Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
imapi
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron
estonia.gif
postituspostitatud: 27.03.2008, 15:32  postituse pealkiri:  Server käib kolamas  

Selline mure, et oma tulemüüri jälgides avastasin kummalise asja, et kohtvõrgus olev veebi server käib iga mingi aja tagant väga kahtlasel saidil (asian...) pordis 80. Kuidas ma saan teada mis asi seal käib. Masina peal on ainult apache+php+mysql - asutuse weeb.


midnight

Vana Pingviin
Vana Pingviin



Liitunud: 09.08.2007
Postitused: 733

Distributsioon: Ubuntu 8.04
estonia.gif
postituspostitatud: 27.03.2008, 16:08  postituse pealkiri:  (teema puudub)  

Tulemüüris saad keelata selle kahtlase saidi IP aadressi ära.
Millist aega näitab kohtvõrgus olev veebiserver?
Mis distributsiooni peal töötab antud veebiserver?

php ja mysql versioon ? jne..
kas ssh on lubatud pordis 22 (veebiserverile)


johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 27.03.2008, 17:59  postituse pealkiri:  (teema puudub)  

Lase tcpdumpi serveris
midagi sellist:
"tcpdump -A host asian.com dst port 80 -s 1540 -w logi"

ja pärast logi ascii failiks
"tcpdump –A –r logi >> ascii.txt"

Lased sellel joosta mingi päeva ja näed kohe millega tegu.

Mul pole aega seda ise praegu proovida võib olla tuli mingi süntaksi viga sisse

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

imapi
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron
estonia.gif
postituspostitatud: 28.03.2008, 11:26  postituse pealkiri:  (teema puudub)  

midnight kirjutas:
Tulemüüris saad keelata selle kahtlase saidi IP aadressi ära.
Millist aega näitab kohtvõrgus olev veebiserver?
Mis distributsiooni peal töötab antud veebiserver?

php ja mysql versioon ? jne..
kas ssh on lubatud pordis 22 (veebiserverile)


Millelel sa sihid? Aega süngib ntp aga vastu teise meie kohtvõrgus olevat ajaservert. MySQL -i on lubatud connectida ainult localhostist ja ma hästi ei saa aru kuidas php ja mysql saavad sellega seotud olla. Ssh on jah avatud selles masinas pordis 22.
Probleem on selles, et see masin ise connectib välja porti 80 ja ma ei saa aru mis asi seda teeb. Suht random vaheajaga ja siis on 2 paketti järjes 3 min. vahega.
Weebi sait on äkki tehtud nii, et mingi kasutaja tegevuse peale kuskil läheb sellisesse kahtlasse kohta rändama.


sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 28.03.2008, 11:35  postituse pealkiri:  (teema puudub)  

mis see url muidu on, kuhu ta connectib?

_________________
Image Image Image

imapi
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron
estonia.gif
postituspostitatud: 28.03.2008, 11:37  postituse pealkiri:  (teema puudub)  

asianetcom.net (122.152.128.48 )


johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 28.03.2008, 12:51  postituse pealkiri:  (teema puudub)  

selleks ongi vaja snifferdada, et teada saada mis selle paketi sees on.
Kui paketi laadung on http protkolli andmed siis mida seal saidil tehakse.

Kas laetakse mingi reklaam GET käsuga või hoopiski saadetakse andmeid serverist POST käsuga.

Praegu sa tead ainult, et ühendatakse tcp korrusel porti 80 ja see on ka kõik.

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

midnight

Vana Pingviin
Vana Pingviin



Liitunud: 09.08.2007
Postitused: 733

Distributsioon: Ubuntu 8.04
estonia.gif
postituspostitatud: 28.03.2008, 13:47  postituse pealkiri:  (teema puudub)  

imapi kirjutas:

Millelel sa sihid? Aega süngib ntp aga vastu teise meie kohtvõrgus olevat ajaservert. MySQL -i on lubatud connectida ainult localhostist ja ma hästi ei saa aru kuidas php ja mysql saavad sellega seotud olla. Ssh on jah avatud selles masinas pordis 22.
Probleem on selles, et see masin ise connectib välja porti 80 ja ma ei saa aru mis asi seda teeb. Suht random vaheajaga ja siis on 2 paketti järjes 3 min. vahega.
Weebi sait on äkki tehtud nii, et mingi kasutaja tegevuse peale kuskil läheb sellisesse kahtlasse kohta rändama.


port 22 on sul ssh1 või ssh2 versioon ning kas peal on ka denyhosts või on ilma? Kui ssh kaudu on sisse saadud, siis võib teha mis iganes programmile mida tahes..
ja kui lühike on ssh parool?


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group