|
>>で、そういう場合はnphスクリプトを試してみてはいかがでしょうか。 > やってみました。おかげで思うとおりの結果が得られました。 おお、そうですか。僕はnphは一度も試したことはなかったりするんですが…(^^; > sun last message repeated 3 times 普通に英語を読めば「前回と同じメッセージが3回出力された」ということで、 /var/logl/messagesのその前の行を見ればいいと思います。 # と、ずっと思ってたんだけど違うかな? |
|
わたくしUNIX初心者も初心者というかwin95ユーザでありまして プロバにtelnetで繋いでUNIX気分を味わっているもんでございます。 まったくwin95とは違いまして「こんぴゅーたをさわっている」って いう気分を満喫している(だけ)ところでございます。 コマンドがいろいろ載っていて、たのしゅうございます。 これからも続けてくださいましね。たよりにしております。であ。 |
|
ネコミでの書き込みがなんかおかしい とほほ ブラウザかえようかな 68user(X68K?)さんはふだん何つかってます? >M.Masudaさん .profileか.bashrcに export MANPATH=/hoge/man:$MANPATH export JLESSCHARSET=japanese hogeはman-pages-ja-0.4.tar.gz をinstallした所です おそらくman less groffは日本語化されてるんじゃないかなー man manで日本語表示出来なければ管理者に頼むしかなさそう(笑) |
|
> コマンドがいろいろ載っていて、たのしゅうございます。 どもども。「ここがわかりにくい」などのご意見がありましたら ぜひ教えてください。 > ブラウザかえようかな > 68user(X68K?)さんはふだん何つかってます? 学校ではNN3.04、家ではNC4.04です。まぁ一長一短ですねぇ。 早くMozilla5でないかな…。 |
|
>だれも管理してなかったりして。 ありゃ・・そうだったんですか となるとログのメッセージは・・・ |
|
> となるとログのメッセージは・・・ 全ユーザがrootになることができて、みんなでよってたかって管理してるとか(^^; |
|
>全ユーザがrootになることができて、みんなでよってたかって管理してるとか(^^; むむむ・・何かトラブッてそうですね(^^;;; |
|
どうもです。68userさん、ABCDEFGさん。 あれっ遂にチャットになってしまったか?(^^ゞ ABCDEFGさんどうもです。 DOSの頃はコンソールと言うか、CUIにはなれずついFDとかのツール類を 使っていましたが、なんとUNIXのしぇるの使いやすい事! おまけに、DOSの頃はコマンド類の使い勝手が悪くツール同士も相性を 考えて使わないと...。 >>M.Masudaさん > .profileか.bashrcに > export MANPATH=/hoge/man:$MANPATH > export JLESSCHARSET=japanese > hogeはman-pages-ja-0.4.tar.gz をinstallした所です > おそらくman less groffは日本語化されてるんじゃないかなー > man manで日本語表示出来なければ管理者に頼むしかなさそう(笑) 試しました。 あんまり時間が無く全部はやってみてないですが、man manだけは ちゃんと日本語マニュアルが表示されました。 68userさん、ABCDEFGさんどうもありがとうございました。 #setコマンドでは、LANG=Cとなっているんだけどいいのかなぁ? >だれも管理してなかったりして。 そうなんです。私が一応rootにはなれるんですが、ここの環境は 前にクラックにあっているサーバーが直ぐ近くに(ネットワーク上) 在るのに、誰もログをチェックしないし、ログインすら月に1度 位なんです。 私は、httpdの再起動をやったりするためにrootになれるんですが、 恐いので一応secureとかmessagesとかを、たまに確認しています。 しかし、私にはUNIXのスキルが無いので何か有っても対処法を知り ません。(; ;) 最大の防御はイーサーのケーブルを抜くくらいだったりして。(^^ゞ #でもこのサーバーDHCP立ってるんだよなぁ。 例の sun last message repeated 3 times ですが、 このメッセージのみが5分おき位に続けて出ています。 >普通に英語を読めば「前回と同じメッセージが3回出力された」ということで、 > /var/logl/messagesのその前の行を見ればいいと思います。 本日は12:28〜20:08まで5分おきにあり、現在は止まっています。 だけど、これ以外はさっき言ったdhcpのログ位です。 もしかしてアタック?でもsecureには特にメッセージも出てないん ですよ。他にはチェックするところがわからなしい...。 ところで、前の話題のFileLockですが、私の入っているメーリングリ ストでこんな例がありました。いかがなもんでしょうかね? $file_lock = 'LOCK'; $file_seq = 'SEQ'; open(LOCK, ">> $file_lock") || die; alarm(60); flock(LOCK, 2) || die; if (open(SEQ, $file_seq)) { $seq = <SEQ> + 1; close(SEQ); } else { $seq = 1; } open(SEQ, "> $file_seq.new") || die; print SEQ $seq; close(SEQ); rename("$file_seq.new", $file_seq) || die; close(LOCK); alarm(0); alarmって使った事無いんだけど、この場合目覚まし時計がなると 制御はどうなるのだろう? サブルーチンとかに飛ばす場合は、シグナルハンドラの罠を仕掛け とくのですか? 前例のように $SIG{HUP}=$SIG{INT}=$SIG{QUIT}=\&finish; とか。 |
|
> そうなんです。私が一応rootにはなれるんですが いいじゃないですか。好き勝手にUNIXの勉強ができるし ;-) その代償として管理してると思えば安いものかと。 > だけど、これ以外はさっき言ったdhcpのログ位です。 ではそのDHCPのメッセージが数回繰り返されたものでしょう。 suでrootになるのを10回連続して繰り返してみてください。 /var/log/messegesには Feb 15 23:28:41 host su: user to root on /dev/ttyp1 という行が10行書かれることはなく、 Feb 15 23:28:41 host su: user to root on /dev/ttyp1 Feb 15 23:28:53 host last message repeated 9 times となるはずです。同じメッセージが短時間のうちに連続して syslog(かな?)に送られた場合は、syslogdが上のように 簡略化したログを残すはずです。 suでrootになるのを10回連続して、次に間違ったパスワードで suしてみると、最後のsuを実行した瞬間に Feb 15 23:28:41 host su: user to root on /dev/ttyp1 Feb 15 23:28:53 host last message repeated 9 times Feb 15 23:28:55 host su: BAD SU user to root on /dev/ttyp1 というログが残ると思います。 ちなみに、リアルタイムでログを監視するにはtail -fが便利です。 > サブルーチンとかに飛ばす場合は、シグナルハンドラの罠を仕掛け > とくのですか? alarmの場合はSIGALRMですね。kill -lを実行するとシグナル一覧が 表示されます。man alarmも参考にしてください。 この例ではいまいちalarmの必要性がないような気がするんですが、 何か理由があるのかなぁ。 |
|
>前にクラックにあっているサーバーが直ぐ近くに 物騒な話ですね。こうなると再インストールしかないです。 近くのサーバーもやられてる可能性が高いような気がします。 とりあえず/etc/inetd.confの不必要なエントリをコメントアウトして killall -HUP inetd あと/etc/hosts.allow、/etc/hosts.denyでtcpwrapper の設定をするのが吉かと telnetの代わりにsshを使ったほうが心臓に良いです。 たしかtera termを拡張したttsshってやつがあったと思いますが #もう対策されてたならすみません |
|
やですね〜。クラックされるのは。 ちょっと前に知り合いのLinuxがクラックされてました。 すぐに気づいて、そのとき作成されたらしいファイルを 消したんですが、数日後また同じようにクラックされて しまい、とうとうサーバをFreeBSDに代えてしまいましたとさ。 クラック自体より、どこの穴をつかれたのかがわからないのが 一番恐いですね。 |
|
どうもです。 いろいろ助言下さってありがとうございます。 >こうなると再インストールしかないです。 もちろん既に、マシンごと新しくなってます。 >クラック自体より、どこの穴をつかれたのかがわからないのが >一番恐いですね。 これが一番恐いのだけど、最近リモートIPもごまかしたり、たまにログでリモ ートのIPがunknownって出る奴が有るのですが、これってどうしてるのでしょ うか? #愚問でしたね。こんな公の場で書けるわけないですね。(^^ゞ >telnetの代わりにsshを使ったほうが心臓に良いです。 >たしかtera termを拡張したttsshってやつがあったと思いますが すいません未対策です。って言うかsshって知りません。(^^ゞ セキュリティー対策の物ですか? messagesの件ありがとうございます、多分LANの中で一台設定不良でネットワ ークを参照できないマシンが在ったので、そいつのDHCPリクエスト失敗が原因 だと思います。 #そういう事にしておこう。(^_^)V ところで、皆さんセキュリティーに関してはどう考えてます? うちのwebサーバーは去年クラックされました。 OSはRedHotの古いバージョン(4.1)で、name,www,smtp,popが実用デーモンで その他いくつかのデーモンが上がっていましたが、前例と同じように管理者が 居なくて、ほったらかし状態。 ログローテーションもしなかったので、97年5月からのmailログが98Mbも一つ のファイルで存在してました。 #その当時Apache1.1がインストールされていたので各種デーモン類のバージ #ョンもかなり古いものだと思います。 ちなみに前のHDの内容は保存してありますが、今の管理者には穴が見つけられ ず、いつか私が解析してやろうと気持ちだけはあります。(^^ゞ #時間がないもんで...と言っておこう。 ちなみにそのサーバーをクラックしたクラチャンが /etc/hosts.allowに開けていったホストIPです。 207.204.247.250 166.93.24.146 209.99.175.1 199.183.24.253 193.164.171.29 199.183.24.253って何処だか分かります? なんとwww.redhat,comですよ! #なさけねーな、RedHatも。(; ;) どうもクラチャンは、RedHatパッケージ関係ではかなりのスキルを持っていた と思っています。 何処かのアンダーグラウンド系掲示板にでも掲載されているらしく、今でもそ のサーバーは毎日のようにアタックされています。 もちろん管理者がラッパーやルータ等で2重3重の制限しているので、接続は されていませんが、前の穴が解からないだけに少し不安です。 webアタックの代表のphf系も独自のCGIでアタックログを取っていますが、こ れって変なんです。 具体的には、1〜2秒間に3回連続でアクセスして行きますが、アクセスホスト が毎回違うんです。 なんとなく何処かのパッケージに入っている、スクリプトか何かを実行すると その中で、ここを攻撃(試験)して、多分その結果をどこかに返すのでしょうね アクセスのタイミングを見るとそんな感じです。 http://ash.or.jp/~joe/hack/index.htm このページで起きたイスラエルからの侵入事件を元に、セキュリティー関係の レポートが載ってます。 ところで/etc/passwdのパーミッションて、root/700にしたら何か問題はあ りますか? |
|
> #愚問でしたね。こんな公の場で書けるわけないですね。(^^ゞ いや、僕は方法を知らないので…(笑) > セキュリティー対策の物ですか? telnetはタイプした文字がそのままネットワークを流れますが、 sshは暗号化したデータを送るので、パケットを覗かれても大丈夫なのです。 つまりssh=secureなtelnetです。ちなみにrcpのsecure版なども 一緒についてきます(scp)。 もちろんsshクライアント/sshサーバが必要です。FreeBSDなら portsで一発インストールできましたが、Linuxにもパッケージが 用意されてるんじゃないでしょうか。 sshをインストールできたら、telnetポートは閉じておきましょう。 > ところで/etc/passwdのパーミッションて、root/700にしたら何か問題は > ありますか? ls、finger、whoなどでユーザ名が表示されないことはありませんか? # OSにもよるでしょうが、/etc/pwd.dbなどが読めればOKかもしれません。 しかし、一般的には/etc/passwdを700にするのは変です。 パスワードエントリを隠したいということなら、shadow passwordを 導入しましょう。Linuxなら/etc/shadowだったかな? # Linuxはデフォルトでshadow化されていないのが不思議。 # ディストリビューションにもよるのかな? |
|
みなさんの話を聞いてるとびびってきました(苦笑) クラッカーに目つけられると安眠できなさそう インストールしたらすぐtripwireいれたほうがいいのかな Red Hatって見つかった穴を公開するらしいですよ たぶん新しいの買えや(笑)ということなんでしょうけど >Linuxはデフォルトでshadow化されていないのが不思議。 そう言えばIRIXは最近まで・・・ >IPがunknownって出る奴が有るのですが これ何なんでしょう 知りたい(爆) >管理者が居なくて、ほったらかし状態。 仕事やりながら管理するってきびしいと思いますよ |
|
こん**は。 >>管理者が居なくて、ほったらかし状態。 > 仕事やりながら管理するってきびしいと思いますよ 本来私の管轄では無いので最近本末転倒してますが、他に管理している 人間がいないので、勉強がてらにいろいろな情報を物色しています。 #アー目が痛い! >>IPがunknownって出る奴が有るのですが > これ何なんでしょう 知りたい(爆) ねらわれたサーバーのsecereに、 Feb 8 04:15:36 ns in.fingerd[2730]: refused connect from unknown こんな風に出ます。 ここ1ヶ月のfingerだけで66回もです。 #最近telnetのアタックは減りましたがいまだにphfアタックは...。 セキュリティー関係と、通信パケットについて詳しく解説指定ページが ありましたので紹介させていただきます。 http://www.3ware.co.jp/security/index.html ここで詳しく説明されてます。常時接続の方の参考までに。 このサイトにはLinuxについても詳しく書いてあり、前から疑問だった 起動時の設定ファイル(Winで言うところのAUTOEXEC.BATかな)も分かった し、ずいぶん勉強になりました。 >Linuxはデフォルトでshadow化されていないのが不思議。 近いうちに実験用サーバーに実装する予定です。 #できるかな〜、その時はまた教えて下さい。(^^ゞ >sshは暗号化したデータを送るので、パケットを覗かれても大丈夫なのです。 telnetの23はルーターで塞いであるし、LAN内でのアクセスなんであまり必 要性が無いですが、これも時間が出来たら試験的に導入してみたいですね。 |
|
>Feb 8 04:15:36 ns in.fingerd[2730]: refused connect from unknown 見たことないです。 #といってもアタック(スキャン)自体あまりないから知らないだけ パケット覗いてみては? >telnetの23はルーターで塞いであるし ・・・内部犯行・・なんて無いですよね(笑) |
|
どうもです。ABCDEFGさん。 >・・・内部犯行・・なんて無いですよね(笑) ははは、それは無いです。 mad.leenux.com ってとこと ugly.bastard.co.uk の2ヶ所から 進入してます。 そのクラチャンですが、ちょいと弄られた前のディスクの中を覗いて見たら、 隠しディレクトリに、いくつかのクラックソフトをお土産においっててくれ たみたい。(^^ゞ #俺ホントはこんなことやってる暇無いんだけどなぁ... #まいっか! 入られてた時、マシンに負荷が掛ってるので、おかしいなって皆で言って、何 度もリブートかけていたんです。 それでも重いので変だと思い、最近作られたファイルを探したところ発見し ました。 どうもそのマシンで、あちこちのネームサーバーを探してたみたいで、その 履歴が残っていました。 皆さんも気を付けて下さい、自分のマシンだけならフォーマットするとか出 来ますけど、踏み台されちゃ悔しいですからね。(^^ゞ でわでわ。 |