 17:19 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    ale IRC jsem na serveru urcite nepouzival
    17.8.2007 17:18 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    posli vypis netstat -putna
    17.8.2007 17:43 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Ted bohuzel nemam fyzicky pristup k serveru ssh je vypnuty a kolega v cudu hodim to sem zitra.
    17.8.2007 17:47 boar | skóre: 25 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    Mno pravdepodobne vypnuty ssh nepomuze ...
    Jestli to IRC neni tvoje zalezitos, tak to by mohl bejt BOT na irc ... v nejakym botnetu. ovladanej nekym ...
    a ten v sobe bude mit nejakou binarku ssh klienta ... takze tak.
    kazdopadne hodne stesti. a urcite porefereuj, jak to dopadlo!
    17.8.2007 18:19 kh
    Rozbalit Rozbalit vše Re: Trojan
    http://195.47.67.109/
    17.8.2007 18:30 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Jak si prisel na tuhle IP?
    17.8.2007 18:35 phero | skóre: 17 | blog: techblog
    Rozbalit Rozbalit vše Re: Trojan
    vzdyt si ji jsem psal :-)

    Zkusime se tam dostat (kdyz vime ze to jde) ? :-D
    17.8.2007 18:37 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Promin mam uz toho dneska plny zuby a uz ani nevim co pisu :).
    17.8.2007 18:53 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Opravdu to vypadá na toho irc bota, ale před jeho odstřihnutím by možná stálo za to zjistit, jak se tam dostal... taky by se dala chytat odchozí/příchozí komunikace a z ní zjistit případný kanál a IP toho, kdo s botem komunikuje (pokud nechodí na irc server přes proxy nebo to neblokuje přímo server)..
    17.8.2007 19:16 neznalek
    Rozbalit Rozbalit vše Re: Trojan
    No mě to připadá, jako by ten server sloužil jako proxy. Zkusil bych projít logy apache. Ještě existuje nějaká aplikace, kterou když spustíš tak ti zkontroluje systém a vypíše jestli něco nebylo hacknutý. Jak se ta aplikace jmenuje ti musí tady někdo říct, na název si teď totiž nevzpomenu :-).
    17.8.2007 23:43 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Asi bych rekl ze to bude ten IRC bot, ted jsem mluvl s kolegou a nikdo z nas IRC vubec nezapinal. Jinak tenhle server je "stary" asi tri dny a tipnul bych, ze utocnik ziskal pristup behem prvnich par hodin, protoze jsem (ja pitomec) nezmenil defaultni heslo ihned a navic bylo shodne s nazvem serveru.
    18.8.2007 09:52 Ctirad Feřtr | skóre: 43 | Praha
    Rozbalit Rozbalit vše Re: Trojan
    Defaultní heslo? Co to je proboha za systém?
    18.8.2007 09:56 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Jeda se o dedikovany server takze pri predani mel nastaveny snadno uhadnutelny heslo. Jinak system je Debian.
    Václav 18.8.2007 09:58 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
    Rozbalit Rozbalit vše Re: Trojan
    To jsou taky nápady připojovat ho na net před změnou hesla :) Jestli bylo opravdu shodné s názvem serveru je to celkem jasné..
    Cross my heart and hope to fly, stick a cupcake in my eye!
    18.8.2007 10:00 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Tak ja jsem moc nemohl ovlivnit kdy ho pripoji :-)
    18.8.2007 10:44 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    $ whois 195.47.67.109
    [Querying whois.ripe.net]
    [whois.ripe.net]
    % This is the RIPE Whois query server #3.
    % The objects are in RPSL format.
    %
    % Rights restricted by copyright.
    % See http://www.ripe.net/db/copyright.html
    
    % Note: This output has been filtered.
    %       To receive output for a database update, use the "-B" flag.
    
    % Information related to '195.47.67.0 - 195.47.67.255'
    
    inetnum:        195.47.67.0 - 195.47.67.255
    netname:        STICKFISH-RACK
    descr:          Stickfish, s.r.o.
    descr:          Rehorova 54/1039
    descr:          Praha 3
    descr:          13000
    country:        cz
    admin-c:        FK476-RIPE
    tech-c:         FK476-RIPE
    status:         ASSIGNED PA
    remarks:        uid=rack1.nagano
    mnt-by:         AS6721-MNT
    source:         RIPE # Filtered
    
    Takze to vypada, ze mas server u abchostingu? Ze by tam davali slaby snadno uhadnutelny hesla? No fuj.
    Michal Fecko avatar 18.8.2007 11:20 Michal Fecko | skóre: 31 | blog: Poznámkový blog
    Rozbalit Rozbalit vše Re: Trojan
    Takze to vypada, ze mas server u abchostingu? Ze by tam davali slaby snadno uhadnutelny hesla? No fuj.
    Aj antireklama je reklama :-D
    18.8.2007 12:18 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    A nema nekdo napad jak by se dal ten pravdepodobny bot odstranit?
    18.8.2007 12:22 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Trojan
    ... zabít process a smazat binárku?
    18.8.2007 12:25 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Trojan
    resp. zkoumat ve výpisu ps -AfH (ps -faeH) processy jeden po druhém a prověřovat je ... než narazíš na něco, co tam nemá být.
    18.8.2007 12:25 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Tohle me napadlo taky ale z tech bezicich procesu ktere jsem na zacatku vypsal moc moudry nejsem a taky me nejak nenapada kde bych tu binarku mel hledat(i kdyz to zaze takovy problem nebude).
    18.8.2007 12:42 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    podle putna.txt cos vystavil na http://195.47.67.109/putna.txt to dela:
    tcp        0      0 195.47.67.109:60146     194.109.20.90:6667      ESTABLISHED2615/bash
    proces 2615 - bash, kde je videt ze se konekti na irc server na port 6667

    Zkus, jestli je videt prikazem ps, a najdi jeho binarku...

    Doporucuju nejako knizku o "hackingu", kde jsou popsane postupy co delat kdyz je stroj napaden.
    18.8.2007 12:48 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan
    Tak tim proces to asi urcite bude, dik za tip. Zkousel jsem chrootkit, ale ten nic nenasel a jeste v adresari /tmp je jen jediny soubor s nazvem pstree.out jenz obsahuje "vypis" bezicich procesu. V tomhle se sice nevyznam, ale napadlo me jestli opravdu nemuze byt podvrzene ps a jestli to misto spravneho vypisu nezobrazi tento soubor.
    michich avatar 18.8.2007 12:43 michich | skóre: 51 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: Trojan
    To bych vůbec nezkoušel. Nikdy nevíš, jestli to najdeš všechno. Může to být skryté chytrým rootkitem. Radši od základů přeinstalovat.
    18.8.2007 12:33 dustin | skóre: 63 | blog: dustin
    Rozbalit Rozbalit vše Re: Trojan
    Samozřejmě nejdříve jej vypnout (třeba přes netstat) a pak bych zkusil chkrootkit.
    18.8.2007 12:35 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: Trojan
    jak jsem jiz psal, nejdriv zkontroluj, zda nemas podvreznou binarku samotneho prikazu "ps"ktera umi skryt procesy toho crackera, podivej do /tmp a nainstaluj i nejaky sw na detekci rootkitu, uplne ale prvni vec, odpoj to od site :-)
    18.8.2007 12:57 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Mrkni jestli tam nemas nejaky rootkit

    http://www.chkrootkit.org/
    cd /pub | more beer
    18.8.2007 13:00 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    chkrootkit jsem uz zkousel-> nic
    18.8.2007 13:16 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Tak v tom pripade jeste antivir na pritomnost Trojanu, pokud tam mas nejake weby jak jsi psal

    apt-get install clamav

    a pak pouzit clamscan
    cd /pub | more beer
    18.8.2007 14:03 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    s tim antivirem to byl dobry napad(opet se stydim, ze me to nenapadlo) naslo mi to nasledujici havet: Trojan.Linux.Rst.b Trojan.Rst.a
    18.8.2007 14:18 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    haaleluja ... videl bych to na nejaky blbe napsany php script nejakeho webu na to serveru, ze by ten trojan byl v adresari napr. "fotos" ? :o)
    cd /pub | more beer
    18.8.2007 14:21 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Opravdu by to mohlo byt kvuli php? Jestli je to pravdepodobny musel bych asi servat kolegu, ale nemam zadnej dukaz, ktery by to potvrdil.Jinak infekci jsem zatim nasel v rootovskym adresari a byli to dva soubory s priponou jpg, ale klidne muze byt i jinde protoze to zatim neprojelo vsechno.
    18.8.2007 14:26 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    ajaj ajaj v /root/... to neni dobre, to vypada na reinstalaci OS, to bude asi hackly server a nedivil bych se, kdyz tam byl i nejaky backdoor. Leda ze by ti treba apache s php bezelo pod rootem, ale to snad ne.
    cd /pub | more beer
    18.8.2007 14:28 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    ne apache bezi pod vlastnim uzivatelem.
    18.8.2007 15:08 phero | skóre: 17 | blog: techblog
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    PHP/perl apod. bývá nejslabší místo podobných serverů.
    18.8.2007 14:30 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Jestli muzu alespon doporucit, tak pokud mozno vsechny weby jet v safe_modu a do php.ini dej tohle

    disable_functions = dl, system, shell_exec, exec, escapeshellarg, escapeshellcmd, passthru, proc_close, proc_open, proc_get_status, proc_nice, proc_open, proc_terminate, popen, pclose, disk_free_space, disk_total_space, diskfreespace, fileinode
    cd /pub | more beer
    18.8.2007 14:32 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Tohle jsem na minulym serevru mel ale bohuzel tady jsem to nestihnu :-(
    18.8.2007 14:34 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    hehe tak to se pak neni cemu divit :o)
    cd /pub | more beer
    18.8.2007 14:37 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    To si opravdu myslis ze se mi tam utocnik dostal pres Apache? Protoze vsechny php skripty jsou tam psany duverihodnou osobou(ten co si ten server plati).
    18.8.2007 14:39 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Mno i duverihodna osoba muze delat chyby byt je to dobry programator. Zadny sw, script, program ...atd. neni bez chyb!
    cd /pub | more beer
    18.8.2007 14:40 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    To je mi jasny, jen ze mi prislo pravdepodobnejsi to uhadnuti pocatecniho hesla roota.
    18.8.2007 14:45 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Jeste me zarazi, jak je mozne se pres ssh nalogujes rovnou jako root ...!!! to bych rozhodne vypnul! Prvni nejaky user s poradny heslem a potom pak "su". A nejlepe port 22 (ssh) omezit na firewallu jen z nekterych IP adres. Jestli nevis jak, rad poradim.
    cd /pub | more beer
    18.8.2007 14:49 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Tohle jsem planoval taky predelat, problem byl v tom ze presun byl dost na rychlo a nestihnul jsem to. Ale kdybych mohl poprosit potreboval bych v firewallu omezit komunikaco pres ssh na dve IP adresy. Na jine, aby vubec neodpovidal, popr jeste aby firewall blokoval vsechno krom portu pro www,ftp,smtp a vyse zminenych dvou IP na ssh.
    18.8.2007 14:57 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Obecne firewall se stavi tak, ze zakazes vsechno a povolis jen to co potrebujes. Co se tyce omezeni ssh na IP tak je to nejak takhle:

    /sbin/iptables -A INPUT -i eth0 -p TCP -s x.x.x.x --dport 22 -j ACCEPT

    misto x.x.x.x dosadis IP adresu ze ktere bude povolen pristup na ssh. Ale pokud nemas zadny firewall, tak je ti to k nicemu, protoze tech pravidel je mnohem vice. Jestli nemas, muzu sem dat kopletni firewall script pro hostingovy server.
    cd /pub | more beer
    18.8.2007 15:01 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Nejaky predinstalovany firewall tam pry je, ale radsi bych mel jistotu ze blokuje, krom toho co opravdu potrebuju, vsechno. Proto jestli by te mohl o ten skript poprosit.
    18.8.2007 15:11 phero | skóre: 17 | blog: techblog
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Nejaky duvod neprihlasovat se primo jako root pres ssh? No, hesla bych vubec nepouzival - klice nejsou jen pro srandu.
    18.8.2007 15:17 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    O klicich taky vim uz jsem ho tam mel i pridany, ale jak uz jsem psal to napadeni bylo pomerne brzo. Prstup k serveru jsem dostal v stredu vecer a uz ve ctvrtek po pulnoci to zacalo vykazovat prvni znaky problemu. Vim, ze jsem udelal chybu, ze jsem se prioritne nevenoval zabezpeceni, ale nikdy jsem takovehle problemy nemel a myslel jsem si ze to den pocka(krom zmen hese to jsem udelal temer okamzite) a muzu se venovat jinym vecem.
    18.8.2007 15:31 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Takze tady to je:

    /usr/local/sbin/fw-on

    #!/bin/sh
    #
    # fw-on - script pro spusteni firewallu
    #
    # Prevzato od Mirka Petricka http://www.petricek.cz
    #
    # Upraveno by B0biN
    
    # IP adresa a vnejsi rozhrani
    INET_IP="X.X.X.X"
    INET_IFACE="eth0"
    
    # Lokalni loopback rozhrani
    LO_IFACE="lo"
    LO_IP="127.0.0.1/32"
    
    # Cesta k programu iptables
    IPTABLES="/sbin/iptables"
    
    # Inicializace databaze modulu
    /sbin/depmod -a
    
    # Zavedeme moduly pro nestandardni cile
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    
    # Modul pro FTP prenosy
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    
    # Vypneme routovani paketu
    echo "0" > /proc/sys/net/ipv4/ip_forward
    echo "0" > /proc/sys/net/ipv4/tcp_syncookies
    
    # rp_filter na zamezeni IP spoofovani
    for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
       echo "1" > ${interface}
    done
    
    # Implicitni politikou je zahazovat nepovolene pakety
    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT DROP
    
    #
    # Pridavne retezce pro snazsi kontrolu na rezervovane adresy
    #
    
    # Zahazovat a logovat (max. 5 x 3 pakety za hod)
    $IPTABLES -N logdrop
    $IPTABLES -A logdrop -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "Rezervovana adresa: "
    $IPTABLES -A logdrop -j DROP
    
    # V tomto retezci se kontroluje, zda prichozi pakety nemaji nesmyslnou IP adresu
    $IPTABLES -N IN_FW
    $IPTABLES -A IN_FW -s 192.168.0.0/16 -j logdrop # rezervovano podle RFC1918
    $IPTABLES -A IN_FW -s 10.0.0.0/8 -j logdrop     #   ---- dtto ----
    $IPTABLES -A IN_FW -s 172.16.0.0/12 -j logdrop  #   ---- dtto ----  
    $IPTABLES -A IN_FW -s 96.0.0.0/4 -j logdrop     # rezervovano podle IANA
    # ... dalsi rezervovane adresy mozno doplnit podle 
    #       http://www.iana.com/assignments/ipv4-address-space
    
    
    # TOS flagy slouzi k optimalizaci datovych cest. Pro ssh, ftp a telnet
    # pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
    $IPTABLES -t mangle -A PREROUTING -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
    $IPTABLES -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
    $IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
    $IPTABLES -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
    $IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput
    #
    # Retezec INPUT
    #
    
    # Portscan s nastavenym SYN,FIN
    $IPTABLES -A INPUT -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j LOG -m limit --limit 10/m --log-prefix="bogus packet: "
    $IPTABLES -A INPUT -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j DROP
    
    # Pravidla pro povolene sluzby 
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 20 -j ACCEPT  #FTP server
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 21 -j ACCEPT  #FTP server
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 25 -j ACCEPT  #SMTP server
    $IPTABLES -A INPUT -i $INET_IFACE -p UDP --dport 53 -j ACCEPT  #DNS server UDP
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 53 -j ACCEPT  #DNS server TCP
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 80 -j ACCEPT  #WWW server
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 110 -j ACCEPT #POP3 server
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 143 -j ACCEPT #IMAP server
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 443 -j ACCEPT #HTTPS server
    
    #Povoleni pro SSH z urcite IP adresy
    $IPTABLES -A INPUT -i $INET_IFACE -s X.X.X.X -p TCP --dport 22 -j ACCEPT # misto X.X.X.X dosadit IP ze ktere je povoleno ssh
    
    
    # Sluzbu AUTH neni dobre filtrovat pomoci DROP, protoze to muze
    # vest k prodlevam pri navazovani nekterych spojeni. Proto jej
    # sice zamitneme, ale tak, aby nedoslo k nezadoucim prodlevam.
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -m limit --limit 12/h -j LOG
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -j REJECT --reject-with tcp-reset #AUTH server
    
    # Propoustime pouze ICMP ping
    $IPTABLES -A INPUT -i $INET_IFACE -p ICMP --icmp-type echo-request -j ACCEPT
    
    # Loopback neni radno omezovat
    $IPTABLES -A INPUT -i $LO_IFACE -j ACCEPT
    
    # Pakety od navazanych spojeni jsou v poradku
    $IPTABLES -A INPUT -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # Vsechno ostatni je zakazano - tedy logujeme, maxim. 12x5 pkt/hod 
    $IPTABLES -A INPUT -m limit --limit 12/h -j LOG --log-prefix "INPUT drop: "
    
    #
    # Retezec OUTPUT
    #
    
    # TOS flagy slouzi k optimalizaci datovych cest. Pro ssh, ftp a telnet
    # pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
    $IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
    $IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
    $IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
    $IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport ftp -j TOS --set-tos Minimize-Delay
    $IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
    $IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput
    
    # Povolime odchozi pakety, ktere maji nase IP adresy
    $IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT
    $IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT
    
    # Ostatni pakety logujeme (nemely by byt zadne takove)
    $IPTABLES -A OUTPUT -j LOG --log-prefix "OUTPUT drop: "
    


    Script pro vypnuti firewallu a vymazani vsech pravidel

    /usr/local/sbin/fw-off

    #!/bin/bash
    
    IPTABLES="/sbin/iptables"
    
    function delete_chain() {
    	echo -n "$1/$2: ";
    	while [ -z "`$IPTABLES -t $1 -D $2 1 2>&1 `" ]; do
    		echo -n "#"
    	done
    	echo " OK";
    }
    
    $IPTABLES -t filter -P INPUT ACCEPT
    $IPTABLES -t filter -P OUTPUT ACCEPT
    $IPTABLES -t filter -P FORWARD ACCEPT
    
    delete_chain filter INPUT;
    delete_chain filter OUTPUT;
    delete_chain filter FORWARD;
    delete_chain filter IN_FW;
    delete_chain filter logdrop;
    delete_chain filter syn-flood;
    
    $IPTABLES -X IN_FW 2> /dev/null;
    $IPTABLES -X logdrop 2> /dev/null;
    $IPTABLES -X syn-flood 2> /dev/null;
    
    $IPTABLES -t nat -P PREROUTING ACCEPT
    $IPTABLES -t nat -P OUTPUT ACCEPT
    $IPTABLES -t nat -P POSTROUTING ACCEPT
    
    delete_chain nat PREROUTING;
    delete_chain nat OUTPUT;
    delete_chain nat POSTROUTING;
    
    $IPTABLES -t mangle -P PREROUTING ACCEPT
    $IPTABLES -t mangle -P OUTPUT ACCEPT
    
    delete_chain mangle PREROUTING;
    delete_chain mangle OUTPUT;
    


    A jeste init script:

    /etc/init.d/firewall

    #!/bin/sh -e
    
    # Start a stop firewallu
    #
    
    case "$1" in
        start)
    	echo -n "Spoustim Firewall"
    	echo ""
    	/usr/local/sbin/fw-on
    	echo ""
    	echo "Firewall spusten!"
        ;;
    
        stop)
    	echo -n "Zastavuji Firewall!"
    	echo ""
    	/usr/local/sbin/fw-off
    	echo ""
    	echo "Firewall zastaven!"
        ;;
    
        restart)
            $0 stop || true
            $0 start
        ;;
        status)
    	echo ""
    	/sbin/iptables -L -n
    	echo ""
        ;;    
        
        *)
    	echo "Pouziti: /etc/init.d/firewall {start|stop|restart|status}"
    	exit 1
        ;;
    esac
    
    exit 0
    
    cd /pub | more beer
    18.8.2007 16:46 lnykryn | skóre: 11 | Brno
    Rozbalit Rozbalit vše Re: Trojan - jak se bránit?
    Diky

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.