Hozzászólások
[quote:218b02a5e4="nehai"]Én a webmint leszedném egy neten lévő gépről, tanulni elmegy , de élesben ne használd.
Az uj telepitesre mar nem is tettem fel webmint-t. :)
Uolag nezve a dolgokat azert az meg beugrott, hogy hasznaltam apt-build-et a gepemen levo csomagok ujraforditasa miatt (-march=pentium4). Lehet, hogy a webmin-ntp ezert nem mukodott ugy, ahogy kellett volna :oops:
- A hozzászóláshoz be kell jelentkezni
[quote:3998182985="labadimate"]Sziasztok!
Kezdo vagyok linux tuzfal teruleten, ezert lehet, hogy lesznek kezdo kerdeseim :(
A problema:
Tegnap ejjel bekapcsolva hagytam az egyetemi gepemet (Debian Sarge naponta frissitve), es mikor delelott tavolrol beleptem ra, meglepodve tapasztaltam, hogy a datuma 1901. december 14, szombatra lett atallitva (az ora sem a pontos idot mutatta).
Ebbol arra kovetkeztettem, hogy
1. vagy valami szoftverhiba -> de melyik program tenne ilyet hibabol!?
2. vagy valami aramszunet (de ez utobbi kizarva, mivel az uptime jo idot mutatott)
3. valaki betort a gepre, es root-kent atirta a datumot, esetleg az ntpdate hulyult meg (hamisitott datum a pool.ntp.org-rol)
a last parancs csak a ma delelotti bejelentkezesemtol irja ki a bejelentkezeseket (a tobbi mintha torolve lenne)
Kerdeseim:
1. Valaki meg tudja erositeni a gyanumat?
2. Esetleg van-e olyan program, ami megmondja, hogy van-e backdoor a gepen?
3. Javasolt-e az ujratelepites?
4. Milyen firewall programot tudtok ajanlani Debian ala? NEztem egyet-kettot, de elsore igen bonyolultnak tuntek. Es tuzfal temaban meg nem vagyok jo.
Mate
Hali!
Én még arra tippelnék, hogy lemerült az alaplapon az elem. Ugyan a leírtak alapján nem vszínű, de ki tudja. Végül is egy haldokló elem talán okozhat ilyet.
- A hozzászóláshoz be kell jelentkezni
Sziasztok!
Kezdo vagyok linux tuzfal teruleten, ezert lehet, hogy lesznek kezdo kerdeseim :(
A problema:
Tegnap ejjel bekapcsolva hagytam az egyetemi gepemet (Debian Sarge naponta frissitve), es mikor delelott tavolrol beleptem ra, meglepodve tapasztaltam, hogy a datuma 1901. december 14, szombatra lett atallitva (az ora sem a pontos idot mutatta).
Ebbol arra kovetkeztettem, hogy
1. vagy valami szoftverhiba -> de melyik program tenne ilyet hibabol!?
2. vagy valami aramszunet (de ez utobbi kizarva, mivel az uptime jo idot mutatott)
3. valaki betort a gepre, es root-kent atirta a datumot, esetleg az ntpdate hulyult meg (hamisitott datum a pool.ntp.org-rol)
a last parancs csak a ma delelotti bejelentkezesemtol irja ki a bejelentkezeseket (a tobbi mintha torolve lenne)
Kerdeseim:
1. Valaki meg tudja erositeni a gyanumat?
2. Esetleg van-e olyan program, ami megmondja, hogy van-e backdoor a gepen?
3. Javasolt-e az ujratelepites?
4. Milyen firewall programot tudtok ajanlani Debian ala? NEztem egyet-kettot, de elsore igen bonyolultnak tuntek. Es tuzfal temaban meg nem vagyok jo.
Mate
- A hozzászóláshoz be kell jelentkezni
[quote:5e5bc93d25="labadimate"]Sziasztok!
Kezdo vagyok linux tuzfal teruleten, ezert lehet, hogy lesznek kezdo kerdeseim :(
A problema:
Tegnap ejjel bekapcsolva hagytam az egyetemi gepemet (Debian Sarge naponta frissitve), es mikor delelott tavolrol beleptem ra, meglepodve tapasztaltam, hogy a datuma 1901. december 14, szombatra lett atallitva (az ora sem a pontos idot mutatta).
Ebbol arra kovetkeztettem, hogy
1. vagy valami szoftverhiba -> de melyik program tenne ilyet hibabol!?
2. vagy valami aramszunet (de ez utobbi kizarva, mivel az uptime jo idot mutatott)
3. valaki betort a gepre, es root-kent atirta a datumot, esetleg az ntpdate hulyult meg (hamisitott datum a pool.ntp.org-rol)
a last parancs csak a ma delelotti bejelentkezesemtol irja ki a bejelentkezeseket (a tobbi mintha torolve lenne)
Kerdeseim:
1. Valaki meg tudja erositeni a gyanumat?
2. Esetleg van-e olyan program, ami megmondja, hogy van-e backdoor a gepen?
3. Javasolt-e az ujratelepites?
4. Milyen firewall programot tudtok ajanlani Debian ala? NEztem egyet-kettot, de elsore igen bonyolultnak tuntek. Es tuzfal temaban meg nem vagyok jo.
Mate
Rendszernaplo mit mond? Gyanus processzek? Gyanus halozati forgalom van? Azert csak ugy tuzfal nelkul egy linuxot is meredek feldobni netre. Futtasd a chkrootkit nevu cuccot (apt-get install chkrootkit) es meglatjuk mit mond, nem 100%-os a dolog es akar modosithattak is a binarist, persze ha frissen telepited jo eselyed van, hogy jot mutat.
Tuzfalnak a kernelbe epitett iptables teljesen jo. Az mondjuk nem artana, ha egy grsec-es kernelt eroltetnel a gepre majdan. Azt is tudnod kell, hogy a sarge csomagokba nem mindig kerul be idoben a sechole foltozas.
- A hozzászóláshoz be kell jelentkezni
Rootkit keresőnek én az rkhuntert ajánlom, nekem ngyon bejött. Ha valaki egy betörés után alaposan jár el, akkor valószínűleg a logokat is törli. Nézd meg a syslogd naplóit, hogy megvannak-e, és a fel gomb nyomogatásával nézd meg esetleg látod-e az előző parancsokat, vagy azt is kitörölte.
- A hozzászóláshoz be kell jelentkezni
[quote:5cd513db23="ejmadar"]
Hali!
Én még arra tippelnék, hogy lemerült az alaplapon az elem. Ugyan a leírtak alapján nem vszínű, de ki tudja. Végül is egy haldokló elem talán okozhat ilyet.
Az elem nem valoszinu, mert a gep osszel lett beszerezve (megvasarolva).
De ha ujbol elofordul a hiba, akkor rogton lecserelem az elemet.
M.,
- A hozzászóláshoz be kell jelentkezni
[quote:3dfc46b8d4="labadimate"][quote:3dfc46b8d4="ejmadar"]
Hali!
Én még arra tippelnék, hogy lemerült az alaplapon az elem. Ugyan a leírtak alapján nem vszínű, de ki tudja. Végül is egy haldokló elem talán okozhat ilyet.
Az elem nem valoszinu, mert a gep osszel lett beszerezve (megvasarolva).
De ha ujbol elofordul a hiba, akkor rogton lecserelem az elemet.
M.,
Ha nem lett kikapcsolva akkor nem az a gond, csak bootkor nezi az alaplapit. (Vagy ha kered ra.) Kulonben is volt valami NTP is ott...
- A hozzászóláshoz be kell jelentkezni
Kiprobaltam mind a chkrootkit-et, es az rkhuntert is (mindkettot ma delelott toltottem le), de egyik sem talalt semmi hibat. a /root/.bash_history -ban sem volt semmi olyan, amit nem en irtam.
Azota gepemet ujratelepitettem.
Van nehany kerdesem a log-okkal kapcsolatban:
1. Normalis-e a "Feb 16 23:57:02 myhost -- MARK --" bejegyzes
2. Mi az a sok
"Feb 16 13:09:01 myhost CRON[2433]: (pam_unix) session opened for user root by (uid=0)
Feb 16 13:09:01 myhost CRON[2433]: (pam_unix) session closed for user root"
bejegyzes?
3. Lehet-e a webmin-ntp a bunos? 0> lasd febr. 17- 00:00:01
4. Es lehetseges-e hogy csak ugy maguktol ujrainduljanak a szolgaltatasok -> lasd cups / syslog / apache 0-> gondolom nem
Mellekelem a log egy-egy reszet, hatha valaki -akit erdekel- tobbet olvas ki beloluk.
A log-okban a kovetkezoket talaltam:
**********************************************
a cups/error_log: -> mintha valaki ujrainditotta volna a cups-t
**********************************************
I [14/Dec/1901:07:21:38 +0100] Listening to 0:631
I [14/Dec/1901:07:21:38 +0100] Loaded configuration file "/etc/cups/cupsd.conf"
I [14/Dec/1901:07:21:38 +0100] Configured for up to 100 clients.
I [14/Dec/1901:07:21:38 +0100] Allowing up to 100 client connections per host.
I [14/Dec/1901:07:21:38 +0100] Full reload is required.
I [14/Dec/1901:07:21:38 +0100] LoadPPDs: Read "/etc/cups/ppds.dat", 17 PPDs...
I [14/Dec/1901:07:21:38 +0100] LoadPPDs: No new or changed PPDs...
I [14/Dec/1901:07:21:39 +0100] Full reload complete.
**********************************************
Es ugyanabban az idoben az apache-ot is:
**********************************************
[Sat Dec 14 07:21:38 1901] [notice] SIGUSR1 received. Doing graceful restart
wtmp: (last)
**************************************************************************
Itt semmi kulonos nincs. Bekapcsoltam a gepet 16-an (szerdan) 12.57-kor, bejelentkeztem a sajat nevemen.
Es mivel december 14-en ~7.50-kor (febr 17. -e 12.00 korul) tavolrol leallitottam a gepet, nyilvan nem is volt logout.
Illetve este 6-kor is en jelentkeztem be tavolrol.
**************************************************************************
reboot system boot 2.4.27-2-686-smp Thu Feb 17 16:07 (01:35)
reboot system boot 2.4.27-2-686-smp Thu Feb 17 16:03 (00:00)
myuser pts/0 ip-xxx.xxx.xxx Sat Dec 14 07:47 - down (00:03)
myuser pts/0 ip-xxx.xxx.xxx Wed Feb 16 18:07 - 19:42 (01:35)
myuser pts/1 :0.0 Wed Feb 16 13:02 - 13:28 (00:25)
myuser pts/0 :0.0 Wed Feb 16 13:02 - 13:28 (00:26)
myuser :0 Wed Feb 16 12:57 gone - no logout
messages:
Feb 16 12:57:05 myhost sshd[1361]: Server listening on 0.0.0.0 port 22.
Feb 16 12:57:08 myhost perl: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=root
Feb 16 12:57:11 myhost webmin[1365]: Webmin starting
Feb 16 12:57:30 myhost gdm[1583]: (pam_unix) session opened for user myuser by (uid=0)
Feb 16 13:09:01 myhost CRON[2433]: (pam_unix) session opened for user root by (uid=0)
Feb 16 13:09:01 myhost CRON[2433]: (pam_unix) session closed for user root
...
Dec 13 23:24:01 myhost sshd[4970]: Did not receive identification string from 148.228.20.76
Dec 13 23:35:49 myhost sshd[5363]: Illegal user jordan from 148.228.20.76
Dec 13 23:35:54 myhost sshd[5368]: Illegal user michael from 148.228.20.76
***************** ... meg 20 hasonlo probalkozas egymas utan ********************
Dec 13 23:38:33 myhost sshd[5515]: Illegal user rose from 148.228.20.76
Dec 13 23:39:45 myhost CRON[5562]: (pam_unix) session opened for user root by (uid=0)
Dec 13 23:39:46 myhost CRON[5562]: (pam_unix) session closed for user root
**************** ... ugyanez ismetlodik **************************
**************************************************************************
Ez itt viszont biztos nem en voltam, de ki, es hogyan?!
**************************************************************************
Dec 14 06:25:45 myhost su[19256]: + ??? root:nobody
Dec 14 06:25:45 myhost su[19256]: (pam_unix) session opened for user nobody by (uid=0)
Dec 14 06:39:45 myhost CRON[19729]: (pam_unix) session opened for user root by (uid=0)
Dec 14 06:39:45 myhost CRON[19729]: (pam_unix) session closed for user root
...
Dec 14 07:39:45 myhost CRON[22331]: (pam_unix) session opened for user root by (uid=0)
Dec 14 07:39:45 myhost CRON[22331]: (pam_unix) session closed for user root
**************************************************************************
itt pedig mar en leptem be tavolrol, es lattam, hogy baj van,
igy 7.50-kor leallitottam gepet
**************************************************************************
Dec 14 07:47:35 myhost sshd[22581]: Accepted keyboard-interactive/pam for myuser from xxx.xxx.xxx.xxx port 1845 ssh2
Dec 14 07:47:35 myhost sshd[22591]: (pam_unix) session opened for user myuser by (uid=0)
Dec 14 07:47:39 myhost su[22615]: + pts/0 myuser:root
Dec 14 07:47:39 myhost su[22615]: (pam_unix) session opened for user root by myuser(uid=1000)
Dec 14 07:50:50 myhost gdm[1583]: (pam_unix) session closed for user myuser
Dec 14 07:50:51 myhost sshd[1361]: Received signal 15; terminating.
**************************************************************************
* Itt pedig mar helyileg kapcsoltam be a gepet, es probaltam a webmin-re *
* belepni, de mar nem tudtam: *
**************************************************************************
Feb 17 16:03:44 myhost sshd[1368]: Server listening on 0.0.0.0 port 22.
Feb 17 16:03:47 myhost perl: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=root
Feb 17 16:03:49 myhost webmin[1372]: Webmin starting
**************************************************************************
*A leggyanusabb a syslog.0: lehet, hogy a webmin ntp modulja kavart be????*
**************************************************************************
Feb 16 23:37:02 myhost -- MARK --
Feb 16 23:39:01 myhost /USR/SBIN/CRON[28903]: (root) CMD ( [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxlifetime) -print0 | xargs -r -0 rm)
Feb 16 23:57:02 myhost -- MARK --
Feb 17 00:00:01 myhost /USR/SBIN/CRON[29702]: (root) CMD (/etc/webmin/time/sync.pl)
Dec 13 22:02:52 myhost -- MARK --
Dec 13 22:09:45 myhost /USR/SBIN/CRON[30400]: (root) CMD ( [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxlifetime) -print0 | xargs -r -0 rm)
Dec 13 22:17:45 myhost /USR/SBIN/CRON[30667]: (root) CMD ( run-parts --report /etc/cron.hourly)
Dec 13 22:39:45 myhost /USR/SBIN/CRON[31397]: (root) CMD ( [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxlifetime) -print0 | xargs -r -0 rm)
Dec 13 23:02:52 myhost -- MARK --
- A hozzászóláshoz be kell jelentkezni
[quote:69d90d13e0="labadimate"]1. Normalis-e a "Feb 16 23:57:02 myhost -- MARK --" bejegyzes
igen
[quote:69d90d13e0="labadimate"]2. Mi az a sok
"Feb 16 13:09:01 myhost CRON[2433]: (pam_unix) session opened for user root by (uid=0)
Feb 16 13:09:01 myhost CRON[2433]: (pam_unix) session closed for user root"
bejegyzes?
/etc/cron.d/ alatti jobjaid?
[quote:69d90d13e0="labadimate"]3. Lehet-e a webmin-ntp a bunos? 0> lasd febr. 17- 00:00:01
nemism
[quote:69d90d13e0="labadimate"]4. Es lehetseges-e hogy csak ugy maguktol ujrainduljanak a szolgaltatasok -> lasd cups / syslog / apache 0
igen (logrotate?)
[quote:69d90d13e0="labadimate"]a last parancs csak a ma delelotti bejelentkezesemtol irja ki a bejelentkezeseket (a tobbi mintha torolve lenne)
az 1901.dec.14-e elotti sessionok? :)
- A hozzászóláshoz be kell jelentkezni
[quote:97aa1a0bff="labadimate"]
**************************************************************************
Ez itt viszont biztos nem en voltam, de ki, es hogyan?!
**************************************************************************
Dec 14 06:25:45 myhost su[19256]: + ??? root:nobody
Dec 14 06:25:45 myhost su[19256]: (pam_unix) session opened for user nobody by (uid=0)
cron.daily úr?
- A hozzászóláshoz be kell jelentkezni
Sajnos a cron konyvtarak mar nincsenek meg az ujratelepites miatt. Igy nem tudom megnezni, hogy mik voltak bennuk. :(
Azt a sejtest a log alapjan valaki meg tudja erositeni, hogy a webmin ntp modulja allithatta at az orat?
- A hozzászóláshoz be kell jelentkezni
Én a webmint leszedném egy neten lévő gépről, tanulni elmegy , de élesben ne használd.
- A hozzászóláshoz be kell jelentkezni