| Autor |
Sõnum |
imapi
Vana Pingviin
Vanus: 44
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron
|
|
| Selline mure, et oma tulemüüri jälgides avastasin kummalise asja, et kohtvõrgus olev veebi server käib iga mingi aja tagant väga kahtlasel saidil (asian...) pordis 80. Kuidas ma saan teada mis asi seal käib. Masina peal on ainult apache+php+mysql - asutuse weeb.
|
|
|
|
|
|
|
    |
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
Tulemüüris saad keelata selle kahtlase saidi IP aadressi ära.
Millist aega näitab kohtvõrgus olev veebiserver?
Mis distributsiooni peal töötab antud veebiserver?
php ja mysql versioon ? jne..
kas ssh on lubatud pordis 22 (veebiserverile)
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Lase tcpdumpi serveris
midagi sellist:
"tcpdump -A host asian.com dst port 80 -s 1540 -w logi"
ja pärast logi ascii failiks
"tcpdump –A –r logi >> ascii.txt"
Lased sellel joosta mingi päeva ja näed kohe millega tegu.
Mul pole aega seda ise praegu proovida võib olla tuli mingi süntaksi viga sisse
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
imapi
Vana Pingviin
Vanus: 44
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron
|
|
| midnight kirjutas: | | Tulemüüris saad keelata selle kahtlase saidi IP aadressi ära.
Millist aega näitab kohtvõrgus olev veebiserver?
Mis distributsiooni peal töötab antud veebiserver?
php ja mysql versioon ? jne..
kas ssh on lubatud pordis 22 (veebiserverile) |
Millelel sa sihid? Aega süngib ntp aga vastu teise meie kohtvõrgus olevat ajaservert. MySQL -i on lubatud connectida ainult localhostist ja ma hästi ei saa aru kuidas php ja mysql saavad sellega seotud olla. Ssh on jah avatud selles masinas pordis 22.
Probleem on selles, et see masin ise connectib välja porti 80 ja ma ei saa aru mis asi seda teeb. Suht random vaheajaga ja siis on 2 paketti järjes 3 min. vahega.
Weebi sait on äkki tehtud nii, et mingi kasutaja tegevuse peale kuskil läheb sellisesse kahtlasse kohta rändama.
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
| mis see url muidu on, kuhu ta connectib?
|
|
|
|
_________________
  
|
|
|
|
imapi
Vana Pingviin
Vanus: 44
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron
|
|
| asianetcom.net (122.152.128.48 )
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
selleks ongi vaja snifferdada, et teada saada mis selle paketi sees on.
Kui paketi laadung on http protkolli andmed siis mida seal saidil tehakse.
Kas laetakse mingi reklaam GET käsuga või hoopiski saadetakse andmeid serverist POST käsuga.
Praegu sa tead ainult, et ühendatakse tcp korrusel porti 80 ja see on ka kõik.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
| imapi kirjutas: | |
Millelel sa sihid? Aega süngib ntp aga vastu teise meie kohtvõrgus olevat ajaservert. MySQL -i on lubatud connectida ainult localhostist ja ma hästi ei saa aru kuidas php ja mysql saavad sellega seotud olla. Ssh on jah avatud selles masinas pordis 22.
Probleem on selles, et see masin ise connectib välja porti 80 ja ma ei saa aru mis asi seda teeb. Suht random vaheajaga ja siis on 2 paketti järjes 3 min. vahega.
Weebi sait on äkki tehtud nii, et mingi kasutaja tegevuse peale kuskil läheb sellisesse kahtlasse kohta rändama. |
port 22 on sul ssh1 või ssh2 versioon ning kas peal on ka denyhosts või on ilma? Kui ssh kaudu on sisse saadud, siis võib teha mis iganes programmile mida tahes..
ja kui lühike on ssh parool?
|
|
|
|
|
|
|
|
|
|
