|
|
conmale wrote:
sunrise_vn wrote:
Qua bài viết của nbthanh sunrise_vn học thêm được rất nhiều. Thật ra "nhu cầu" là cơ sở để so sánh điều này rất đúng. Sunrise_vn đã đưa ra "nhu cầu" để so sánh rồi mà các thành viên không thấy hay do sunrise_vn không đưa ra "nhu cầu" không rõ?!
Theo bạn mình đang cần xây dựng một máy chủ Web, hỗ trợ PHP, JSP, ASP.Net, MySQL vậy nên dùng OS nào để hiệu năng tốt nhất, chi phí thấp nhất, độ tin cậy cao nhất?
"Nhu cầu" đã rõ rồi, đến "yêu cầu":
nào để hiệu năng tốt nhất, chi phí thấp nhất, độ tin cậy cao nhất?
Cái gì đụng tới ASP.NET thì nên dùng Windows server.
Với PHP, JSP và mysql thì Linux là chọn lựa tốt nhất.
Thế nhu cầu phổ biến nào thì dùng các dòng Unix như FreeBSD, Sun Solaris hay HP-UX anh conmale nhỉ ?
Thân,
|
|
|
Mình đã thử gửi CV
|
|
|
Hi FaL, hình như FaL có chút nhầm lẫn, theo link FaL đưa http://tldp.org/HOWTO/Linux+FreeBSD-2.html) thì có 2 so sánh tương đương rõ ràng giữa Linux và FreeBSD :
The hard drives are labelled in the following way in Linux and FreeBSD:
Linux FreeBSD
First IDE drive /dev/hda /dev/wd0
Second IDE drive /dev/hdb /dev/wd1
First SCSI drive /dev/sda /dev/sd0
Second SCSI drive /dev/sdb /dev/sd1
The partitions (FreeBSD slices) on an IDE drive are labelled in the following way (/dev/hda is used as an example):
Linux FreeBSD
First primary partition /dev/hda1 /dev/wd0s1
Second primary partition /dev/hda2 /dev/wd0s2
Third primary partition /dev/hda3 /dev/wd0s3
Fourth primary partition /dev/hda4 /dev/wd0s4
Theo so sánh đó thì các /dev/wd0 (cũng như /dev/ad0, /dev/da0 ... như mình đã đề cập) là các Hard Disk. Còn các /dev/wd0s1 (cũng như /dev/ad0s1a, /dev/ad0s1e ... như mình đã đề cập) là Slice/Partition
Thân,
|
|
|
FaL wrote:
1. Trong output của fdisk -s ở trên có có lần lượt liệt kê đầy đủ 3 partition của disk /dev/ad6. FaL chưa hiểu rõ ý "partition" của rickb ở đây thì phải.
3. Theo FaL hiểu nôm na là "sắp được giải phóng", khi cần phần bộ nhớ này sẽ được sử dụng.
Hi Fal,
Đây là output của tớ :
Code:
[root@vietwow-bsd ~]# fdisk -s
/dev/ad0: 17753 cyl 15 hd 63 sec
Part Start Size Type Flags
1: 63 16776522 0xa5 0x80
[root@vietwow-bsd ~]#
[root@vietwow-bsd ~]#
[root@vietwow-bsd ~]# df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1a 396M 129M 236M 35% /
devfs 1.0K 1.0K 0B 100% /dev
/dev/ad0s1e 347M 12K 319M 0% /tmp
/dev/ad0s1f 5.5G 1.7G 3.4G 34% /usr
/dev/ad0s1d 644M 120M 472M 20% /var
Như vậy fdisk chỉ cho ra ad0 hay ad1 hay da0 hay da1.... output này chỉ chỉ ra được đây là disk thứ mấy, vd ad0 nghĩa là IDE Disk thứ 0, còn da1 là SCSI Disk thứ 2. Còn nó ko show được các partition như : /dev/ad0s1a, /dev/ad0s1e .... như output của lệnh df (vì lệnh df chính là lệnh show những partition đã được mount và mount point đi kèm với nó)
Thân,
|
|
|
Hi FaL, đầu tiên xin chân thành cảm ơn bạn đã quan tâm giúp đỡ
1/ Cái này tớ có đọc man page rồi ấy chứ nhưng option -s chỉ show all disk chứ ko show all partition. Ngoài ra còn 1 option print info là -p nhưng tớ thử và có vẻ như nó ko phải là cái tớ cần tìm
2/ ok, tớ sẽ tìm hiểu kỹ hơn về phần này. Anyway, ai biết thì xin cho thêm ý kiến
3/ Cái này tớ cũng đọc man page rồi nhưng thực sự ko clear được đoạn "Wired: number of pages wired down, including cached file data pages" nên mới đành đem lên đây hỏi
Again, thanx
Thân,
|
|
|
Hi all, mình mới tìm hiểu FreeBSD 1 thời gian ngắn nên có 3 câu hỏi mong được giúp đỡ :
1/ Cách show all disk/partition availability trong FreeBSD ? :
Trong Linux có lệnh fdisk -l nhưng trong freebsd tuy cũng có fdisk như ko có option có chức năng tương tự như tham số -l trong linux, hiện giờ trong freebsd mình muốn show all disk/partition availability thì phải dùng lệnh sysintall nhưng như vậy thì phiền wá (phải wa mấy bước). Không biết có cách nào đề show giống fdisk -l trong Linux ko ? (trong FreeBSD có df nhưng nó chỉ show được các partition đã được mount)
2/ Chia partion luôn bị mất 1 khoảng dung lượng ? :
Trong Linux, mình có 1 disk 10 GB thì có thể chia partition đúng 10GB 9ó. Còn trong FreeBSD, khi chọn option Use entire disk (hoặc thậm chí chia manually) thì partition chỉ chiếm khoảng 9/10 disk, luôn có 1 khoảng partition dư ra (nó vẫn hiển thị khoảng dung lượng dư ra này chứ ko phải bị mất luôn) nhưng ko hiểu để làm gì ?
3/ Khi mình dùng lệnh top trong FreeBSD, trong phần memory có thêm 1 khái niệm mới là "Wired", ko bít Wired memory nghĩa là sao nhỉ ?
Thân,
|
|
|
Ra là vậy, vậy mà trước giờ em cứ tưởng IP chỉ phân biệt giữa IP Public & IP Private, còn việc Dynamic hay Static là do Admin (Owner của dãy IP đó) config & chỉ có Admin biết thôi, còn "nhìn" từ phía ở ngoài thì ko thể biết được Nếu nó có phân biệt các "block" network thuộc dạng "dynamically assigned IP" và các "block" network dạng "Static asigned IP" thì đúng là dễ phân biệt rồi
Thanx a
|
|
|
conmale wrote:
tvphong wrote:
Mình làm 1 cái mail server bằng MDaemon, khi gởi mail cho Yahoo thì bị báo lỗi "Connections not accepted from IP addresses on Spamhaus XBL" và tịt luôn, không gởi-nhận được từ Yahoo. Tìm hiểu tiếp thì được biết IP mình bị thằng Spamhaus lock.
Tiếp tục, làm theo hướng dẫn để gỡ thì OK, nhận được mail từ Yahoo nhưng vẫn không gởi được đến Yahoo. Check lại thì thấy thằng Spamhaus không còn lock IP của mình nữa mà vẫn không gởi được tới Yahoo là sao ???.
118.68.138.14 is not listed in the SBL
118.68.138.14 is not listed in the PBL
118.68.138.14 is not listed in the XBL
Tới đây thì thấy tịt thiệt rồi.
Pro nào gặp trường hợp này rồi giải quyết bằng cách nào mách nước mình với.
Thanks.
Chuyện này đã được thảo luận khá nhiều lần trên diễn đàn rồi.
Dẫu IP không nằm trong blacklist của spamhause nhưng reverse DNS của nó là: adsl-dynamic-pool-xxx.hcm.fpt.vn thì cũng bị cản như thường. Spamhause cản hết mail gởi đi từ dynamic IP addresses.
Hi anh comale,
Em có 2 câu hỏi nhỏ liên quan đến reverse dns anh đang đề cập nên mún hỏi lun (vì nó là 1 vấn đề nhỏ nên em nghĩ ko cần lập 1 topic mới để bàn luận)
1/ Em để ý cái dynamic IP của các ISP có 2 dạng, 1 là ko có reverse DNS, 2 là có nhưng nó sẽ trỏ về dạng trên adsl-dynamic-pool-xxx.hcm.fpt.vn. Vậy việc chia ra như vậy có ý nghĩa gì ? em nghĩ cứ dynamic ip thì ko cần set reverse dns là được rồi chứ ?
2/ Ở góc nhìn của các mail server, nó sẽ chặn tất cả mail đến từ domain ko có Reverse DNS, cái này thì dễ check. Nhưng còn dạng 2, tức là reverse dns trỏ về dạng adsl-dynamic-pool-xxx.hcm.fpt.vn thì làm sao nó phân biệt được ? vì FPT thì adsl-dynamic-pool-xxx.hcm.fpt.vn còn VDC thì sẽ là dạng khác (vd adsl-dynamic-pool-xxx.vdc.vn) , chẳng lẽ các mail server này đi search tất cả các reverse dns này rồi add từng cái vào ban list ?
Mong anh giải thích để em hiểu rõ
Thanks
|
|
|
Hi quanta,
Mình ko quan tâm lắm đến cái videoclip linux hacking mà lại quan tâm đến lệnh unrar của bạn bạn có thể giải thích tại sao dùng GUI extract thì hỏi pass còn dùng lệnh "unrar x -o- Linux.Hacking.Video.Tutorials.From.Various.Artists.part1.rar video/" thì ko bị được ko
Thân,
|
|
|
conmale wrote:
khoaitu01 wrote:
Hi all
Mình vừa install xong Qmail trên Fedora.
Hiện tại thì việc gửi mail qua lại giữa các địa chỉ trong cùng một domain là OK, vi dụ như gửi từ aaa@domain.com sang bbb@domain.com là gửi được.
Gửi mail từ gmail hoặc yahoo vào @domain cũng OK, không bị rắc rối gì.
Nhưng khi gửi mail từ @domain tới gmail hoặc yahoo thì có vấn đề. Nếu xem log của /var/log/qmail/qmail-send thì thấy báo lỗi sau
deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection
Hiện tại nếu nmap -sV localhost thì thấy port 25 smtp đã được open và qmail đang sử dụng port này.
Sendmail thì đã được remove
Mình nghĩ chắc bị lỗi về SMTP hoặc rights của các folder của qmail. Mình đã check kỹ rồi nhưng vẫn chưa tìm ra nguyên nhân.
Có bồ nào đã có kinh nghiệm với error này thì help mình nhé.
Thanks a lot.
Reverse lookup của mail host không phải là fully qualified domain name / host và không phải là một static host (mà là dynamic assigned IP như ADSL line chẳng hạn) thì mail server của bồ bị các SMTP của yahoo, google... cản.
Trước giờ em cứ tưởng nếu ko có reverse lookup & static IP thì yahoo, google chỉ mark message của server mình là spam và cho vào bulk mail thôi chứ, ko ngờ có vụ chặn hoàn toàn luôn nữa
|
|
|
hi anh conmale,
Em muốn hỏi 1 tý, như anh nói bash shell có cơ chế xác định RUID, EUID và SUID nên dù nó có được bật SUID bit thì nó vẫn drop chủ quyền về với id thật sự của người chạy file bash này, nhưng em thắc mắc nếu là như vậy thì nó đã mất đi ý nghĩa của SUID (chmod u+s) rồi, vì ý nghĩa của việc bật SUID bit là mong muốn tất cả user đều có thể chạy file bash này với EUID là owner file đó (tức là root) mà ở đây SUID được bật mà lại xét EUID thì cũng nhưng bình thường (ko bật SUID) rồi ? Như vậy hóa ra file bash này có bật SUID bit hay ko bật thì cũng y chang như nhau à ?
Thân,
|
|
|
Thanx quanta, mình sẽ thử
|
|
|
Mình đang muốn search theo kiểu chỉ biết nội dung của 1 file ko bít tên nằm trên phân vùng / thì làm sao nhỉ ? mình nghĩ chắc là lệnh find có option nhưng tại đang cần gấp nên ai biết thì chỉ giùm. Xn cám ơn
Thân
|
|
|
Mình cãi gì đâu, cái này thì đã tự tay làm thực tế được chứ nói gì đọc lý thuyết man
|
|
|
StarGhost wrote:
rickb wrote:
Mình nghĩ đề này chỉ cần 2 dòng là xong rồi nhỉ VD ta cần convert file ảnh trong thư mục abc thì đặt script này trong thư mục abc rồi cho chạy tự động bằng cron là xong (còn nếu đặt script này ở 1 nơi khác thư mục abc thì phải sửa script lại sử dụng đường dẫn tuyệt đối
#!/bin/bash
mv *.bmp *.jpg
Có gì sai sót mong bỏ qua
Thân
Cái gì thế này? Convert chứ có phải đổi tên đâu, đọc kĩ đề đi bro. Hint: sử dụng ImageMagick, trừ phi quanta muốn mọi người tự viết hoàn toàn script. Hơn nữa, câu lệnh trên của bro chắc chắn ko hoạt động nếu có nhiều file bmp.
lúc đầu mình cũng nghĩ vậy nhưng mình nghĩ nếu đã dùng chươngtrình làm thì cần gì viết shel script chạy làm chi nữa ? Còn về việc nhiều file thì mình thử rồi, cha tuốt
|
|
|
Mình nghĩ đề này chỉ cần 2 dòng là xong rồi nhỉ VD ta cần convert file ảnh trong thư mục abc thì đặt script này trong thư mục abc rồi cho chạy tự động bằng cron là xong (còn nếu đặt script này ở 1 nơi khác thư mục abc thì phải sửa script lại sử dụng đường dẫn tuyệt đối
#!/bin/bash
mv *.bmp *.jpg
Có gì sai sót mong bỏ qua
Thân
|
|
|
conmale wrote:
okgame_root wrote:
Vậy ạ ........ thế em hỉu được dòng này rồi.............
10 x 10 x 100 = 10000 SYN-ACK packets
Vậy là mình giả IP của victim , mình phá , victim lãnh ...... đúng ko ạ
Vậy còn cách giả IP của victim ......... em nghĩ cái này hình như là ko dễ thì phải ạ
Dễ đối với người hiểu ngọn ngành. Khó với người không có căn bản. Càng khó cho những người chỉ dùng tool và nhắm mắt mà phang...
Em thì cho rằng đối với việc spoof IP thì ngay cả người hiểu ngọn ngành cũng khó có thể thực hiện thành công được, vì viết 1 tool để generate packet ko phải là khó (đã có thư viện đầy đủ hỗ trợ mấy việc này) nhưng hiện nay đa số các ISP/IXP đã thực hiện các cơ chế filtering tại các Router biên, nên việc spoof IP trong LAN thì ok còn ra NET thì hầu như là ko thể
|
|
|
Thanx anh conmale và GA rất nhiều, thực ra mấy kỹ thuật chroot, audit system, fix vulnerablity ... thì em đều đã học & thực tập qua nhưng do chủ quan quá nên mới ra nông nỗi vậy Đây coi như là 1 bài học quý giá và cũng giúp em có kinh nghiệm thực tế nhiều hơn
Thân
|
|
|
conmale wrote:
Những logs ở trên không có mấy thông tin hữu dụng . Có thể các thông tin cần thiết đã bị tay ấy xóa hết.
Theo kinh nghiệm tôi đoán rằng VPS này bị thâm nhập xuyên qua đường ftp và rootkit bị upload lên. Phỏng đoán có 2 phần bị lỗi trên VPS:
1) phiên bản proftpd bị lỗi bảo mật hoặc gán quyền cho ftp không chặt chẽ và cho phép upload file.
2) kernel bị lỗi hoặc một ứng dụng nào đó trên phiên bản linux trên cho phép gain root (sau khi bộ đồ nghề được upload thành công qua ftp).
Bồ cho biết:
- chế độ gán quyền của ftp hiện thời.
- phiên bản chính xác của proftpd hiện thời.
- phiên bản kernel chính xác hiện thời.
và nếu được, tên của rootkit mà bộ chkrootkit đã thông báo.
Tại sao anh ko cho rằng server bị attack qua đường ftp mà ko phải là ssh nhỉ ? Vì em thấy log ftp ko có gì bất thường trong khi secure log show rõ ràng có rất nhiều cuộc brute force ssh, và lần check lại gần đây nhất (hồi chiều nay) thì log secure còn thông báo "reverse mapping checking getaddrinfo for ... POSSIBLE BREAKIN ATTEMPT!" cũng như những dòng log mới :
Nov 25 05:59:44 server sshd[5252]: Invalid user lab from ::ffff:210.245.85.115
Nov 25 05:59:54 server sshd[5733]: Invalid user iraf from ::ffff:210.245.85.115
Nov 25 05:59:57 server sshd[5834]: Invalid user swsoft from ::ffff:210.245.85.115
Nov 25 05:59:59 server sshd[5834]: Failed password for invalid user swsoft from ::ffff:210.245.85.115 port 40120 ssh2
Nov 25 05:59:59 server sshd[5939]: Invalid user production from ::ffff:210.245.85.115
Nov 25 07:11:33 server sshd[5748]: Invalid user stud from ::ffff:211.139.218.154
Nov 25 07:11:39 server sshd[5979]: Invalid user trash from ::ffff:211.139.218.154
Nov 25 07:11:42 server sshd[5998]: Invalid user aaron from ::ffff:211.139.218.154
...........
Tức là attacker vẫn đang tiếp tục brute force SSH, và rõ ràng đây là 1 cuộc tấn công automatic vì nó try với những user hoàn toàn lạ
Kernel của vps em là :
-bash-3.00# uname -a
Linux server.website.com 2.6.18-ovz028stab039.1-enterprise #1 SMP Tue Jul 24 12:28:02 MSD 2007 i686 i686 i386 GNU/Linux
Version của proftpd của em là :
proftpd-standalone-1.2.10-1
proftpd-1.2.10-1
bản proftp này ko phải em cài riêng, mà nó là từ bộ DirectAdmin (1 WHM gống cpanel)
Còn anh hỏi về "cơ chế gán quyền của ftp hiện thời" là sao nhỉ ? em chưa rõ lắm, làm sao để check vậy anh ?
Thân
|
|
|
conmale wrote:
Xem ra có proftpd và vm-pop3d là đáng ngờ. Chạy snmpd và mysqld mở ra như thế là cực nguy.
snmpd không dùng để tấn công trực tiếp nhưng có thể dùng nó để gặt hái thông tin nhạy cảm.
mysqld không thể trực tiếp tấn công và thiết lập rootkit được nhưng nó có thể bị brute force và mất quyền quản lý sql. Thậm chí nếu config không kỹ nó có thể bị leo thang chủ quyền.
Bồ thảy lên các log của:
- proftpd trước và sau khi phát hiện bị rootkit.
- vm-pop3d trước và sau khi phát hiện bị rootkit.
- /var/log/secure + /var/log/messages trước và sau khi phát hiện bị rootkit.
- last trước và sau khi phát hiện bị rootkit.
- .history của root (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều).
- .history của account nào làm chủ VPS instance đó (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều).
to lion_king_lovely_1985: những ai làm "trong ngành" thì ít nhất bị dính rootkit 1 lần trong đời. Đây là chuyện bình thường. Nếu chưa bị dính bao giờ thì tự nhủ rằng mình may mắn hoặc chưa "ra đời" lâu đủ .
Hi anh conmale,
Hiện tại em chỉ biết được ngày bị cài rootkit là 27/11 qua lệnh ls -al /vz/private/xxxx/bin/ trên chứ em vẫn chưa biết thời điểm cụ thể chính xác bị attack nên em ko thể phân log ra như anh reqeust (trước và sau khi bị cài rootkit), đây là output của tail phần log proftpd (vì nó quá dài nên em chỉ tail) của server bị attack :
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 06. Foo Fighters - Stranger Things Have Happened.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 05. Foo Fighters - Come Alive.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 04. Foo Fighters - Long Road To Ruin.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 03. Foo Fighters - Erase,Replace.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 02. Foo Fighters - Let It Die.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 01. Foo Fighters - The Pretender.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.sfv" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.nfo" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.m3u" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "RMD Foo Fighters - Echoes, Silence, Patience & Grace [V0]" 550 -
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:17:34 +0000] "STOR untitled.JPG" 226 10406
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:36 +0000] "RNFR untitled.JPG" 350 0
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:36 +0000] "RNTO kei.jpg" 250 0
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:42 +0000] "RNFR kei.jpg" 350 0
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:42 +0000] "RNTO 141.jpg" 250 0
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:10 +0000] "DELE 09. Foo Fighters - Ballad Of The Beaconsfield Miners.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:16 +0000] "DELE 09. Foo Fighters - Ballad Of The Beaconsfield Miners.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE cover.jpg" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 03 Put It Behind You.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 02 Under Pressure.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 01 The Night Sky.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:31 +0000] "RMD Keane - The Night Sky (for Warchild) [2007]" 550 -
125.212.197.233 UNKNOWN vietwow [27/Nov/2007:01:25:32 +0000] "RETR hinh.rar" 226 8807040
125.212.197.233 UNKNOWN vietwow [27/Nov/2007:01:28:14 +0000] "RETR hinh.rar" 226 8807040
Có vẻ như ko có gì bất thường
Đây là tail phần log của vm-pop3 :
Nov 27 08:49:21 server vm-pop3d[25779]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:21 server vm-pop3d[25779]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 08:49:22 server vm-pop3d[1398]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:22 server vm-pop3d[1398]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 08:49:22 server vm-pop3d[1743]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:22 server vm-pop3d[1743]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 08:49:23 server vm-pop3d[5408]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:23 server vm-pop3d[5408]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:10:38 server vm-pop3d[7995]: User 'voduc@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:10:39 server vm-pop3d[7995]: Session ended for user: 'voduc@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:11:51 server vm-pop3d[15533]: User 'voduc@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:11:52 server vm-pop3d[15533]: Session ended for user: 'voduc@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:12:07 server vm-pop3d[18233]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:12:07 server vm-pop3d[18233]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:17:07 server vm-pop3d[22079]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:17:07 server vm-pop3d[22079]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:22:07 server vm-pop3d[28582]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:22:07 server vm-pop3d[28582]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:30:15 server vm-pop3d[29847]: User 'maily@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:35:28 server vm-pop3d[10232]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[14079]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[13882]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[9827]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[3705]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[32417]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[1374]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[30077]: Quitting on signal: 15
Cũng ko có gì bất thường lắm
Đây là phần log của secure và cũng là phần "đáng ngờ" nhất, em nghĩ là em bị brute force pass ssh thì phải ?
Nov 25 04:55:07 server sshd[15483]: Did not receive identification string from ::ffff:210.245.85.115
Nov 25 05:57:55 server sshd[25990]: Failed password for admin from ::ffff:210.245.85.115 port 33494 ssh2
Nov 25 05:58:09 server sshd[27799]: Invalid user william from ::ffff:210.245.85.115
Nov 25 05:58:11 server sshd[27799]: Failed password for invalid user william from ::ffff:210.245.85.115 port 34354 ssh2
Nov 25 05:58:11 server sshd[27921]: Invalid user stephanie from ::ffff:210.245.85.115
Nov 25 05:58:14 server sshd[27921]: Failed password for invalid user stephanie from ::ffff:210.245.85.115 port 34484 ssh2
Nov 25 05:58:22 server sshd[28292]: Failed password for root from ::ffff:210.245.85.115 port 34917 ssh2
Nov 25 05:58:27 server sshd[28514]: Failed password for root from ::ffff:210.245.85.115 port 35209 ssh2
Nov 25 05:58:32 server sshd[29813]: Failed password for root from ::ffff:210.245.85.115 port 35501 ssh2
Nov 25 05:58:32 server sshd[29951]: Invalid user guest from ::ffff:210.245.85.115
Nov 25 05:58:35 server sshd[30093]: Invalid user test from ::ffff:210.245.85.115
Nov 25 05:58:37 server sshd[30093]: Failed password for invalid user test from ::ffff:210.245.85.115 port 35788 ssh2
Nov 25 05:58:38 server sshd[30238]: Invalid user oracle from ::ffff:210.245.85.115
Nov 25 05:58:40 server sshd[30238]: Failed password for invalid user oracle from ::ffff:210.245.85.115 port 35928 ssh2
Nov 25 05:59:01 server sshd[32301]: Failed password for root from ::ffff:210.245.85.115 port 37059 ssh2
Nov 25 05:59:20 server sshd[1838]: Failed password for root from ::ffff:210.245.85.115 port 38009 ssh2
Nov 25 05:59:25 server sshd[3151]: Failed password for root from ::ffff:210.245.85.115 port 38295 ssh2
Nov 25 05:59:27 server sshd[3277]: Failed password for root from ::ffff:210.245.85.115 port 38430 ssh2
Nov 25 05:59:33 server sshd[3518]: Failed password for root from ::ffff:210.245.85.115 port 38707 ssh2
Nov 25 05:59:38 server sshd[3815]: Failed password for invalid user apache from ::ffff:210.245.85.115 port 38989 ssh2
Nov 25 05:59:41 server sshd[3948]: Failed password for root from ::ffff:210.245.85.115 port 39134 ssh2
Nov 25 05:59:43 server sshd[4087]: Failed password for root from ::ffff:210.245.85.115 port 39272 ssh2
Nov 25 05:59:44 server sshd[5252]: Invalid user lab from ::ffff:210.245.85.115
Nov 25 05:59:54 server sshd[5733]: Invalid user iraf from ::ffff:210.245.85.115
Nov 25 05:59:57 server sshd[5834]: Invalid user swsoft from ::ffff:210.245.85.115
Nov 25 05:59:59 server sshd[5834]: Failed password for invalid user swsoft from ::ffff:210.245.85.115 port 40120 ssh2
Nov 25 05:59:59 server sshd[5939]: Invalid user production from ::ffff:210.245.85.115
Nov 25 07:11:33 server sshd[5748]: Invalid user stud from ::ffff:211.139.218.154
Nov 25 07:11:39 server sshd[5979]: Invalid user trash from ::ffff:211.139.218.154
Nov 25 07:11:42 server sshd[5998]: Invalid user aaron from ::ffff:211.139.218.154
Nov 25 11:09:45 server sshd[7309]: Did not receive identification string from ::ffff:210.34.7.115
Nov 25 21:51:50 server usermod[8100]: change user `vnblog' shell from `/bin/bash' to `/bin/false'
Nov 27 02:52:45 server sshd[5930]: User ftp not allowed because not listed in AllowUsers
Nov 27 02:53:43 server sshd[7348]: User mysql not allowed because not listed in AllowUsers
Còn đây là phần log của message :
Nov 27 09:35:01 server crond(pam_unix)[15874]: session opened for user root by (uid=0)
Nov 27 09:35:01 server crond(pam_unix)[15877]: session opened for user root by (uid=0)
Nov 27 09:35:01 server crond(pam_unix)[15881]: session opened for user root by (uid=0)
Nov 27 09:35:01 server crond(pam_unix)[15874]: session closed for user root
Nov 27 09:35:02 server crond(pam_unix)[15881]: session closed for user root
Nov 27 09:35:04 server crond(pam_unix)[15877]: session closed for user root
Nov 27 09:35:25 server shutdown: shutting down for system reboot
Nov 27 09:35:28 server proftpd: proftpd shutdown succeeded
Nov 27 09:35:28 server vm-pop3d: vm-pop3d shutdown succeeded
Nov 27 09:35:30 server directadmin: directadmin shutdown succeeded
Nov 27 09:35:30 server sshd: sshd -TERM succeeded
Nov 27 09:35:30 server da-popb4smtp: da-popb4smtp shutdown succeeded
Nov 27 09:35:30 server exim: Shutting down exim:
Nov 27 09:35:30 server exim:
Nov 27 09:35:30 server rc: Stopping exim: succeeded
Nov 27 09:35:30 server named[30024]: shutting down
Nov 27 09:35:30 server named[30024]: stopping command channel on 127.0.0.1#953
Nov 27 09:35:30 server named[30024]: no longer listening on 127.0.0.1#53
Nov 27 09:35:30 server named[30024]: no longer listening on 210.245.125.202#53
Nov 27 09:35:30 server named[30024]: exiting
Nov 27 09:35:30 server named: named shutdown succeeded
Nov 27 09:35:31 server snmpd: snmpd shutdown succeeded
Nov 27 09:35:32 server xinetd[24103]: Exiting...
Nov 27 09:35:32 server xinetd: xinetd shutdown succeeded
Nov 27 09:35:32 server crond: crond shutdown succeeded
Nov 27 09:35:33 server network: Shutting down interface venet0: succeeded
Nov 27 09:35:33 server network: Shutting down loopback interface: succeeded
Nov 27 09:35:33 server sysctl: net.ipv4.ip_forward = 0
Nov 27 09:35:33 server network: Disabling IPv4 packet forwarding: succeeded
Nov 27 09:35:33 server iptables: Flushing firewall rules:
Nov 27 09:35:33 server iptables: succeeded
Nov 27 09:35:33 server iptables:
Nov 27 09:35:33 server iptables: Setting chains to policy ACCEPT: mangle
Nov 27 09:35:33 server iptables: filter
Nov 27 09:35:33 server iptables: nat
Nov 27 09:35:33 server iptables: succeeded
Nov 27 09:35:33 server iptables:
Nov 27 09:35:33 server rc: Stopping iptables: succeeded
Nov 27 09:35:33 server rc: Stopping sysstat: succeeded
Nov 27 09:35:33 server rc: Starting killall: succeeded
Nov 27 09:35:33 server rc: Starting vzreboot: succeeded
Nov 27 09:35:33 server syslogd: exiting on signal 15
Anh xem giúp em với
Thanx anh
Thân
|
|
|
@dammeit : nó ko quá quan trọng nhưng tôi luôn cố gắng giữ thông tin của khách hàng tối đa
@conmale : đây là thông tin hiện tại của vps khách hàng của em :
-bash-3.00# netstat -natp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN 23851/snmpd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 24326/mysqld
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 23929/exim
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 24204/vm-pop3d
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 23888/xinetd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 24102/httpd
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 26587/named
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 24161/proftpd: (acc
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 23888/xinetd
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 26587/named
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 23929/exim
tcp 0 0 0.0.0.0:11643 0.0.0.0:* LISTEN 26430/httpd -DSSL
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 24102/httpd
-bash-3.00#
-bash-3.00#
-bash-3.00#
-bash-3.00# ps axf
Unknown HZ value! (186) Assume 100.
PID TTY STAT TIME COMMAND
1 ? S 0:00 init [3]
22315 ? S 0:00 minilogd
23820 ? S 0:00 /etc/rc3.d/S12syslog start
23821 ? S 0:00 \_ /bin/sh
23851 ? S 0:00 /usr/sbin/snmpd -Lsd -Lf /dev/null -p /var/run/snmpd -a
23865 ? S 0:00 /usr/sbin/sshd
23888 ? S 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
23902 ? S 0:00 /usr/local/directadmin/da-popb4smtp
23929 ? S 0:00 /usr/sbin/exim -bd -q15m -oP /var/run/exim.pid
23941 ? S 0:00 /etc/rc3.d/S84syslog start
23942 ? S 0:00 \_ /bin/sh
24102 ? S 0:00 /usr/sbin/httpd -k start -DSSL
24187 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24189 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24191 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24192 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24193 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24194 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24161 ? S 0:00 proftpd: (accepting connections)
24204 ? S 0:00 vm-pop3d -d 10 -t 600
24205 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24206 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24207 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24212 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24213 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24214 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24215 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24216 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24217 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24218 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24245 ? S 0:00 crond
24267 ? S 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/server.website.com.pid
24326 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid --skip-ex
26024 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid --ski
26025 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid -
26430 ? S 0:00 /usr/local/apache/bin/httpd -DSSL
26587 ? S 0:00 named -u named
29813 ? R 0:00 vzctl: pts/0
29814 pts/0 S 0:00 \_ -bash
30050 pts/0 R 0:00 \_ ps axf
-bash-3.00#
note : trong phần output của lệnh ps axf, em đã thay domain thật sự của khách àhng thành website.com
Anh cần thêm thông tin gì thì cú request, em sẽ đưa lên. Cám ơn anh đã quan tâm giúp đỡ
Thân
|
|
|
conmale wrote:
Việc cài lại OS và phục hồi lại data là việc hoàn toàn cần thiết sau khi bị rootkit (bởi vì để phân tích và diệt tận gốc rootkit là điều không bảo đảm và phí thời gian).
Quan trọng hơn nữa là cần tìm ra nguồn gốc và lý do tại sao bị rootkit để ngăn ngừa tình trạng cũ lại xảy ra. Nếu không, cài OS và phục hồi data là chuyện sẽ xảy ra dài dài.
Hiện tại em đã cô lập VPS (ko thể access từ NET được nữa). Cả Hardware và VPS đều sử dụng CentOS, riêng Hardware node sử dụng OpenVZ cho giải pháp Vitualization. Nhưng em nghĩ vấn đển chỉ nằm ở VPS mà ko nằm ở Hardware node, vì chỉ có VPS là bị hack, còn Hardware Node và tất cả VPS khác ko bị gì hết. Vậy theo anh bây giờ em nên làm những gì để có thể xác định được nguồn gốc và lý do tại sao bị cài rootkit ? Do em thường xuyên ssh vào server vào các thởi điểm ko cố định và em cũng ko sử dụng IP tĩnh (ADSL) vì thế thông tin từ lệnh last gần như ko có ích. Mong anh cho em 1 số hướng để giải quyết vấn để
Thanx
|
|
|
Khác hàng mình sử dụng 1 VPS thuê từ Hosting Provider của cty mình, mới sáng nay khách hàng contact mình và thông báo rằng server ko còn access được nữa, mình thử ssh vào VPS thì đúng là ko được, thế là mình ssh vào Hardware Node (Physical Server) và access vào VPS, sau khi check sơ bộ thì mình phát hiện vps khách hàng mình đã bị hack & cài rootkit :
[root@node-01]# ls -al /vz/private/xxxx/bin | grep Nov
drwxr-xr-x 2 root root 4096 Nov 23 03:15 .
drwxr-xr-x 23 root root 4096 Nov 27 10:25 ..
-rwxr-xr-x 1 root root 6908 Nov 27 10:49 arch
-rwxr-xr-x 1 root root 17164 Nov 27 10:49 basename
-rwxr-xr-x 1 root root 614584 Nov 27 10:25 bash
-rwxr-xr-x 1 root root 20856 Nov 27 10:49 cat
-rwxr-xr-x 1 root root 36604 Nov 27 10:49 chgrp
-rwxr-xr-x 1 root root 36196 Nov 27 10:49 chmod
-rwxr-xr-x 1 root root 43164 Nov 27 10:49 chown
-rwxr-xr-x 1 root root 60016 Nov 27 10:49 cp
-rwxr-xr-x 1 root root 55852 Nov 27 10:49 cpio
-rwxr-xr-x 1 root root 31024 Nov 27 10:48 cut
-rwxr-xr-x 1 root root 49024 Nov 27 10:49 date
-rwxr-xr-x 1 root root 33168 Nov 27 10:49 dd
-rwxr-xr-x 1 root root 47752 Nov 27 10:49 ed
-rwxr-xr-x 1 root root 250744 Nov 27 10:49 gawk
-rwxr-xr-x 1 root root 76104 Nov 27 10:49 grep
-rwxr-xr-x 1 root root 159620 Nov 27 10:49 tar
-rwxr-xr-x 1 root root 310016 Nov 27 10:49 tcsh
-rwxr-xr-x 1 root root 472992 Nov 27 10:49 vi
xxxx là thư mục của vps (mình đã edit) bị hack
Theo output trên thì hệ thống đã bị cài rootkit vào ngay hôm nay (27/11), mình đã down chkrootkit và rkhunter về check thì chính xác là đã bị cài rootkit
Như vậy, ngaòi việc backup data & cài lại OS mới (VPS mới) thì còn giải pháp nào không nhỉ ? Ai cho mình 1 lời khuyên với
Cám ơn
Thân
|
|
|
vikjava wrote:
Mình mới đọc tcp\ip còn nhiều vấn đề thắc mắc quá , post lên hỏi mọi người .
1. Trong quá trình bắt tay 3 bước thì ISN cho mỗi kết nối được cấp phát theo cơ chế nào , số lại được cấp phát random hay là theo một quy luật hay một cái gì đó ???
2. Ip spoofing : giả vờ gởi dữ liệu từ địa chỉ không phải của hacker, kẻ tấn công sẽ sử dụng giá trị tcp sequence number hợp lệ để thiết lập một kết nối tcp với máy bị tấn công. Về việc giả vờ và sử dụng giá trị sequence number cụ thể như thế nào em không được rõ chỗ này lắm.
3. Trong kết nối tcp\ip khi máy a mở kết nối tới máy b, a sẽ gởi isn (của a) và b sẽ gởi lại isn(của b) + ack=isn(của a)+ 1 . Vậy làm cách nào để can thiệp vào giai đoạn thằng b gởi lại.
4. Connection hijacking : khai thác trạng thái không đồng bộ . Vậy làm thế nào để tạo ra trạng thái không đồng bộ này.
Mình cần một số câu hỏi để có thể hệ thống lại và bổ sung kiến thức về tcp\ip .Mới đọc qua 2 lần cũng chẳng nắm bắt được nhiều Cảm ơn
Hi vikjava,
1. Trong quá trình bắt tay 3 bước thì cơ chế cấp phát ISN là phụ thuộc vào cách implementation của từng loại kernel OS. Ngày xưa thời kevin hack vào hệ thống Sun thì người ta ko quan tâm đến việc cấp phát ISN nên đã design kernel cấp phát theo cơ chế tăng dần, do đó khi kevin đọc source code của OS anh ta biết được cách cấp phát đó và có thể Hjacking, còn bây giờ từ sau vụ việc đó thì hầu hết cách kernel mới đều cấp phát ISN theo cơ chế random, càng phức tạp càng tốt
2. Cái này bạn đọc kỹ phương pháp năm xưa kevin tấn công vào Sun sẽ rõ
3. Theo cá nhân mình biết thì để ngăn b trả lời lại thì chỉ có cách ta thực hiện MIMT (ko nhất thiết phải dùng ARP Spoofing, có thể social engineering để set 1 dòng arp static chẳng hạn ) từ trước đó
4. Mình ko rõ ý bạn ở đây lắm nên ko trả lời được
Thân
|
|
|
|
|
|
|