[ править ]

Журнал лабораторных работ

Содержание

Среда (08/06/08)
Понедельник (08/11/08)

Файлы
Статистика
Справка
О программе

Журнал

Среда (08/06/08)

/dev/tty1

15:48:20

#ping mail.ru

PING mail.ru (194.67.57.226) 56(84) bytes of data.
64 bytes from 194.67.57.226: icmp_seq=1 ttl=117 time=102 ms
--- mail.ru ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 102.320/102.320/102.320/0.000 ms

прошло 18 минут

/dev/tty1

16:07:10

#cat .l3rc

l3cd=/users/11-08-2008/nt-lnet/debian1.unix.nt/root

прошло 11 минут

16:18:42

#ifconfig

eth0      Link encap:Ethernet  HWaddr 00:16:3E:00:00:01
          inet addr:192.168.16.1  Bcast:192.168.16.255  Mask:255.255.255.0
          inet6 addr: fe80::216:3eff:fe00:1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:371 errors:0 dropped:0 overruns:0 frame:0
          TX packets:119 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:48030 (46.9 KiB)  TX bytes:12074 (11.7 KiB)
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

16:18:44

#ifconfig -a

eth0      Link encap:Ethernet  HWaddr 00:16:3E:00:00:01
          inet addr:192.168.16.1  Bcast:192.168.16.255  Mask:255.255.255.0
          inet6 addr: fe80::216:3eff:fe00:1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:377 errors:0 dropped:0 overruns:0 frame:0
          TX packets:127 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:48821 (47.6 KiB)  TX bytes:13975 (13.6 KiB)
eth1      Link encap:Ethernet  HWaddr 00:16:3E:00:01:01
          BROADCAST MULTICAST  MTU:1500  Metric:1
...
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
sit0      Link encap:IPv6-in-IPv4
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

16:19:31

#ifconfig eth2 192.168.99.2

16:22:24

#ping 192.168.99.1

PING 192.168.99.1 (192.168.99.1) 56(84) bytes of data.
64 bytes from 192.168.99.1: icmp_seq=1 ttl=64 time=1.42 ms
--- 192.168.99.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.423/1.423/1.423/0.000 ms

16:22:40

#ping 192.168.99.1

[root@debian1:~]# ping 192.168.99.1
PING 192.168.99.1 (192.168.99.1) 56(84) bytes of data.
--- 192.168.99.1 ping statistics ---
9 packets transmitted, 0 received, 100% packet loss, time 8010ms
PING 192.168.99.1 (192.168.99.1) 56(84) bytes of data.
64 bytes from 192.168.99.1: icmp_seq=2 ttl=64 time=2.34 ms
64 bytes from 192.168.99.1: icmp_seq=3 ttl=64 time=0.270 ms
--- 192.168.99.1 ping statistics ---
3 packets transmitted, 2 received, 33% packet loss, time 2007ms
rtt min/avg/max/mdev = 0.270/1.307/2.344/1.037 ms

Понедельник (08/11/08)

/dev/ttyp0

09:42:07

#screen -x

прошло 32 минуты

/dev/ttyp2

10:14:48

#screen

/dev/ttyp4

10:15:22

#screen -x

/dev/ttyp0

10:15:25

#screen -x

/dev/ttyp8

10:18:27

#tcpdump -i eth0 -n arp

bash: tcpdump: command not found

/dev/ttyp6

10:20:45

#ifconfig

eth0      Link encap:Ethernet  HWaddr 00:16:3E:00:00:01
          inet addr:192.168.16.1  Bcast:192.168.16.255  Mask:255.255.255.0
          inet6 addr: fe80::216:3eff:fe00:1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7297 errors:0 dropped:0 overruns:0 frame:0
          TX packets:950 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1296761 (1.2 MiB)  TX bytes:258559 (252.4 KiB)
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

10:23:05

#arp -an

? (192.168.16.205) at 00:14:C2:05:A3:1B [ether] on eth0
? (192.168.16.203) at 00:14:C2:05:9C:2E [ether] on eth0
? (192.168.16.206) at 00:14:C2:05:A3:18 [ether] on eth0

10:24:13

#ping 192.168.16.2

[root@debian1:~]#
PING 192.168.16.2 (192.168.16.2) 56(84) bytes of data.
64 bytes from 192.168.16.2: icmp_seq=1 ttl=64 time=2.61 ms
^C64 bytes from 192.168.16.2: icmp_seq=2 ttl=64 time=0.144 ms
--- 192.168.16.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 0.144/1.378/2.613/1.235 ms

10:24:25

#arp -an

? (192.168.16.2) at 00:16:3E:00:00:02 [ether] on eth0
? (192.168.16.205) at 00:14:C2:05:A3:1B [ether] on eth0
? (192.168.16.203) at 00:14:C2:05:9C:2E [ether] on eth0
? (192.168.16.206) at 00:14:C2:05:A3:18 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:24:27

#arp -an

? (192.168.16.2) at 00:16:3E:00:00:02 [ether] on eth0
? (192.168.16.205) at 00:14:C2:05:A3:1B [ether] on eth0
? (192.168.16.203) at 00:14:C2:05:9C:2E [ether] on eth0
? (192.168.16.206) at 00:14:C2:05:A3:18 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

/dev/ttyp8

10:25:50

#ping nt.ua

PING nt.ua (212.40.34.157) 56(84) bytes of data.
64 bytes from stream.tsua.net (212.40.34.157): icmp_seq=1 ttl=56 time=12.1 ms
--- nt.ua ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 12.186/12.186/12.186/0.000 ms

10:25:55

#vim /etc/apt/sources.list

--- /tmp/l3-saved-2626.7349.17975	2008-08-11 10:26:10.000000000 +0300
+++ /etc/apt/sources.list	2008-08-11 10:27:09.000000000 +0300
@@ -1 +1 @@
-deb http://debian.org.ua/debian etch main 
+deb http://10.0.35.1:9999/debian etch main

10:27:10

#apt-get update

0% [Ожидание заголовков]

10:27:19

#ping 10.0.35.1

PING 10.0.35.1 (10.0.35.1) 56(84) bytes of data.
64 bytes from 10.0.35.1: icmp_seq=1 ttl=63 time=0.236 ms
--- 10.0.35.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.236/0.236/0.236/0.000 ms

10:27:23

#apt-get update

Получено:1 http://10.0.35.1 etch Release.gpg [386B]
Получено:2 http://10.0.35.1 etch Release [58,2kB]
Ign http://10.0.35.1 etch/main Packages
Получено:3 http://10.0.35.1 etch/main Packages [5624kB]
Получено 5683kB за 2s (2815kB/c)
Чтение списков пакетов... Готово

10:27:28

#apt-get install tcpdump

Чтение списков пакетов... Готово
Построение дерева зависимостей... Готово
Будут установлены следующие дополнительные пакеты:
libpcap0.8
НОВЫЕ пакеты, которые будут установлены:
libpcap0.8 tcpdump
обновлено 0, установлено 2 новых пакетов, для удаления отмечено 0 пакетов, и 50 пакетов не обновлено.
Необходимо скачать 392kБ архивов.
После распаковки объем занятого дискового пространства возрастёт на 877kB.
Хотите продолжить [Д/н]?
Получено:1 http://10.0.35.1 etch/main libpcap0.8 0.9.5-1 [89,5kB]
Получено:2 http://10.0.35.1 etch/main tcpdump 3.9.5-2etch1 [303kB]
Получено 392kB за 3s (111kB/c)
Выбор ранее не выбранного пакета libpcap0.8.
(Чтение базы данных... на данный момент установлено 22591 файлов и каталогов.)
Распаковывается пакет libpcap0.8 (из файла .../libpcap0.8_0.9.5-1_i386.deb)...
Выбор ранее не выбранного пакета tcpdump.
Распаковывается пакет tcpdump (из файла .../tcpdump_3.9.5-2etch1_i386.deb)...
Настраивается пакет libpcap0.8 (0.9.5-1) ...
Настраивается пакет tcpdump (3.9.5-2etch1) ...

/dev/ttyp6

10:28:01

#ping 192.168.16.3

PING 192.168.16.3 (192.168.16.3) 56(84) bytes of data.
64 bytes from 192.168.16.3: icmp_seq=1 ttl=64 time=0.781 ms
--- 192.168.16.3 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.781/0.781/0.781/0.000 ms

10:28:47

#arp -an

? (192.168.16.2) at 00:16:3E:00:00:02 [ether] on eth0
? (192.168.16.205) at 00:14:C2:05:A3:1B [ether] on eth0
? (192.168.16.203) at 00:14:C2:05:9C:2E [ether] on eth0
? (192.168.16.206) at 00:14:C2:05:A3:18 [ether] on eth0
? (192.168.16.3) at 00:16:3E:00:00:03 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

/dev/ttyp8

10:30:00

#tcpdump -i eth0 -n arp

[root@debian1:~]# tcpdump -i eth0 -n arp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:28:47.105190 arp who-has 192.168.16.3 tell 192.168.16.1
10:28:47.105323 arp reply 192.168.16.3 is-at 00:16:3e:00:00:03
10:28:52.101678 arp who-has 192.168.16.1 tell 192.168.16.3
10:28:52.101687 arp reply 192.168.16.1 is-at 00:16:3e:00:00:01
10:28:58.712230 arp who-has 192.168.16.1 tell 192.168.16.254
10:28:58.712242 arp reply 192.168.16.1 is-at 00:16:3e:00:00:01
10:29:41.355025 arp who-has 192.168.16.219 tell 192.168.16.254
10:29:46.346543 arp who-has 192.168.16.1 tell 192.168.16.205
10:29:46.346553 arp reply 192.168.16.1 is-at 00:16:3e:00:00:01
10:29:46.353213 arp who-has 192.168.16.1 tell 192.168.16.203
10:29:46.353224 arp reply 192.168.16.1 is-at 00:16:3e:00:00:01
10:29:46.354657 arp who-has 192.168.16.1 tell 192.168.16.206
10:29:46.354659 arp reply 192.168.16.1 is-at 00:16:3e:00:00:01
13 packets captured
13 packets received by filter
0 packets dropped by kernel

10:30:17

#apt-cache search et

10:33:14

#apt-cache search ett

ettercap - Multipurpose sniffer/interceptor/logger for switched LAN
ettercap-common - Common support files and plugins for ettercap
ettercap-gtk - Multipurpose sniffer/interceptor/logger for switched LAN

10:33:20

#apt-get install ettercap

Чтение списков пакетов... Готово
Построение дерева зависимостей... Готово
Будут установлены следующие дополнительные пакеты:
ettercap-common libltdl3 libnet1 libpcre3
НОВЫЕ пакеты, которые будут установлены:
ettercap ettercap-common libltdl3 libnet1 libpcre3
обновлено 0, установлено 5 новых пакетов, для удаления отмечено 0 пакетов, и 50 пакетов не обновлено.
Необходимо скачать 917kБ архивов.
После распаковки объем занятого дискового пространства возрастёт на 2314kB.
Хотите продолжить [Д/н]?
...
Распаковывается пакет libnet1 (из файла .../libnet1_1.1.2.1-2_i386.deb)...
Выбор ранее не выбранного пакета ettercap-common.
Распаковывается пакет ettercap-common (из файла .../ettercap-common_1%3a0.7.3-1.2_i386.deb)...
Выбор ранее не выбранного пакета ettercap.
Распаковывается пакет ettercap (из файла .../ettercap_1%3a0.7.3-1.2_i386.deb)...
Настраивается пакет libpcre3 (6.7+7.4-4) ...
Настраивается пакет libltdl3 (1.5.22-4) ...
Настраивается пакет libnet1 (1.1.2.1-2) ...
Настраивается пакет ettercap-common (0.7.3-1.2) ...
Настраивается пакет ettercap (0.7.3-1.2) ...

10:33:55

#ssh 192.168.16.3

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
51:5b:32:d8:70:19:6d:04:c7:b4:11:49:13:74:dc:bc.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:7
RSA host key for 192.168.16.3 has changed and you have requested strict checking.
Host key verification failed.

10:34:17

#ssh-keygen -R 192.168.16.3

/root/.ssh/known_hosts updated.
Original contents retained as /root/.ssh/known_hosts.old

10:34:29

#apt-cache search pop3

balsa - An e-mail client for GNOME
courier-base - Courier Mail Server - Base system
courier-pop - Courier Mail Server - POP3 server
courier-pop-ssl - Courier Mail Server - POP3 over SSL
crywrap - Simple TCP service encryption using TLS/SSL
cvm - Credential Validation Modules
cvm-dev - Credential Validation Modules (development files, documentation)
cvm-mysql - Credential Validation Modules (mysql)
cvm-pgsql - Credential Validation Modules (postgresql)
cyrus-clients-2.2 - Cyrus mail system (test clients)
...
twig - The Web Information Gateway
wl - mail/news reader supporting IMAP for emacsen
wl-beta - mail/news reader supporting IMAP for emacsen (development version)
wmbiff - A dockable app that displays information about mailboxes
wmmail - A mail notification program designed for WindowMaker
wmmaiload - dockapp to monitor mails in one or more mail boxes
xfce4-mailwatch-plugin - mail watcher plugin for the Xfce4 panel
xlassie - Dockable mail notifier w/ message count & POP3/APOP/IMAP support
xmail - advanced, fast and reliable ESMTP/POP3 mail server
xmail-doc - documentation for xmail

10:34:39

#apt-cache search pop3server

10:34:45

#apt-cache search pop3

balsa - An e-mail client for GNOME
courier-base - Courier Mail Server - Base system
courier-pop - Courier Mail Server - POP3 server
courier-pop-ssl - Courier Mail Server - POP3 over SSL
crywrap - Simple TCP service encryption using TLS/SSL
cyrus-clients-2.2 - Cyrus mail system (test clients)
cyrus-common-2.2 - Cyrus mail system (common files)
cyrus-murder-2.2 - Cyrus mail system (proxies and aggregator)
cyrus-pop3d-2.2 - Cyrus mail system (POP3 support)
cyrus21-clients - Cyrus mail system (test clients)
...
teapop-ldap - Powerful and flexible RFC-compliant POP3 server
teapop-mysql - Powerful and flexible RFC-compliant POP3 server
teapop-pgsql - Powerful and flexible RFC-compliant POP3 server
twig - The Web Information Gateway
wl - mail/news reader supporting IMAP for emacsen
wl-beta - mail/news reader supporting IMAP for emacsen (development version)
wmbiff - A dockable app that displays information about mailboxes
xlassie - Dockable mail notifier w/ message count & POP3/APOP/IMAP support
xmail - advanced, fast and reliable ESMTP/POP3 mail server
xmail-doc - documentation for xmail

10:34:48

#apt-get install qpopper

Чтение списков пакетов... Готово
Построение дерева зависимостей... Готово
Будут установлены следующие дополнительные пакеты:
  exim4 exim4-base exim4-config exim4-daemon-light libpcre3
Предлагаемые пакеты:
  mail-reader eximon4 exim4-doc-html exim4-doc-info gnutls-bin openssl libmail-spf-query-perl
НОВЫЕ пакеты, которые будут установлены:
  exim4 exim4-base exim4-config exim4-daemon-light libpcre3 qpopper
обновлено 0, установлено 6 новых пакетов, для удаления отмечено 0 пакетов, и 32 пакетов не обновлено.
Необходимо скачать 2299kБ архивов.
...
Получено:1 http://debian.org.ua etch/main exim4-config 4.63-17 [334kB]
Получено:2 http://debian.org.ua etch/main exim4-base 4.63-17 [937kB]
Err http://debian.org.ua etch/main libpcre3 6.7+7.4-2
  404 Not Found
Получено:3 http://debian.org.ua etch/main exim4-daemon-light 4.63-17 [414kB]
Получено:4 http://debian.org.ua etch/main exim4 4.63-17 [2080B]
Получено:5 http://debian.org.ua etch/main qpopper 4.0.5.dfsg-0.1 [415kB]
Получено 2102kB за 13s (159kB/c)
Не удалось загрузить http://debian.org.ua/debian/pool/main/p/pcre3/libpcre3_6.7+7.4-2_i386.deb  404 Not Found
E: Невозможно загрузить некоторые архивы, вероятно надо запустить apt-get update или попытаться повторить запуск с ключом --fix-missing

10:35:12

#vim /etc/apt/sources.list

10:35:42

#apt-get install qpopper

Чтение списков пакетов... Готово
Построение дерева зависимостей... Готово
W: Не удалось получить атрибуты списка пакетов с исходными текстами http://10.0.35.1 etch/main Packages (/var/lib/apt/lists/10.0.35.1:9999_debian_dists_etch_main_binary-i386_Packages) - stat (2 No such file or directory)
W: Не удалось получить атрибуты списка пакетов с исходными текстами http://10.0.35.1 etch/main Packages (/var/lib/apt/lists/10.0.35.1:9999_debian_dists_etch_main_binary-i386_Packages) - stat (2 No such file or directory)
W: Вы можете запустить 'apt-get update' для исправления этих ошибок
E: Не могу найти пакет qpopper

10:35:43

#apt-get update

Получено:1 http://10.0.35.1 etch Release.gpg [386B]
Получено:2 http://10.0.35.1 etch Release [58,2kB]
Ign http://10.0.35.1 etch/main Packages
Получено:3 http://10.0.35.1 etch/main Packages [5624kB]
Получено 5683kB за 2s (2837kB/c)
Чтение списков пакетов... Готово

10:36:03

#telnet 127.0.0.1 110

Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused

10:36:14

#dpkg -L qpopper

/.
/usr
/usr/bin
/usr/bin/popauth
/usr/sbin
/usr/sbin/in.qpopper
/usr/share
/usr/share/doc
/usr/share/doc/qpopper
/usr/share/doc/qpopper/README
...
/usr/share/man/man8/popauth.8.gz
/etc
/etc/pam.d
/etc/pam.d/qpopper
/etc/qpopper.conf
/var
/var/spool
/var/spool/popbull
/var/spool/pop
/usr/share/man/man8/in.qpopper.8.gz

10:36:27

#vim /etc/qpopper.conf

10:36:50

#ps aux | grep qpop

root      3060  0.0  0.1   4620   740 ttyp1    S+   10:36   0:00 grep qpop

10:36:54

#/etc/init.d/

bootclean              console-screen.kbd.sh  hostname.sh            klogd                  mountdevsubfs.sh       openbsd-inetd          rmnologin              stop-bootlogd-single   urandom
bootlogd               cron                   hwclock.sh             libdevmapper1.02       mountkernfs.sh         procps.sh              screen-cleanup         sudo                   x11-common
bootmisc.sh            exim4                  ifupdown               makedev                mountnfs-bootclean.sh  rc                     sendsigs               sysklogd
checkfs.sh             gdm                    ifupdown-clean         module-init-tools      mountnfs.sh            rc.local               single                 umountfs
checkroot.sh           glibc.sh               keymap.sh              mountall-bootclean.sh  mtab.sh                rcS                    ssh                    umountnfs.sh
console-cyrillic       halt                   killprocs              mountall.sh            networking             reboot                 stop-bootlogd          umountroot

10:36:54

#/etc/init.d/

10:37:10

#vim /etc/inetd.conf

10:37:38

#telnet 127.0.0.1 110

[root@debian3:~]# /etc/init.d/openbsd-inetd restart
Restarting internet superserver: inetd.
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
+OK Qpopper (version 4.0.5) at debian3 starting.  <3139.1218440262@debian3>
USER user
+OK Password required for user.
PASS password
+OK user has 0 visible messages (0 hidden) in 0 octets.
^]
telnet> q
Connection closed.

10:38:02

#exit

exit
Connection to 192.168.16.3 closed.

10:38:15

#ssh 192.168.16.3

root@192.168.16.3's password:
Last login: Mon Aug 11 10:34:28 2008 from 192.168.16.1
Linux debiant 2.6.18-5-xen-686 #1 SMP Fri Jun 1 05:05:24 UTC 2007 i686
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
l3-agent is already running: pid=1252; pidfile=/root/.lilalo/l3-agent.pid

10:38:26

#arp -an

? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0

10:38:32

#arp -an > /tmp/arp1

10:38:38

#cat /tmp/arp1

? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0

10:38:40

#exit

exit
Connection to 192.168.16.3 closed.

10:38:41

#man ettercap

/dev/ttyp2

10:40:01

#screen -x

/dev/ttyp8

10:40:34

#ettercap -T -M arp /192.168.16.3/ /192.168.16.2/ -L

Text only Interface activated...
Hit 'h' for inline help
Mon Aug 11 10:42:23 2008
TCP  192.168.16.2:45499 --> 192.168.16.3:110 | S
Mon Aug 11 10:42:23 2008
TCP  192.168.16.3:110 --> 192.168.16.2:45499 | SA
Mon Aug 11 10:42:23 2008
TCP  192.168.16.2:45499 --> 192.168.16.3:110 | A
Mon Aug 11 10:42:23 2008
TCP  192.168.16.3:110 --> 192.168.16.2:45499 | AP
...
...........
.
.
Mon Aug 11 10:42:49 2008
TCP  192.168.16.3:110 --> 192.168.16.2:45499 | AP
+OK Qpopper (version 4.0.5) at debian3 starting.  <3284.1218440543@debian3>.
Mon Aug 11 10:42:53 2008
TCP  192.168.16.2:45499 --> 192.168.16.3:110 | AP
USER user.
User requested a CTRL+C... (deprecated, next time use proper shutdown)

/dev/ttyp6

10:41:30

#ssh 192.168.16.2

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
51:5b:32:d8:70:19:6d:04:c7:b4:11:49:13:74:dc:bc.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:10
RSA host key for 192.168.16.2 has changed and you have requested strict checking.
Host key verification failed.

10:41:59

#ssh-keygen -R 192.168.16.2

/root/.ssh/known_hosts updated.
Original contents retained as /root/.ssh/known_hosts.old

10:42:13

#telnet 192.168.16.3 110

[root@debian1:~]# ssh 192.168.16.2
The authenticity of host '192.168.16.2 (192.168.16.2)' can't be established.
RSA key fingerprint is 51:5b:32:d8:70:19:6d:04:c7:b4:11:49:13:74:dc:bc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.16.2' (RSA) to the list of known hosts.
root@192.168.16.2's password:
Last login: Wed Aug  6 16:21:54 2008
Linux debiant 2.6.18-5-xen-686 #1 SMP Fri Jun 1 05:05:24 UTC 2007 i686
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Trying 192.168.16.3...
Connected to 192.168.16.3.
Escape character is '^]'.
USER user
^]
telnet> q
Connection closed.

10:42:51

#telnet 192.168.16.3 110

[root@debian2:~]#
Trying 192.168.16.3...
Connected to 192.168.16.3.
Escape character is '^]'.
USER user
^]
telnet> q
Connection closed.

/dev/ttyp8

10:43:01

#man ettercap

10:44:15

#arp -an

? (192.168.16.2) at 00:16:3E:00:00:02 [ether] on eth0
? (192.168.16.205) at 00:14:C2:05:A3:1B [ether] on eth0
? (192.168.16.203) at 00:14:C2:05:9C:2E [ether] on eth0
? (192.168.16.206) at 00:14:C2:05:A3:18 [ether] on eth0
? (192.168.16.3) at 00:16:3E:00:00:03 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:44:23

#ettercap -T -M arp /192.168.16.3

* |==================================================>| 100.00 %
2 hosts added to the hosts list...
ARP poisoning victims:
 GROUP 1 : 192.168.16.3 00:16:3E:00:00:03
 GROUP 2 : 192.168.16.2 00:16:3E:00:00:02
Starting Unified sniffing...
Text only Interface activated...
Hit 'h' for inline help
Mon Aug 11 10:45:26 2008
TCP  192.168.16.2:46405 --> 192.168.16.3:110 | S
...
TCP  192.168.16.2:46405 --> 192.168.16.3:110 | AP
USER user.
Mon Aug 11 10:45:46 2008
TCP  192.168.16.2:46405 --> 192.168.16.3:110 | FA
Mon Aug 11 10:45:46 2008
TCP  192.168.16.3:110 --> 192.168.16.2:46405 | A
Closing text interface...
ARP poisoner deactivated.
RE-ARPing the victims...
Unified sniffing was stopped.

/dev/ttyp6

10:44:44

#atp -an

bash: atp: command not found

10:44:47

#arp

? (192.168.16.3) at 00:16:3E:00:00:03 [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:44:50

#arp -an

? (192.168.16.3) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:45:12

#arp -an

? (192.168.16.3) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:45:46

#telnet 192.168.16.3 110

Trying 192.168.16.3...
Connected to 192.168.16.3.
Escape character is '^]'.
+OK Qpopper (version 4.0.5) at debian3 starting.  <3287.1218440760@debian3>
^]
telnet> q
Connection closed.

/dev/ttyp8

10:45:54

bash: q: command not found

/dev/ttyp6

10:46:04

#telnet 192.168.16.3 110

Trying 192.168.16.3...
Connected to 192.168.16.3.
Escape character is '^]'.
^]
telnet> q
Connection closed.

/dev/ttyp8

10:46:08

#ettercap -T -M arp /192.168.16.3/ /192.168.16.2/ -l log

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on eth0... (Ethernet)
  eth0 ->       00:16:3E:00:00:01      192.168.16.1     255.255.255.0
SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...
  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
...
Mon Aug 11 10:46:41 2008
TCP  192.168.16.3:110 --> 192.168.16.2:46409 | FAP
-ERR POP EOF or I/O Error.
+OK Pop server at debian3 signing off..
Mon Aug 11 10:46:41 2008
TCP  192.168.16.2:46409 --> 192.168.16.3:110 | FA
Mon Aug 11 10:46:41 2008
TCP  192.168.16.3:110 --> 192.168.16.2:46409 | A
User requested a CTRL+C... (deprecated, next time use proper shutdown)
q

/dev/ttyp6

10:46:41

#telnet 192.168.16.3 110

Trying 192.168.16.3...
Connected to 192.168.16.3.
Escape character is '^]'.
^]
telnet> q
Connection closed.

/dev/ttyp8

10:46:48

bash: q: command not found

10:46:48

bash: q: command not found

10:46:49

#ettercap -T -M arp /192.168.16.3/ /192.168.16.2/

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on eth0... (Ethernet)
  eth0 ->       00:16:3E:00:00:01      192.168.16.1     255.255.255.0
SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...
  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
...
Mon Aug 11 10:47:20 2008
TCP  192.168.16.3:110 --> 192.168.16.2:46411 | AP
+OK Qpopper (version 4.0.5) at debian3 starting.  <3289.1218440827@debian3>.
Mon Aug 11 10:47:33 2008
TCP  192.168.16.3:110 --> 192.168.16.2:46411 | AP
+OK Qpopper (version 4.0.5) at debian3 starting.  <3289.1218440827@debian3>.
Closing text interface...
ARP poisoner deactivated.
RE-ARPing the victims...
Unified sniffing was stopped.

/dev/ttyp6

10:47:16

#telnet 192.168.16.3 110

10:47:19

#ping 192.168.16.3

PING 192.168.16.3 (192.168.16.3) 56(84) bytes of data.
64 bytes from 192.168.16.3: icmp_seq=1 ttl=64 time=0.318 ms
64 bytes from 192.168.16.3: icmp_seq=2 ttl=64 time=0.315 ms
--- 192.168.16.3 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.315/0.316/0.318/0.017 ms

10:47:26

#arp -an

? (192.168.16.3) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:47:28

#ping 192.168.16.2

PING 192.168.16.2 (192.168.16.2) 56(84) bytes of data.
64 bytes from 192.168.16.2: icmp_seq=1 ttl=64 time=0.015 ms
64 bytes from 192.168.16.2: icmp_seq=2 ttl=64 time=0.014 ms
--- 192.168.16.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.014/0.014/0.015/0.003 ms

/dev/ttyp8

10:47:43

bash: q: command not found

10:47:44

#ettercap -T -M arp /192.168.16.2/ /192.168.16.3

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on eth0... (Ethernet)
  eth0 ->       00:16:3E:00:00:01      192.168.16.1     255.255.255.0
SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...
  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
...
Mon Aug 11 10:48:11 2008
TCP  192.168.16.3:110 --> 192.168.16.2:46415 | AP
+OK Qpopper (version 4.0.5) at debian3 starting.  <3290.1218440888@debian3>.
Mon Aug 11 10:48:14 2008
TCP  192.168.16.3:110 --> 192.168.16.2:46415 | AP
+OK Qpopper (version 4.0.5) at debian3 starting.  <3290.1218440888@debian3>.
Closing text interface...
ARP poisoner deactivated.
RE-ARPing the victims...
Unified sniffing was stopped.

/dev/ttyp6

10:47:57

#telnet 192.168.16.3 110

Trying 192.168.16.3...
Connected to 192.168.16.3.
Escape character is '^]'.
^]
telnet> q
Connection closed.

/dev/ttyp8

10:48:18

#ettercap -T -M arp /192.168.16.3/ /192.168.16.2/ -L log

1698 tcp OS fingerprint
2183 known services
Scanning for merged targets (2 hosts)...
* |==================================================>| 100.00 %
2 hosts added to the hosts list...
ARP poisoning victims:
 GROUP 1 : 192.168.16.3 00:16:3E:00:00:03
 GROUP 2 : 192.168.16.2 00:16:3E:00:00:02
Starting Unified sniffing...
Text only Interface activated...
...
Mon Aug 11 10:49:25 2008
TCP  192.168.16.2:46348 --> 192.168.16.3:110 | AP
.
Mon Aug 11 10:49:29 2008
TCP  192.168.16.3:110 --> 192.168.16.2:46348 | AP
+OK Qpopper (version 4.0.5) at debian3 starting.  <3291.1218440943@debian3>.
Closing text interface...
ARP poisoner deactivated.
RE-ARPing the victims...
Unified sniffing was stopped.

/dev/ttypa

10:48:31

#arp -an

? (192.168.16.2) at 00:16:3E:00:00:02 [ether] on eth0
? (192.168.16.205) at 00:14:C2:05:A3:1B [ether] on eth0
? (192.168.16.203) at 00:14:C2:05:9C:2E [ether] on eth0
? (192.168.16.206) at 00:14:C2:05:A3:18 [ether] on eth0
? (192.168.16.3) at 00:16:3E:00:00:03 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:48:36

#ping 192.168.16.1

PING 192.168.16.1 (192.168.16.1) 56(84) bytes of data.
64 bytes from 192.168.16.1: icmp_seq=1 ttl=64 time=0.019 ms
64 bytes from 192.168.16.1: icmp_seq=2 ttl=64 time=0.021 ms
--- 192.168.16.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.019/0.020/0.021/0.001 ms

10:48:50

#arp -an

? (192.168.16.2) at 00:16:3E:00:00:02 [ether] on eth0
? (192.168.16.205) at 00:14:C2:05:A3:1B [ether] on eth0
? (192.168.16.203) at 00:14:C2:05:9C:2E [ether] on eth0
? (192.168.16.206) at 00:14:C2:05:A3:18 [ether] on eth0
? (192.168.16.3) at 00:16:3E:00:00:03 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:48:51

#ping 192.168.16.1

PING 192.168.16.1 (192.168.16.1) 56(84) bytes of data.
64 bytes from 192.168.16.1: icmp_seq=1 ttl=64 time=0.011 ms
64 bytes from 192.168.16.1: icmp_seq=2 ttl=64 time=0.018 ms
64 bytes from 192.168.16.1: icmp_seq=3 ttl=64 time=0.016 ms
64 bytes from 192.168.16.1: icmp_seq=4 ttl=64 time=0.014 ms
--- 192.168.16.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2998ms
rtt min/avg/max/mdev = 0.011/0.014/0.018/0.005 ms

/dev/ttyp8

10:49:32

#ettercap -T -M arp /192.168.16.3/ /192.168.16.2/ -L log

Mon Aug 11 10:54:20 2008
TCP  192.168.16.3:110 --> 192.168.16.2:46352 | AP
+OK Qpopper (version 4.0.5) at debian3 starting.  <3386.1218441208@debian3>.
Mon Aug 11 10:54:27 2008
TCP  192.168.16.2:46352 --> 192.168.16.3:110 | AP
.
Mon Aug 11 10:54:35 2008
TCP  192.168.16.2:37250 --> 192.168.16.3:110 | S
Mon Aug 11 10:54:35 2008
TCP  192.168.16.3:110 --> 192.168.16.2:37250 | SA
...
TCP  192.168.16.2:37250 --> 192.168.16.3:110 | FA
Mon Aug 11 10:54:50 2008
TCP  192.168.16.3:110 --> 192.168.16.2:37250 | A
Mon Aug 11 10:54:52 2008
TCP  192.168.16.2:37250 --> 192.168.16.3:110 | AP
USER user.
Closing text interface...
ARP poisoner deactivated.
RE-ARPing the victims...
Unified sniffing was stopped.

/dev/ttyp6

10:50:47

#arp -an

[root@debian2:~]# telnet 192.168.16.3 110
Trying 192.168.16.3...
Connected to 192.168.16.3.
Escape character is '^]'.
USER user
PASS password
+OK Qpopper (version 4.0.5) at debian3 starting.  <3291.1218440943@debian3>
+OK Password required for user.
+OK user has 0 visible messages (0 hidden) in 0 octets.
q
".
q
-ERR Unknown command: "q".
quit
+OK Pop server at debian3 signing off.
Connection closed by foreign host.
? (192.168.16.3) at 00:16:3E:00:00:03 [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:50:53

#ping 192.168.16.2

PING 192.168.16.2 (192.168.16.2) 56(84) bytes of data.
64 bytes from 192.168.16.2: icmp_seq=1 ttl=64 time=0.011 ms
64 bytes from 192.168.16.2: icmp_seq=2 ttl=64 time=0.013 ms
--- 192.168.16.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.011/0.012/0.013/0.001 ms

10:51:09

#arp -an

? (192.168.16.3) at 00:16:3E:00:00:03 [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:51:10

#arp -an

? (192.168.16.3) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0

10:52:51

#telnet 192.168.16.3 110

[root@debian2:~]# arp -an
? (192.168.16.3) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0
? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0
Trying 192.168.16.3...
Connected to 192.168.16.3.
Escape character is '^]'.
^]
telnet>
^]
telnet> q
Connection closed.

/dev/ttypa

10:53:13

#arp -n

Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.16.254           ether   00:04:76:A1:EF:BB   C                     eth0
192.168.16.1             ether   00:16:3E:00:00:01   C                     eth0
192.168.16.2             ether   00:16:3E:00:00:01   C                     eth0

/dev/ttyp6

10:53:36

#telnet 192.168.16.3 110

Trying 192.168.16.3...
Connected to 192.168.16.3.
Escape character is '^]'.
USER user
^]
telnet> q
Connection closed.

/dev/ttypa

10:53:40

#vim /etc/inetd.conf

10:54:08

#netstat -lnp | grep

tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN     3500/popa3d

10:54:26

#vim /etc/screenrc

/dev/ttyp6

10:54:51

#telnet 192.168.16.3 110

Trying 192.168.16.3...
Connected to 192.168.16.3.
Escape character is '^]'.
USER user
PASS password
+OK
+OK
+OK
-ERR
-ERR
-ERR
^]
telnet> q
Connection closed.

/dev/ttyp8

10:55:03

#ettercap -T -M arp /192.168.16.3/ /192.168.16.2/ -L log

10:56:01

#ettercap -T -M arp /192.168.16.3/ /192.168.16.2/ -L log

[root@debian1:~]# man ettercap
ÐÐµÑÐµÑÐ¾ÑÐ¼Ð°ÑÐ¸ÑÐ¾Ð²Ð°Ð½Ð¸Ðµ ettercap(8), Ð¿Ð¾Ð´Ð¾Ð¶Ð´Ð¸ÑÐµ...
ESCOA
host to increase the speed, but new hosts need a new query and the dns may take up to 2 or 3 seconds to respond for an unknown host.
You will intercept and visualize traffic between 10.0.0.1 and 10.0.0.15, but you will receive all the traffic for 10.0.0.1 and 10.0.0.15 too.rect, the poisoned clients will not be
HINT: ettercap collects the dns replies it sniffs in the resolution table, so even if you specify to not resolve the hostnames, some of them will be resolved because the reply was previâ
ously sniffed. think about it as a passive dns resolution for free... ;)GET as always.
In console mode (-C option), standalone plugins are executed and then the application exits. Hook plugins are activated and the normal sniffing is performed.0.1 you can specify "./ettercap
-E, --ext-headerslist of the available external plugins use "list" (without quotes) as plugin name (e.g. ./ettercap -P list).tending to be a better route for internet. All connections to internet
Print extended headers for every displayed packet. (e.g. mac addresses)them to the real gateway. The resulting attack is a HALF-DUPLEX mitm. Only the client is redirected, since the gateâ
...
-C, --curses NOTE: Use this mitm method only on ethernet switches. Use it carefully, it could produce performances loss or general havoc.
EXAMPLES <title>This is the title</title>, but the following <string> will not be displayed.
Here are some examples of using ettercap.method in only-mitm mode (-o flag), because it hooks the sniffing engine, and you canât use interactive data injection.
This is the title, but the following will not be displayed.
ettercap -Tpice GTK2 interface (thanks Daten...).it in conjunction with other mitm methods.
utf8 Print the packets in UTF-8 format. The encoding used while performing the conversion is declared in the etter.conf(5) file.
Use the console interface and do not put the interface in promisc mode. You will see only your traffic. design and the lack of certain ioctl(). (We will feature this method on these OSes if
-d, --dnsemonize ettercap. This option will detach ettercap from the current controlling terminal and set it as a daemon. You can combine this feature with the "log" option to log all the traffic
ettercap -Tzqe ip addresses into hostnames.ls for any reason, it will create the file "./ettercap_daemonized.log" in which the error caught by ettercap will be reported. Furthermore, if you want
to have a complete debug of the daemon process, you are encouraged to recompile ettercap in debug mode.

Файлы

.l3rc

/tmp/arp1

.l3rc

l3cd=/users/11-08-2008/nt-lnet/debian1.unix.nt/root

/tmp/arp1

? (192.168.16.254) at 00:04:76:A1:EF:BB [ether] on eth0
? (192.168.16.1) at 00:16:3E:00:00:01 [ether] on eth0

Статистика

Время первой команды журнала 15:48:20 2008- 8- 6

Время последней команды журнала 10:56:01 2008- 8-11

Количество командных строк в журнале 100

Процент команд с ненулевым кодом завершения, % 11.00

Процент синтаксически неверно набранных команд, % 6.00

Суммарное время работы с терминалом ^*, час 1.26

Количество командных строк в единицу времени, команда/мин 1.32

Частота использования команд

`arp`	17	\|================\| 16.50%
`telnet`	12	\|===========\| 11.65%
`ping`	12	\|===========\| 11.65%
`ettercap`	9	\|========\| 8.74%
`apt-get`	7	\|======\| 6.80%
`vim`	6	\|=====\| 5.83%
`screen`	5	\|====\| 4.85%
`apt-cache`	5	\|====\| 4.85%
`ifconfig`	4	\|===\| 3.88%
`q`	4	\|===\| 3.88%
`ssh`	3	\|==\| 2.91%
`man`	2	\|=\| 1.94%
`tcpdump`	2	\|=\| 1.94%
`ssh-keygen`	2	\|=\| 1.94%
`/etc/init.d/`	2	\|=\| 1.94%
`cat`	2	\|=\| 1.94%
`grep`	2	\|=\| 1.94%
`exit`	2	\|=\| 1.94%
`dpkg`	1	\|\| 0.97%
`ps`	1	\|\| 0.97%
`atp`	1	\|\| 0.97%
`netstat`	1	\|\| 0.97%
`arp1`	1	\|\| 0.97%

____
*) Интервалы неактивности длительностью 30 минут и более не учитываются

Справка

Для того чтобы использовать LiLaLo, не нужно знать ничего особенного: всё происходит само собой. Однако, чтобы ведение и последующее использование журналов было как можно более эффективным, желательно иметь в виду следующее:

В журнал автоматически попадают все команды, данные в любом терминале системы.
Для того чтобы убедиться, что журнал на текущем терминале ведётся, и команды записываются, дайте команду w. В поле WHAT, соответствующем текущему терминалу, должна быть указана программа script.
Команды, при наборе которых были допущены синтаксические ошибки, выводятся перечёркнутым текстом:
$ l s-l

bash: l: command not found
Если код завершения команды равен нулю, команда была выполнена без ошибок. Команды, код завершения которых отличен от нуля, выделяются цветом.
$ test 5 -lt 4
Обратите внимание на то, что код завершения команды может быть отличен от нуля не только в тех случаях, когда команда была выполнена с ошибкой. Многие команды используют код завершения, например, для того чтобы показать результаты проверки

Команды, ход выполнения которых был прерван пользователем, выделяются цветом.

$ find / -name abc

find: /home/devi-orig/.gnome2: Keine Berechtigung find: /home/devi-orig/.gnome2_private: Keine Berechtigung find: /home/devi-orig/.nautilus/metafiles: Keine Berechtigung find: /home/devi-orig/.metacity: Keine Berechtigung find: /home/devi-orig/.inkscape: Keine Berechtigung ^C

Команды, выполненные с привилегиями суперпользователя, выделяются слева красной чертой.
# id

uid=0(root) gid=0(root) Gruppen=0(root)
Изменения, внесённые в текстовый файл с помощью редактора, запоминаются и показываются в журнале в формате ed. Строки, начинающиеся символом "<", удалены, а строки, начинающиеся символом ">" -- добавлены.
$ vi ~/.bashrc

2a3,5 > if [ -f /usr/local/etc/bash_completion ]; then > . /usr/local/etc/bash_completion > fi
Для того чтобы изменить файл в соответствии с показанными в диффшоте изменениями, можно воспользоваться командой patch. Нужно скопировать изменения, запустить программу patch, указав в качестве её аргумента файл, к которому применяются изменения, и всавить скопированный текст:
$ patch ~/.bashrc
В данном случае изменения применяются к файлу ~/.bashrc
Для того чтобы получить краткую справочную информацию о команде, нужно подвести к ней мышь. Во всплывающей подсказке появится краткое описание команды.

Если справочная информация о команде есть, команда выделяется голубым фоном, например: vi. Если справочная информация отсутствует, команда выделяется розовым фоном, например: notepad.exe. Справочная информация может отсутствовать в том случае, если (1) команда введена неверно; (2) если распознавание команды LiLaLo выполнено неверно; (3) если информация о команде неизвестна LiLaLo. Последнее возможно для редких команд.
Большие, в особенности многострочные, всплывающие подсказки лучше всего показываются браузерами KDE Konqueror, Apple Safari и Microsoft Internet Explorer. В браузерах Mozilla и Firefox они отображаются не полностью, а вместо перевода строки выводится специальный символ.
Время ввода команды, показанное в журнале, соответствует времени начала ввода командной строки, которое равно тому моменту, когда на терминале появилось приглашение интерпретатора
Имя терминала, на котором была введена команда, показано в специальном блоке. Этот блок показывается только в том случае, если терминал текущей команды отличается от терминала предыдущей.
Вывод не интересующих вас в настоящий момент элементов журнала, таких как время, имя терминала и других, можно отключить. Для этого нужно воспользоваться формой управления журналом вверху страницы.
Небольшие комментарии к командам можно вставлять прямо из командной строки. Комментарий вводится прямо в командную строку, после символов #^ или #v. Символы ^ и v показывают направление выбора команды, к которой относится комментарий: ^ - к предыдущей, v - к следующей. Например, если в командной строке было введено:
```
$ whoami
```
```
user
```
```
$ #^ Интересно, кто я?
```
в журнале это будет выглядеть так:
```
$ whoami
```
```
user
```
Интересно, кто я?

Если комментарий содержит несколько строк, его можно вставить в журнал следующим образом:

$ whoami

user

$ cat > /dev/null #^ Интересно, кто я?

Программа whoami выводит имя пользователя, под которым 
мы зарегистрировались в системе.
-
Она не может ответить на вопрос о нашем назначении 
в этом мире.

В журнале это будет выглядеть так:

$ whoami

user

Интересно, кто я?

Программа whoami выводит имя пользователя, под которым
мы зарегистрировались в системе.

Она не может ответить на вопрос о нашем назначении
в этом мире.

Для разделения нескольких абзацев между собой используйте символ "-", один в строке.

Комментарии, не относящиеся непосредственно ни к какой из команд, добавляются точно таким же способом, только вместо симолов #^ или #v нужно использовать символы #=

Содержимое файла может быть показано в журнале. Для этого его нужно вывести с помощью программы cat. Если вывод команды отметить симоволами #!, содержимое файла будет показано в журнале в специально отведённой для этого секции.

Для того чтобы вставить скриншот интересующего вас окна в журнал, нужно воспользоваться командой l3shot. После того как команда вызвана, нужно с помощью мыши выбрать окно, которое должно быть в журнале.

Команды в журнале расположены в хронологическом порядке. Если две команды давались одна за другой, но на разных терминалах, в журнале они будут рядом, даже если они не имеют друг к другу никакого отношения.
```
1
    2
3   
    4
```
Группы команд, выполненных на разных терминалах, разделяются специальной линией. Под этой линией в правом углу показано имя терминала, на котором выполнялись команды. Для того чтобы посмотреть команды только одного сенса, нужно щёкнуть по этому названию.

О программе

LiLaLo (L3) расшифровывается как Live Lab Log.
Программа разработана для повышения эффективности обучения Unix/Linux-системам.
(c) Игорь Чубин, 2004-2008

$Id$