/l3/users/30-11-2009/nt-lnet/debian13.net.nt/root :1 :2 :3 :4 :5 :6 :7 :8 :9 :10 :11 :12 :13 :14
[ править ]

Журнал лабораторных работ

Содержание

Журнал

Четверг (12/03/09)

/dev/ttypa
13:21:13
#vim /etc/default/clamav-milter 
--- /tmp/l3-saved-2043.10854.3870	2009-12-03 14:44:11.000000000 +0200
+++ sendmail.mc	2009-12-03 14:44:37.000000000 +0200
@@ -98,7 +98,8 @@
 include(`/etc/mail/m4/provider.m4')dnl
 dnl #
 INPUT_MAIL_FILTER(`clamav', `S=local:/var/run/clamav/clamav-milter.ctl, F=, T=S:4m;R:4m')dnl
-DEFINE(`confINPUT_MAIL_FILTERS', `clamav')dnl
+INPUT_MAIL_FILTER(`spamassassin', `S=local:/var/run/spamass.sock, F=, T=C:15m;S:4m;R:4m;E:10m')dnl
+DEFINE(`confINPUT_MAIL_FILTERS', `spamassassin,clamav')dnl
 dnl # Masquerading options
 FEATURE(`always_add_domain')dnl
 MASQUERADE_AS(`net.nt')dnl
13:21:40
#dpkg -L clamav-milter | less
13:21:58
#apt-get install clamav-testfiles
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
НОВЫЕ пакеты, которые будут установлены:
  clamav-testfiles
обновлено 0, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 252 пакетов не обновлено.
Необходимо скачать 207kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 319kB.
Получено:1 http://10.0.35.1 lenny/main clamav-testfiles 0.94.dfsg.2-1lenny2 [207kB]
Получено 207kБ за 0s (3734kБ/c)
Выбор ранее не выбранного пакета clamav-testfiles.
(Чтение базы данных... на данный момент установлено 28254 файлов и каталогов.)
Распаковывается пакет clamav-testfiles (из файла .../clamav-testfiles_0.94.dfsg.2-1lenny2_all.deb)...
Настраивается пакет clamav-testfiles (0.94.dfsg.2-1lenny2) ...
13:22:26
#dpkg -L clamav-testfiles
/.
/usr
/usr/share
/usr/share/clamav-testfiles
/usr/share/clamav-testfiles/clam.exe.bz2
/usr/share/clamav-testfiles/clam-v2.rar
/usr/share/clamav-testfiles/clam.zip
/usr/share/clamav-testfiles/clam.cab
/usr/share/clamav-testfiles/clam.exe
/usr/share/clamav-testfiles/clam-v3.rar
/usr/share/doc
/usr/share/doc/clamav-testfiles
/usr/share/doc/clamav-testfiles/AUTHORS
/usr/share/doc/clamav-testfiles/BUGS
/usr/share/doc/clamav-testfiles/README.gz
/usr/share/doc/clamav-testfiles/changelog.Debian.gz
/usr/share/doc/clamav-testfiles/copyright
/usr/share/doc/clamav-testfiles/changelog.gz
/usr/share/doc/clamav-testfiles/FAQ
/usr/share/doc/clamav-testfiles/README.Debian.gz
/usr/share/doc/clamav-testfiles/NEWS.Debian.gz
13:22:37
#clamscan -r /usr/share/clamav-testfiles/ 
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
LibClamAV Warning: RAR code not compiled-in
/usr/share/clamav-testfiles/clam-v2.rar: OK
...
/usr/share/clamav-testfiles/clam.zip: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.bz2: ClamAV-Test-File FOUND
----------- SCAN SUMMARY -----------
Known viruses: 661308
Engine version: 0.94.2
Scanned directories: 1
Scanned files: 6
Infected files: 4
Data scanned: 0.00 MB
Time: 16.104 sec (0 m 16 s)
13:23:07
#cp /usr/share/clamav-testfiles/clam.cab /tmp










13:23:34




#mutt


  A     2 /tmp/clam.cab                                                                               [applica/x-cab, base64, 0,6K]
     Mix: <no chain defined>
Security: Не применять
-- Вложения
-- Mutt: Compose  [Approx. msg size: 0,8K   Atts: 2]--------------------------------------------------------------------------------
Вложит: /tmp/clam.cab  -- список):
Сообщение отправляется...Dec  3 14:24:34 debian13 sendmail[15556]: nB3COYrv015556: from=root, size=1448, class=0, nrcpts=4, msgid=<20091203122434.GA15546@debian13.net.nt>, relay=root@localhost
                                                                                                                                                                                                                     Dec  3 14:24:34 debian13 sm-mta[15557]: nB3COYXw015557: from=<root@debian13.net.nt>, size=1574, class=0, nrcpts=4, msgid=<20091203122434.GA15546@debian13.net.nt>, proto=ESMTP, daemon=MTA-
                                                                                                                                                                                                                                                                                                                                                                                                               D
                                                                                                                                                                                                                                                                                                                                                                                                               D
...
                                                                                                                                                                                                                                                                                                                                                                                                               D
                                                                                                                                                                                                                                                                                                                                                                                                               D
                                                                                                                                                                                                                                                                                                                                                                                                               D
                                                                                                                                                                                                                                                                                                                                                                                                               D
                                                                                                                                                                                                                                                                                                                                                                                                               D
                                                                                                                                                                                                                                                                                                                                                                                                               D
                                                                                                                                                                                                                                                                                                                                                                                                               D
                                                                                                                                                                                                                                                                                                                                                                                                               D
                                                                                                                                                                                                                                                                                                                                                                                                               D
                                                                                                                                                                                                                                                                                                                                                                                                               D











13:24:51




#less /var/log/mail.log










13:25:16




#mail


Mail version 8.1.2 01/15/2001.  Type ? for help.
"/var/mail/root": 13 messages 9 unread
    1 MAILER-DAEMON@net  Thu Dec  3 12:11   68/2433  Returned mail: see transcript for details
    2 MAILER-DAEMON@aes  Thu Dec  3 12:12   70/2496  Returned mail: see transcript for details
    3 MAILER-DAEMON@net  Thu Dec  3 12:17   68/2442  Returned mail: see transcript for details
>U  4 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  5 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  6 MAILER-DAEMON@net  Thu Dec  3 12:30   66/2293  Returned mail: see transcript for details
    7 root@amel.net.nt   Thu Dec  3 12:40   26/951   test
 U  8 root@aes.net.nt    Thu Dec  3 12:52   29/1146  Re: test
...
Auto-Submitted: auto-generated (failure)
Content-Length: 1702
Lines: 50
This is a MIME-encapsulated message
--nB3C5ZeV012426.1259841935/debian13.net.nt
The original message was received at Thu, 3 Dec 2009 14:05:34 +0200
from localhost.localdomain [127.0.0.1]
   ----- The following addresses had permanent fatal errors -----
<root@js.net.nt>
    (reason: 550 5.7.1 <root@js.net.nt>... Relaying denied)











13:25:32




#mail -u user


Mail version 8.1.2 01/15/2001.  Type ? for help.
"/var/mail/user": 1 message 1 unread
>U  1 root@net.nt        Thu Dec  3 11:08  164/5827  test
&
Message 1:
From root@net.nt  Thu Dec  3 11:08:18 2009
Date: Thu, 3 Dec 2009 11:08:18 +0200
From: root <root@net.nt>
To: user@net.nt
Subject: test
...
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
   Domain Name: ZLO.NET
   Registrar: MONIKER ONLINE SERVICES, INC.
   Whois Server: whois.moniker.com
   Referral URL: http://www.moniker.com/whois.html
& q
Saved 1 message in /root/mbox
q











13:25:42




#q





bash: q: command not found











13:25:45




#ls -lt /var/log/ | head















13:25:55




#zless /usr/share/doc/clamav-milter/README.Debian.gz










13:26:15




#ps aux | grep sendmail


root     14608  0.0  0.3   9328  2060 ?        Ss   14:18   0:00 sendmail: MTA: accepting connections
root     15719  0.0  0.1   4728   756 ttypb    R+   14:26   0:00 grep sendmail











13:26:23




#sendmail -Qp












13:26:26




#sendmail -qp












13:26:30




#Dec  3 14:26:30 debian13 sendmail[15757]: starting daemon (8.14.3): persistent-queueing@00:00:01


Dec  3 14:26:30 debian13 sendmail[15757]: unable to write pid to /var/run/sendmail/mta/sendmail.pid: file in use by another process











13:26:33




#ps aux | grep sendmail


root     14608  0.0  0.3   9328  2060 ?        Ss   14:18   0:00 sendmail: MTA: accepting connections
root     15757  0.0  0.2   8448  1644 ?        Ss   14:26   0:00 sendmail: MTA: Queue control
root     15758  0.0  0.2   8448  1332 ?        S    14:26   0:00 sendmail: MTA: running queue: /var/spool/mqueue
root     15788  0.0  0.1   4728   756 ttypb    R+   14:26   0:00 grep sendmail











13:26:34




#sendmail -qP





Invalid time unit `P'











13:26:41




#man sendmail










13:26:56




#man sendmailDec  3 14:26:56 debian13 sendmail[15823]: nB3CQtrB015823: from=root, size=0, class=0, nrcpts=0, relay=root@localhost










13:27:11




#ls -l /var/spool/


итого 0
drwxr-xr-x 3 root        root         72 2007-12-23 16:31 cron
drwxr-xr-x 3 root        root         72 2009-11-30 17:02 cups
drwxr-xr-x 5 Debian-exim Debian-exim 120 2009-12-03 10:06 exim4
lrwxrwxrwx 1 root        root          7 2008-07-04 20:09 mail -> ../mail
drwxr-s--- 2 smmta       smmsp        48 2009-12-03 14:24 mqueue
drwxrws--- 2 smmsp       smmsp       240 2009-12-03 14:24 mqueue-client











13:27:22




#ls -l /var/spool/mqueue


итого 0











13:27:25




#ls -l /var/spool/mqueue-client/


итого 24
-rw-rw---- 1 clamav smmsp 185 2009-12-03 14:24 dfnB3COZ3r015558
-rw-rw---- 1 clamav smmsp 318 2009-12-03 14:24 dfnB3COZmh015559
-rw-rw---- 1 clamav smmsp 324 2009-12-03 14:24 dfnB3COZVh015560
-rw-rw---- 1 clamav smmsp 957 2009-12-03 14:24 qfnB3COZ3r015558
-rw-rw---- 1 clamav smmsp 671 2009-12-03 14:24 qfnB3COZmh015559
-rw-rw---- 1 clamav smmsp 630 2009-12-03 14:24 qfnB3COZVh015560











13:27:27




#grep -ri clamav /var/spool/mqueue-client/


/var/spool/mqueue-client/dfnB3COZmh015559:contained ClamAV-Test-File and has not been accepted for delivery.
/var/spool/mqueue-client/dfnB3COZVh015560:contained ClamAV-Test-File and has not been accepted for delivery.
/var/spool/mqueue-client/qfnB3COZmh015559:$_clamav@localhost
/var/spool/mqueue-client/qfnB3COZmh015559:Sclamav
/var/spool/mqueue-client/qfnB3COZmh015559:Aclamav@debian13.net.nt
/var/spool/mqueue-client/qfnB3COZmh015559:H??Received: (from clamav@localhost)
/var/spool/mqueue-client/qfnB3COZVh015560:$_clamav@localhost
/var/spool/mqueue-client/qfnB3COZVh015560:Sclamav
/var/spool/mqueue-client/qfnB3COZVh015560:Aclamav@debian13.net.nt
/var/spool/mqueue-client/qfnB3COZVh015560:H??Received: (from clamav@localhost)
/var/spool/mqueue-client/dfnB3COZ3r015558:contained ClamAV-Test-File and has not been accepted for delivery.
/var/spool/mqueue-client/qfnB3COZ3r015558:$_clamav@localhost
/var/spool/mqueue-client/qfnB3COZ3r015558:Sclamav
/var/spool/mqueue-client/qfnB3COZ3r015558:Aclamav@debian13.net.nt
/var/spool/mqueue-client/qfnB3COZ3r015558:H??Received: (from clamav@localhost)











13:27:42




#less /var/log/mail.log










13:28:42




#clamscan -r /usr/share/clamav-testfiles/





LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
LibClamAV Warning: RAR code not compiled-in
/usr/share/clamav-testfiles/clam-v2.rar: OK
...
/usr/share/clamav-testfiles/clam.zip: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.bz2: ClamAV-Test-File FOUND
----------- SCAN SUMMARY -----------
Known viruses: 661308
Engine version: 0.94.2
Scanned directories: 1
Scanned files: 6
Infected files: 4
Data scanned: 0.00 MB
Time: 12.871 sec (0 m 12 s)











13:29:02




#apt-get install s















13:29:29




#fg





tail -f /var/log/mail.log











13:30:11




#netstat -lnp | less










13:30:24




#ps aux | grep sendmail


root     14608  0.0  0.3   9328  2064 ?        Ss   14:18   0:00 sendmail: MTA: accepting connections
root     15757  0.0  0.2   8448  1644 ?        Ss   14:26   0:00 sendmail: MTA: Queue control
root     15758  0.0  0.2   8448  1380 ?        S    14:26   0:00 sendmail: MTA: running queue: /var/spool/mqueue
root     15979  0.0  0.1   4724   756 ttypb    R+   14:30   0:00 grep sendmail











13:30:31




#/etc/init.d/sendmail stop


Stopping Mail Transport Agent (MTA): sendmail.











13:30:43




#ps aux | grep sendmail


root     15757  0.0  0.2   8448  1644 ?        Ss   14:26   0:00 sendmail: MTA: Queue control
root     15758  0.0  0.2   8448  1380 ?        S    14:26   0:00 sendmail: MTA: running queue: /var/spool/mqueue
root     16028  0.0  0.1   4728   756 ttypb    R+   14:30   0:00 grep sendmail











13:30:46




#/etc/init.d/sendmail stop


Stopping Mail Transport Agent (MTA): sendmail.











13:30:54




#ps aux | grep sendmail


root     15757  0.0  0.2   8448  1644 ?        Ss   14:26   0:00 sendmail: MTA: Queue control
root     15758  0.0  0.2   8448  1380 ?        S    14:26   0:00 sendmail: MTA: running queue: /var/spool/mqueue
root     16068  0.0  0.1   4728   756 ttypb    R+   14:30   0:00 grep sendmail











13:30:56




#kill -9 15757 15758












13:31:10




#ps aux | grep sendmail


root     16084  0.0  0.1   4724   752 ttypb    R+   14:31   0:00 grep sendmail











13:31:12




#/etc/init.d/sendmail start


Starting Mail Transport Agent (MTA): sendmail.











13:31:22




#ps aux | grep sendmail


root     16126  0.5  0.3   9328  2068 ?        Ss   14:31   0:00 sendmail: MTA: accepting connections
root     16151  0.0  0.5   9976  3552 ?        S    14:31   0:00 sendmail: MTA: ./nB3CVMvl016146 debian1.aes.net.nt.: client DATA status
root     16154  0.0  0.1   4728   756 ttypb    R+   14:31   0:00 grep sendmail











13:31:24




#fg





bash: fg: current: no such job











13:31:28




#tail -f /var/log/daemon.log





Dec  3 10:08:29 debian13 xinetd[7754]: removing daytime
Dec  3 10:08:29 debian13 xinetd[7754]: removing daytime
Dec  3 10:08:29 debian13 xinetd[7754]: removing discard
Dec  3 10:08:29 debian13 xinetd[7754]: removing discard
Dec  3 10:08:29 debian13 xinetd[7754]: removing echo
Dec  3 10:08:29 debian13 xinetd[7754]: removing echo
Dec  3 10:08:29 debian13 xinetd[7754]: removing time
Dec  3 10:08:29 debian13 xinetd[7754]: removing time
Dec  3 10:08:29 debian13 xinetd[7754]: xinetd Version 2.3.14 started with libwrap loadavg options compiled in.
Dec  3 10:08:29 debian13 xinetd[7754]: Started working: 2 available services











13:31:35




#tail -f /var/log/mail.log





Dec  3 14:31:22 debian13 sm-mta[16146]: nB3CVMvl016146: from=<clamav@debian13.net.nt>, size=692, class=0, nrcpts=5, msgid=<200912031224.nB3COZ3r015558@debian13.net.nt>, proto=ESMTP, daemon=MTA-v4, relay=localhost.localdomain [127.0.0.1]
Dec  3 14:31:22 debian13 sm-mta[16146]: nB3CVMvl016146: Milter add: header: X-Virus-Scanned: ClamAV version 0.94.2, clamav-milter version 0.94.2 on debian13.net.nt
Dec  3 14:31:22 debian13 sm-mta[16146]: nB3CVMvl016146: Milter add: header: X-Virus-Status: Clean
Dec  3 14:31:22 debian13 sm-msp-queue[16132]: nB3COZ3r015558: to=root@js.net.nt,root@amel.net.nt,root@nz.net.nt,root@aes.net.nt,postmaster, ctladdr=clamav (108/110), delay=00:06:47, xdelay=00:00:00, mailer=relay, pri=240437, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (nB3CVMvl016146 Message accepted for delivery)
Dec  3 14:31:22 debian13 sm-mta[16151]: nB3CVMvl016146: to=root, ctladdr=<clamav@debian13.net.nt> (108/110), delay=00:00:00, xdelay=00:00:00, mailer=local, pri=150978, dsn=2.0.0, stat=Sent
Dec  3 14:31:23 debian13 sm-mta[16149]: nB3CVMvj016146: to=<root@debian13.net.nt>, ctladdr=<clamav@debian13.net.nt> (108/110), delay=00:00:01, xdelay=00:00:01, mailer=local, pri=31060, dsn=2.0.0, stat=Sent
Dec  3 14:31:24 debian13 sm-mta[16151]: nB3CVMvl016146: to=<root@aes.net.nt>, ctladdr=<clamav@debian13.net.nt> (108/110), delay=00:00:02, xdelay=00:00:02, mailer=esmtp, pri=150978, relay=debian1.aes.net.nt. [192.168.16.1], dsn=2.0.0, stat=Sent (nB3CVVVw026366 Message accepted for delivery)
Dec  3 14:31:25 debian13 sm-mta[16151]: nB3CVMvl016146: to=<root@amel.net.nt>, ctladdr=<clamav@debian13.net.nt> (108/110), delay=00:00:03, xdelay=00:00:01, mailer=esmtp, pri=150978, relay=mx1.amel.net.nt. [192.168.16.8], dsn=2.0.0, stat=Sent (nB3CVNkJ011274 Message accepted for delivery)
Dec  3 14:31:26 debian13 sm-mta[16151]: nB3CVMvl016146: to=<root@js.net.nt>, ctladdr=<clamav@debian13.net.nt> (108/110), delay=00:00:04, xdelay=00:00:01, mailer=esmtp, pri=150978, relay=debian11.js.net.nt. [192.168.16.11], dsn=2.0.0, stat=Sent (nB3CVXGd017807 Message accepted for delivery)
Dec  3 14:31:27 debian13 sm-mta[16151]: nB3CVMvl016146: to=<root@nz.net.nt>, ctladdr=<clamav@debian13.net.nt> (108/110), delay=00:00:05, xdelay=00:00:01, mailer=esmtp, pri=150978, relay=debian4.nz.net.nt. [192.168.16.4], dsn=2.0.0, stat=Sent (nB3CVY06011744 Message accepted for delivery)











13:31:51




#vim aliases





--- /tmp/l3-saved-2043.16022.14902	2009-12-03 14:45:19.000000000 +0200
+++ sendmail.mc	2009-12-03 14:45:41.000000000 +0200
@@ -98,7 +98,7 @@
 include(`/etc/mail/m4/provider.m4')dnl
 dnl #
 INPUT_MAIL_FILTER(`clamav', `S=local:/var/run/clamav/clamav-milter.ctl, F=, T=S:4m;R:4m')dnl
-INPUT_MAIL_FILTER(`spamassassin', `S=local:/var/run/spamass.sock, F=, T=C:15m;S:4m;R:4m;E:10m')dnl
+INPUT_MAIL_FILTER(`spamassassin', `S=local:/var/run/spamass/spamass.sock, F=, T=C:15m;S:4m;R:4m;E:10m')dnl
 DEFINE(`confINPUT_MAIL_FILTERS', `spamassassin,clamav')dnl
 dnl # Masquerading options
 FEATURE(`always_add_domain')dnl









13:31:59




#  3 postmaster: root


Updating auth ...
sasl2-bin not installed, not configuring sendmail support.
To enable sendmail SASL2 support at a later date, invoke "/usr/share/sendmail/update_auth"
Creating /etc/mail/relay-domains
# Optional file...
The following file(s) have changed:
** ** You should issue `/etc/init.d/sendmail reload` ** **











13:32:01




#/etc/init.d/sendmail restart


Restarting Mail Transport Agent (MTA): sendmail^R
tail -f .
You have new mail in /var/mail/root











13:32:17




#tail -f















13:32:21




#mail


Mail version 8.1.2 01/15/2001.  Type ? for help.
"/var/mail/root": 15 messages 3 new 11 unread
    1 MAILER-DAEMON@net  Thu Dec  3 12:11   68/2433  Returned mail: see transcript for details
    2 MAILER-DAEMON@aes  Thu Dec  3 12:12   70/2496  Returned mail: see transcript for details
    3 MAILER-DAEMON@net  Thu Dec  3 12:17   68/2442  Returned mail: see transcript for details
 U  4 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  5 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  6 MAILER-DAEMON@net  Thu Dec  3 12:30   66/2293  Returned mail: see transcript for details
    7 root@amel.net.nt   Thu Dec  3 12:40   26/951   test
 U  8 root@aes.net.nt    Thu Dec  3 12:52   29/1146  Re: test
...
A message sent from Mail Delivery Subsystem <MAILER-DAEMON@debian13.net.nt> to
        postmaster
contained ClamAV-Test-File and has not been accepted for delivery.
The infected machine is likely to be here:
from localhost (localhost)
        by debian13.net.nt (8.14.3/8.14.3/Submit) id nB3COYrx015556;
        Thu, 3 Dec 2009 14:24:35 +0200
& q
Saved 1 message in /root/mbox
Held 14 messages in /var/mail/root











13:32:33




#mutt


To: postmaster@net.nt
Cc: root@net.nt
Auto-Submitted: auto-submitted (antivirus notify)
X-Infecteaes.net.nt-From: localhost.localdomain [127.0.0.1]
Cc: root@amel.net.nt
Cc: root@js.net.nt
Subject: Virus intercepted
X-Virus-Scanned: ClamAV version 0.94.2, clamav-milter version 0.94.2 on debian13.net.nt
X-Virus-Status: Clean
A m                 Mail Deliver             MAILER-DAEMON@debian13.net.nt> to
...
   7     Dec 03 root            (   1) test
   8 O   Dec 03 root            (   3) └*>
   9 O   Dec 03 root            (   1) 123245
A message sent from Mail Delivery Subsystem <MAILER-DAEMON@debian13.net.nt> to
  10 O   Dec 03 Mail Delivery S (   1) Re: hellomail: see transcript for details
  12 O   Dec 03 root            (   1) Re: Cherep hello
                          MON@n (   6) Virus intercepted
  14                                   Virus intercepted
 *-Mutt: /var/mail/root [Msgs:14 Old:8 Post:1 22K]---(threads/date)---------------------------------------------------------(all)---
Оставлено: 14, удалено: 0.











13:33:35




#date


Чтв Дек  3 14:33:37 EET 2009











13:33:37




#tail -f /var/log/mail.log





Dec  3 14:31:27 debian13 sm-mta[16151]: nB3CVMvl016146: to=<root@nz.net.nt>, ctladdr=<clamav@debian13.net.nt> (108/110), delay=00:00:05, xdelay=00:00:01, mailer=esmtp, pri=150978, relay=debian4.nz.net.nt. [192.168.16.4], dsn=2.0.0, stat=Sent (nB3CVY06011744 Message accepted for delivery)
Dec  3 14:32:14 debian13 sm-mta[16307]: starting daemon (8.14.3): SMTP+queueing@00:10:00
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: from=<user@aes.net.nt>, size=839, class=0, nrcpts=1, msgid=<1259843561.22143.19.camel@debian1.aes.net.nt>, proto=ESMTP, daemon=MTA-v4, relay=debian1.aes.net.nt [192.168.16.1]
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: Milter add: header: X-Virus-Scanned: ClamAV version 0.94.2, clamav-milter version 0.94.2 on debian13.net.nt
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: Milter add: header: X-Virus-Status: Infected with Eicar-Test-Signature
Dec  3 14:32:35 debian13 sendmail[16355]: nB3CWZcN016355: from=clamav, size=305, class=0, nrcpts=2, msgid=<200912031232.nB3CWZcN016355@debian13.net.nt>, relay=clamav@localhost
Dec  3 14:32:35 debian13 sendmail[16355]: nB3CWZcN016355: to=postmaster, delay=00:00:00, mailer=relay, pri=60305, stat=queued
Dec  3 14:32:35 debian13 sendmail[16355]: nB3CWZcN016355: to=root, delay=00:00:00, mailer=relay, pri=60305, stat=queued
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: Milter: data, reject=554 5.7.1 virus Eicar-Test-Signature detected by ClamAV - http://www.clamav.net
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: to=<root@net.nt>, delay=00:00:00, pri=30839, stat=virus Eicar-Test-Signature detected by ClamAV - http://www.clamav.net
[1]+  Stopped                 tail -f /var/log/mail.log











13:33:58




#bg


[1]+ tail -f /var/log/mail.log &











13:34:01




#mail


Mail version 8.1.2 01/15/2001.  Type ? for help.
"/var/mail/root": 14 messages 8 unread
    1 MAILER-DAEMON@net  Thu Dec  3 12:11   68/2433  Returned mail: see transcript for details
    2 MAILER-DAEMON@aes  Thu Dec  3 12:12   70/2496  Returned mail: see transcript for details
    3 MAILER-DAEMON@net  Thu Dec  3 12:17   68/2442  Returned mail: see transcript for details
>U  4 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  5 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  6 MAILER-DAEMON@net  Thu Dec  3 12:30   66/2293  Returned mail: see transcript for details
    7 root@amel.net.nt   Thu Dec  3 12:40   26/951   test
 U  8 root@aes.net.nt    Thu Dec  3 12:52   29/1146  Re: test
...
X-Virus-Status: Clean
Content-Length: 318
Lines: 8
A message sent from Mail Delivery Subsystem <MAILER-DAEMON@debian13.net.nt> to
        root
contained ClamAV-Test-File and has not been accepted for delivery.
The infected machine is likely to be here:
from localhost (localhost)
        by debian13.net.nt (8.14.3/8.14.3/Submit) id nB3COYrw015556;
        Thu, 3 Dec 2009 14:24:35 +0200











13:34:14




#ps aux | grep sendmail


root     16307  0.0  0.3   9328  2068 ?        Ss   14:32   0:00 sendmail: MTA: accepting connections
root     16490  0.0  0.1   4724   752 ttypb    R+   14:34   0:00 grep sendmail











13:34:24




#fg





tail -f /var/log/mail.log











13:34:51




#tail -f /var/log/mail.log





Dec  3 14:31:27 debian13 sm-mta[16151]: nB3CVMvl016146: to=<root@nz.net.nt>, ctladdr=<clamav@debian13.net.nt> (108/110), delay=00:00:05, xdelay=00:00:01, mailer=esmtp, pri=150978, relay=debian4.nz.net.nt. [192.168.16.4], dsn=2.0.0, stat=Sent (nB3CVY06011744 Message accepted for delivery)
Dec  3 14:32:14 debian13 sm-mta[16307]: starting daemon (8.14.3): SMTP+queueing@00:10:00
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: from=<user@aes.net.nt>, size=839, class=0, nrcpts=1, msgid=<1259843561.22143.19.camel@debian1.aes.net.nt>, proto=ESMTP, daemon=MTA-v4, relay=debian1.aes.net.nt [192.168.16.1]
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: Milter add: header: X-Virus-Scanned: ClamAV version 0.94.2, clamav-milter version 0.94.2 on debian13.net.nt
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: Milter add: header: X-Virus-Status: Infected with Eicar-Test-Signature
Dec  3 14:32:35 debian13 sendmail[16355]: nB3CWZcN016355: from=clamav, size=305, class=0, nrcpts=2, msgid=<200912031232.nB3CWZcN016355@debian13.net.nt>, relay=clamav@localhost
Dec  3 14:32:35 debian13 sendmail[16355]: nB3CWZcN016355: to=postmaster, delay=00:00:00, mailer=relay, pri=60305, stat=queued
Dec  3 14:32:35 debian13 sendmail[16355]: nB3CWZcN016355: to=root, delay=00:00:00, mailer=relay, pri=60305, stat=queued
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: Milter: data, reject=554 5.7.1 virus Eicar-Test-Signature detected by ClamAV - http://www.clamav.net
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: to=<root@net.nt>, delay=00:00:00, pri=30839, stat=virus Eicar-Test-Signature detected by ClamAV - http://www.clamav.net











13:34:57




#date


Чтв Дек  3 14:34:59 EET 2009











13:34:59




#tail -f /var/log/mail.log





Dec  3 14:31:27 debian13 sm-mta[16151]: nB3CVMvl016146: to=<root@nz.net.nt>, ctladdr=<clamav@debian13.net.nt> (108/110), delay=00:00:05, xdelay=00:00:01, mailer=esmtp, pri=150978, relay=debian4.nz.net.nt. [192.168.16.4], dsn=2.0.0, stat=Sent (nB3CVY06011744 Message accepted for delivery)
Dec  3 14:32:14 debian13 sm-mta[16307]: starting daemon (8.14.3): SMTP+queueing@00:10:00
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: from=<user@aes.net.nt>, size=839, class=0, nrcpts=1, msgid=<1259843561.22143.19.camel@debian1.aes.net.nt>, proto=ESMTP, daemon=MTA-v4, relay=debian1.aes.net.nt [192.168.16.1]
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: Milter add: header: X-Virus-Scanned: ClamAV version 0.94.2, clamav-milter version 0.94.2 on debian13.net.nt
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: Milter add: header: X-Virus-Status: Infected with Eicar-Test-Signature
Dec  3 14:32:35 debian13 sendmail[16355]: nB3CWZcN016355: from=clamav, size=305, class=0, nrcpts=2, msgid=<200912031232.nB3CWZcN016355@debian13.net.nt>, relay=clamav@localhost
Dec  3 14:32:35 debian13 sendmail[16355]: nB3CWZcN016355: to=postmaster, delay=00:00:00, mailer=relay, pri=60305, stat=queued
Dec  3 14:32:35 debian13 sendmail[16355]: nB3CWZcN016355: to=root, delay=00:00:00, mailer=relay, pri=60305, stat=queued
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: Milter: data, reject=554 5.7.1 virus Eicar-Test-Signature detected by ClamAV - http://www.clamav.net
Dec  3 14:32:35 debian13 sm-mta[16347]: nB3CWY3k016347: to=<root@net.nt>, delay=00:00:00, pri=30839, stat=virus Eicar-Test-Signature detected by ClamAV - http://www.clamav.net











13:35:13




#date


Чтв Дек  3 14:35:14 EET 2009











13:35:14




#top





top - 14:35:22 up 1 day,  5:02,  7 users,  load average: 2.08, 2.14, 2.08
Tasks:  97 total,   5 running,  92 sleeping,   0 stopped,   0 zombie
Cpu(s): 89.3%us,  8.0%sy,  0.0%ni,  0.0%id,  0.0%wa,  0.0%hi,  0.0%si,  2.7%st
Mem:    594068k total,   524516k used,    69552k free,    34616k buffers
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
Swap:        0k total,        0k used,        0k free,   142420k cached
 2487 user      25   0 18420  12m 1484 R 49.0  2.2 246:29.35 l3-agent
 1684 root      25   0 36844  30m 1484 R 48.3  5.3 387:35.93 l3-agent
 2625 root      15   0  7832 2504 2052 S  0.3  0.4   0:03.81 sshd
    1 root      15   0  1984  692  596 S  0.0  0.1   0:00.07 init
...
    5 root      19  -5     0    0    0 S  0.0  0.0   0:00.00 khelper
    6 root      10  -5     0    0    0 S  0.0  0.0   0:00.00 kthread
    7 root      20  -5     0    0    0 S  0.0  0.0   0:00.00 xenwatch
    8 root      14  -5     0    0    0 S  0.0  0.0   0:00.00 xenbus
   16 root      10  -5     0    0    0 S  0.0  0.0   0:00.00 kblockd/0
   18 root      20  -5     0    0    0 S  0.0  0.0   0:00.00 kseriod
   57 root      10  -5     0    0    0 S  0.0  0.0   0:00.53 kswapd0
   58 root      20  -5     0    0    0 S  0.0  0.0   0:00.00 aio/0
  609 root      20  -5     0    0    0 S  0.0  0.0   0:00.00 kmirrord
  707 root      10  -5     0    0    0 S  0.0  0.0   0:00.05 reiserfs/0











13:35:25




#ps uax | grep l3


root      1684 22.4  5.3  36844 31700 ?        Rs   Dec02 387:38 l3-agent
user      2487 14.4  2.2  18420 13280 ?        Rs   Dec02 246:33 l3-agent
root     16567  0.0  0.1   4728   756 ttypb    R+   14:35   0:00 grep l3











13:35:29




#kill -9 1684 2487












13:35:38




#l3-agent


Removing stale pidfile











13:35:41




#ps uax | grep l3


root     16583  123  1.6  15100  9676 ?        Rs   14:35   0:02 l3-agent
root     16592  0.0  0.1   4724   756 ttypb    R+   14:35   0:00 grep l3











13:35:44




#top





top - 14:35:53 up 1 day,  5:02,  7 users,  load average: 1.76, 2.06, 2.06
Tasks:  96 total,   4 running,  92 sleeping,   0 stopped,   0 zombie
Cpu(s): 85.0%us, 13.0%sy,  0.0%ni,  0.0%id,  0.0%wa,  0.0%hi,  0.0%si,  2.0%st
Mem:    594068k total,   492500k used,   101568k free,    34880k buffers
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
Swap:        0k total,        0k used,        0k free,   143376k cached
16583 root      25   0 15384 9972 1036 R 98.1  1.7   0:11.13 l3-agent
    1 root      15   0  1984  692  596 S  0.0  0.1   0:00.07 init
    2 root      RT   0     0    0    0 S  0.0  0.0   0:00.00 migration/0
    3 root      34  19     0    0    0 S  0.0  0.0   0:00.00 ksoftirqd/0
...
    7 root      20  -5     0    0    0 S  0.0  0.0   0:00.00 xenwatch
    8 root      14  -5     0    0    0 S  0.0  0.0   0:00.00 xenbus
   16 root      10  -5     0    0    0 S  0.0  0.0   0:00.00 kblockd/0
   18 root      20  -5     0    0    0 S  0.0  0.0   0:00.00 kseriod
   57 root      10  -5     0    0    0 S  0.0  0.0   0:00.53 kswapd0
   58 root      20  -5     0    0    0 S  0.0  0.0   0:00.00 aio/0
  609 root      20  -5     0    0    0 S  0.0  0.0   0:00.00 kmirrord
  707 root      10  -5     0    0    0 S  0.0  0.0   0:00.05 reiserfs/0
 1026 daemon    17   0  1896  504  408 S  0.0  0.1   0:00.00 portmap
 1040 statd     24   0  1832  720  616 S  0.0  0.1   0:00.00 rpc.statd











13:36:00




#less /var/log/mail.log










13:36:17




#scp /tmp/clam.cab 192.168.16.1:/tmp


Enter passphrase for key '/root/.ssh/id_rsa':
clam.cab                                                                                          100%  621     0.6KB/s   00:00











13:36:37




#ssh 192.168.16.1


Enter passphrase for key '/root/.ssh/id_rsa':
Last login: Thu Dec  3 12:57:15 2009 from 192.168.16.10
Linux debiant 2.6.18-5-xen-686 #1 SMP Fri Jun 1 05:05:24 UTC 2007 i686
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.
l3-agent is already running: pid=1785; pidfile=/root/.lilalo/l3-agent.pid











13:39:14




#less /var/log/mail.log










13:39:21




#mail


Mail version 8.1.2 01/15/2001.  Type ? for help.
"/var/mail/root": 13 messages 8 unread
    1 MAILER-DAEMON@net  Thu Dec  3 12:11   68/2433  Returned mail: see transcript for details
    2 MAILER-DAEMON@aes  Thu Dec  3 12:12   70/2496  Returned mail: see transcript for details
    3 MAILER-DAEMON@net  Thu Dec  3 12:17   68/2442  Returned mail: see transcript for details
>U  4 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  5 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  6 MAILER-DAEMON@net  Thu Dec  3 12:30   66/2293  Returned mail: see transcript for details
    7 root@amel.net.nt   Thu Dec  3 12:40   26/951   test
 U  8 root@aes.net.nt    Thu Dec  3 12:52   29/1146  Re: test
...
next, alias, print, type, Type, Print, visual, top, touch, preserve,
delete, dp, dt, undelete, unset, mail, mbox, pipe, |, more, page, More,
Page, unread, !, copy, chdir, cd, save, source, set, shell, version,
group, write, from, file, folder, folders, ?, z, headers, help, =,
Reply, Respond, reply, respond, edit, echo, quit, list, xit, exit,
size, hold, if, else, endif, alternates, ignore, discard, retain,
saveignore, savediscard, saveretain, core, #, inc, new
& q
Saved 1 message in /root/mbox
Held 12 messages in /var/mail/root











13:39:36




#mail


Mail version 8.1.2 01/15/2001.  Type ? for help.
"/var/mail/root": 12 messages 8 unread
    1 MAILER-DAEMON@net  Thu Dec  3 12:11   68/2433  Returned mail: see transcript for details
    2 MAILER-DAEMON@aes  Thu Dec  3 12:12   70/2496  Returned mail: see transcript for details
    3 MAILER-DAEMON@net  Thu Dec  3 12:17   68/2442  Returned mail: see transcript for details
>U  4 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  5 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  6 MAILER-DAEMON@net  Thu Dec  3 12:30   66/2293  Returned mail: see transcript for details
    7 root@amel.net.nt   Thu Dec  3 12:40   26/951   test
 U  8 root@aes.net.nt    Thu Dec  3 12:52   29/1146  Re: test
 U  9 root@aes.net.nt    Thu Dec  3 13:03   22/775   123245
 U 10 MAILER-DAEMON@nz.  Thu Dec  3 13:08   60/2070  Returned mail: see transcript for details
 U 11 root@net.nt        Thu Dec  3 13:15   18/622   Re: hello
 U 12 root@net.nt        Thu Dec  3 14:05   20/658   Re: Cherep hello
& q
Held 12 messages in /var/mail/root











13:39:42




#mutt


   2     Dec 03 Mail Delivery S (  47) Returned mail: see transcript for details
   3     Dec 03 Mail Delivery S (  49) Returned mail: see transcript for details
   4 O   Dec 03 Mail Delivery S (  49) Returned mail: see transcript for details
   5 O   Dec 03 Mail Delivery S (  49) Returned mail: see transcript for details
   7     Dec 03 root            (   1) test
   8 O   Dec 03 root            (   3) └*>
   9 O   Dec 03 root            (   1) 123245
  10 O   Dec 03 Mail Delivery S (  39) Returned mail: see transcript for details
  11     Dec 03 root            (   1) Re: hello
  12 O   Dec 03 root            (   1) Re: Cherep hello
q*-Mutt: /var/mail/root [Msgs:12 Old:7 Post:1 20K]---(threads/date)---------------------------------------------------------(all)---
Оставлено: 12, удалено: 0.











13:39:55




#less /var/log/clamav/clamav.log










13:40:22




#mail


Mail version 8.1.2 01/15/2001.  Type ? for help.
"/var/mail/root": 16 messages 4 new 11 unread
    1 MAILER-DAEMON@net  Thu Dec  3 12:11   68/2433  Returned mail: see transcript for details
    2 MAILER-DAEMON@aes  Thu Dec  3 12:12   70/2496  Returned mail: see transcript for details
    3 MAILER-DAEMON@net  Thu Dec  3 12:17   68/2442  Returned mail: see transcript for details
 U  4 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  5 MAILER-DAEMON@net  Thu Dec  3 12:26   66/2410  Returned mail: see transcript for details
 U  6 MAILER-DAEMON@net  Thu Dec  3 12:30   66/2293  Returned mail: see transcript for details
    7 root@amel.net.nt   Thu Dec  3 12:40   26/951   test
 U  8 root@aes.net.nt    Thu Dec  3 12:52   29/1146  Re: test
 U  9 root@aes.net.nt    Thu Dec  3 13:03   22/775   123245
 U 10 MAILER-DAEMON@nz.  Thu Dec  3 13:08   60/2070  Returned mail: see transcript for details
   11 root@net.nt        Thu Dec  3 13:15   20/651   Re: hello
 U 12 root@net.nt        Thu Dec  3 14:05   20/658   Re: Cherep hello
>N 13 MAILER-DAEMON@net  Thu Dec  3 14:40   23/908   Virus intercepted
 N 14 MAILER-DAEMON@net  Thu Dec  3 14:40   23/908   Virus intercepted
 N 15 MAILER-DAEMON@net  Thu Dec  3 14:40   23/908   Virus intercepted
 N 16 MAILER-DAEMON@net  Thu Dec  3 14:40   28/1137  Virus intercepted
& q
Held 16 messages in /var/mail/root











13:40:27




#mutt


   2     Dec 03 Mail Delivery S (  47) Returned mail: see transcript for details
   3     Dec 03 Mail Delivery S (  49) Returned mail: see transcript for details
   4 O   Dec 03 Mail Delivery S (  49) Returned mail: see transcript for details
   5 O   Dec 03 Mail Delivery S (  49) Returned mail: see transcript for details
   6 O   Dec 03 Mail Delivery S (  49) Returned mail: see transcript for details
   7     Dec 03 root            (   1) test
   8 O   Dec 03 root            (   3) └*>
   9 O   Dec 03 root            (   1) 123245
  10 O   Dec 03 Mailuser <userS (  39) Returned mail: see transcript for details
  10 O   Dec 03 Mail Delivery S (   1) Re: hellomail: see transcript for details
  12 O   DEicar-Test-Signature and has not been accepted for delivery.
  12 O   Dec 03 root            (   1) Re: Cherep hello
  14     Dec 03 MAILER-DAEMON@n (   3) Virus intercepted
  15     Dec 03 MAILER-DAEMON@n (   8) Virus intercepted
  16     Dec 03 MAILER-DAEMON@n (   3) Virus intercepted
 *-Mutt: /var/mail/root [Msgs:16 Old:7 Post:1 24K]---(threads/date)---------------------------------------------------------(all)---
Оставлено: 16, удалено: 0.











13:41:00




#apt-get install spamassassine





Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
E: Не удалось найти пакет spamassassine











13:41:11




#apt-get install spamassassin





Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
Будут установлены следующие дополнительные пакеты:
  libdigest-hmac-perl libdigest-sha1-perl liberror-perl libfont-afm-perl libhtml-format-perl libhtml-parser-perl
  libhtml-tagset-perl libhtml-tree-perl libio-socket-inet6-perl libmail-spf-perl libmailtools-perl libnet-dns-perl libnet-ip-perl
  libnetaddr-ip-perl libsocket6-perl libsys-hostname-long-perl libsys-syslog-perl liburi-perl libwww-perl re2c spamc
Предлагаемые пакеты:
  libio-socket-ssl-perl razor libnet-ident-perl libdbi-perl pyzor libmail-dkim-perl
НОВЫЕ пакеты, которые будут установлены:
  libdigest-hmac-perl libdigest-sha1-perl liberror-perl libfont-afm-perl libhtml-format-perl libhtml-parser-perl
  libhtml-tagset-perl libhtml-tree-perl libio-socket-inet6-perl libmail-spf-perl libmailtools-perl libnet-dns-perl libnet-ip-perl
  libnetaddr-ip-perl libsocket6-perl libsys-hostname-long-perl libsys-syslog-perl liburi-perl libwww-perl re2c spamassassin spamc
обновлено 0, установлено 22 новых пакетов, для удаления отмечено 0 пакетов, и 252 пакетов не обновлено.
Необходимо скачать 3003kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 9544kB.
Хотите продолжить [Д/н]? n
Аварийное завершение.
You have mail in /var/mail/root











13:41:26




#apt-get install spamassassin spamass





spamassassin    spamass-milter











13:41:26




#apt-get install spamassassin spamass





spamassassin    spamass-milter











13:41:26




#apt-get install spamassassin spamass-milter


Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
Будут установлены следующие дополнительные пакеты:
  libdigest-hmac-perl libdigest-sha1-perl liberror-perl libfont-afm-perl libhtml-format-perl libhtml-parser-perl
  libhtml-tagset-perl libhtml-tree-perl libio-socket-inet6-perl libmail-spf-perl libmailtools-perl libnet-dns-perl libnet-ip-perl
  libnetaddr-ip-perl libsocket6-perl libsys-hostname-long-perl libsys-syslog-perl liburi-perl libwww-perl re2c sendmail spamc
Предлагаемые пакеты:
  libio-socket-ssl-perl rmail razor libnet-ident-perl libdbi-perl pyzor libmail-dkim-perl
НОВЫЕ пакеты, которые будут установлены:
...
Настраивается пакет re2c (0.13.5-1) ...
Настраивается пакет spamassassin (3.2.5-2+lenny1) ...
SpamAssassin Mail Filter Daemon: disabled, see /etc/default/spamassassin
Настраивается пакет spamc (3.2.5-2+lenny1) ...
Настраивается пакет sendmail (8.14.3-5) ...
Настраивается пакет spamass-milter (0.3.1-8) ...
Добавляется системный пользователь `spamass-milter' (UID 109) ...
Добавляется новый пользователь `spamass-milter' (UID 109) в группу `nogroup' ...
Создаётся домашний каталог `/var/lib/spamass-milter' ...
Starting Sendmail milter plugin for SpamAssassin: spamass-milter











13:42:17




#dpkg





^R











13:42:43




#zless /usr/share/doc/clamav-milter/README.Debian.gz










13:44:37




#ls -l /var/run/spamass/spamass.





spamass.pid   spamass.sock











13:44:37




#ls -l /var/run/spamass/spamass.sock


srw------- 1 root root 0 2009-12-03 14:42 /var/run/spamass/spamass.sock











13:45:13




#vim sendmail.mc





--- /tmp/l3-saved-2043.1457.26530	2009-12-03 14:47:03.000000000 +0200
+++ /etc/spamassassin/local.cf	2009-12-03 14:47:48.000000000 +0200
@@ -9,13 +9,13 @@
 
 #   Add *****SPAM***** to the Subject header of spam e-mails
 #
-# rewrite_header Subject *****SPAM*****
+rewrite_header Subject *****SPAM*****
 
 
 #   Save spam messages as a message/rfc822 MIME attachment instead of
 #   modifying the original message (0: off, 2: use text/plain instead)
 #
-# report_safe 1
+report_safe 1
 
 
 #   Set which networks or hosts are considered 'trusted' by your mail
@@ -31,23 +31,23 @@
 
 #   Set the threshold at which a message is considered spam (default: 5.0)
 #
-# required_score 5.0
+required_score 1.0
 
 
 #   Use Bayesian classifier (default: 1)
 #
-# use_bayes 1
+use_bayes 1
 
 
 #   Bayesian classifier auto-learning (default: 1)
 #
-# bayes_auto_learn 1
+bayes_auto_learn 1
 
 
 #   Set headers which may provide inappropriate cues to the Bayesian
 #   classifier
 #
-# bayes_ignore_header X-Bogosity
-# bayes_ignore_header X-Spam-Flag
-# bayes_ignore_header X-Spam-Status
+ bayes_ignore_header X-Bogosity
+ bayes_ignore_header X-Spam-Flag
+ bayes_ignore_header X-Spam-Status
 









13:45:41




#make


Updating databases ...
Reading configuration from /etc/mail/sendmail.conf.
Validating configuration.
Creating /etc/mail/databases...
Updating auth ...
sasl2-bin not installed, not configuring sendmail support.
To enable sendmail SASL2 support at a later date, invoke "/usr/share/sendmail/update_auth"
Creating /etc/mail/relay-domains
# Optional file...
Updating Makefile ...
Reading configuration from /etc/mail/sendmail.conf.
Validating configuration.
Creating /etc/mail/Makefile...
Updating sendmail.cf ...
The following file(s) have changed:
  /etc/mail/sendmail.cf
** ** You should issue `/etc/init.d/sendmail reload` ** **











13:45:45




#cat re















13:45:55




#ls


access           aliases     helpfile          Makefile  sendmail.cf    service.switch        spamassassin  tls
access.db        aliases.db  local-host-names  peers     sendmail.conf  service.switch-nodns  submit.cf     trusted-users
address.resolve  databases   m4                sasl      sendmail.mc    smrsh                 submit.mc











13:45:57




#/etc/init.d/sendmail restart


Restarting Mail Transport Agent (MTA): sendmail.











13:46:25




#less /var/log/mail.log










13:46:45




#vim /etc/spamassassin/













13:46:45




#vim /etc/spamassassin/local.cf





--- /tmp/l3-saved-2043.25997.13054	2009-12-03 14:48:13.000000000 +0200
+++ /etc/default/spamassassin	2009-12-03 14:48:33.000000000 +0200
@@ -5,7 +5,7 @@
 # There may be security risks.
 
 # Change to one to enable spamd
-ENABLED=0
+ENABLED=1
 
 # Options
 # See man spamd for possible options. The -d option is automatically added.









13:46:45




#vim /etc/spamassassin/local.cf













13:47:49




#vim /etc/spamassassin/













13:47:49




#vim /etc/spamassassin/init.pre













13:48:03




#URIDNSBL - look up URLs found in the message against several DNS





spamassassin    spamass-milter











13:48:03




#vim /etc/default/spamassassin













13:48:33




#/etc/init.d/spamass





spamassassin    spamass-milter











13:48:33




#/etc/init.d/spamassassin restart


Restarting SpamAssassin Mail Filter Daemon: No /usr/bin/perl found running; none killed.
spamd.











13:48:41




#/etc/init.d/spamassassin restart





Restarting SpamAssassin Mail Filter Daemon: No /usr/bin/perl found running; none killed.
[17665] warn: server socket setup failed, retry 1: spamd: could not create INET socket on 127.0.0.1:783: Адрес уже используется
[17665] warn: server socket setup failed, retry 2: spamd: could not create INET socket on 127.0.0.1:783: Адрес уже используется
[17665] error: spamd: could not create INET socket on 127.0.0.1:783: Адрес уже используется
spamd: could not create INET socket on 127.0.0.1:783: Адрес уже используется











13:48:48




#/etc/init.d/spamassassin stop


Stopping SpamAssassin Mail Filter Daemon: spamd.











13:48:54




#/etc/init.d/spamassassin restart


Restarting SpamAssassin Mail Filter Daemon: No /usr/bin/perl found running; none killed.
spamd.









Статистика
Время первой команды журнала13:21:13 2009-12- 3
Время последней команды журнала13:48:54 2009-12- 3
Количество командных строк в журнале101
Процент команд с ненулевым кодом завершения, %26.73
Процент синтаксически неверно набранных команд, % 0.99
Суммарное время работы с терминалом *, час 0.46
Количество командных строк в единицу времени, команда/мин 3.65
Частота использования команд
grep11|=========|  9.65%
ps10|========|  8.77%
vim9|=======|  7.89%
less8|=======|  7.02%
mail7|======|  6.14%
apt-get7|======|  6.14%
ls7|======|  6.14%
tail6|=====|  5.26%
/etc/init.d/sendmail5|====|  4.39%
/etc/init.d/spamassassin4|===|  3.51%
mutt4|===|  3.51%
dpkg3|==|  2.63%
fg3|==|  2.63%
sendmail3|==|  2.63%
date3|==|  2.63%
zless2|=|  1.75%
man2|=|  1.75%
top2|=|  1.75%
kill2|=|  1.75%
clamscan2|=|  1.75%
cp1||  0.88%
31||  0.88%
make1||  0.88%
bg1||  0.88%
URIDNSBL1||  0.88%
Dec1||  0.88%
netstat1||  0.88%
cat1||  0.88%
l3-agent1||  0.88%
q1||  0.88%
head1||  0.88%
scp1||  0.88%
/etc/init.d/spamass1||  0.88%
ssh1||  0.88%
____
*) Интервалы неактивности длительностью 30 минут и более не учитываются
Справка
    Для того чтобы использовать LiLaLo, не нужно знать ничего особенного:
    всё происходит само собой.
    Однако, чтобы ведение и последующее использование журналов
    было как можно более эффективным, желательно иметь в виду следующее:
    
    
    
  1.  
    В журнал автоматически попадают все команды, данные в любом терминале системы.
    
    2. 
    
  2. 
    Для того чтобы убедиться, что журнал на текущем терминале ведётся, 
    и команды записываются, дайте команду w.
    В поле WHAT, соответствующем текущему терминалу, 
    должна быть указана программа script.
    
    3. 
    
  3. 
    Команды, при наборе которых были допущены синтаксические ошибки, 
    выводятся перечёркнутым текстом:

    

    


    $ l s-l
    

    bash: l: command not found

    
    		

    

    

    
    
    4. 
    
  4. 
    Если код завершения команды равен нулю, 
    команда была выполнена без ошибок.
    Команды, код завершения которых отличен от нуля, выделяются цветом.

    

    


    $ test 5 -lt 4
    

    		

    

    
    Обратите внимание на то, что код завершения команды может быть отличен от нуля
    не только в тех случаях, когда команда была выполнена с ошибкой.
    Многие команды используют код завершения, например, для того чтобы показать результаты проверки

    
    
    5. 
    
  5. 
    Команды, ход выполнения которых был прерван пользователем, выделяются цветом.

    

    


    $ find / -name abc
    

    find: /home/devi-orig/.gnome2: Keine Berechtigung
find: /home/devi-orig/.gnome2_private: Keine Berechtigung
find: /home/devi-orig/.nautilus/metafiles: Keine Berechtigung
find: /home/devi-orig/.metacity: Keine Berechtigung
find: /home/devi-orig/.inkscape: Keine Berechtigung
^C

    
    		

    

    

    
    
    6. 
    
  6. 
    Команды, выполненные с привилегиями суперпользователя,
    выделяются слева красной чертой.

    

    


    # id
    

    uid=0(root) gid=0(root) Gruppen=0(root)

    
    		

    

    
    
    
    
    7. 
    
  7. 
    Изменения, внесённые в текстовый файл с помощью редактора, 
    запоминаются и показываются в журнале в формате ed.
    Строки, начинающиеся символом "<", удалены, а строки,
    начинающиеся символом ">" -- добавлены.

    

    


    $ vi ~/.bashrc
    

    2a3,5
>    if [ -f /usr/local/etc/bash_completion ]; then
>         . /usr/local/etc/bash_completion
>        fi

    		

    

    
    
    
    
    8. 
    
  8. 
    Для того чтобы изменить файл в соответствии с показанными в диффшоте
    изменениями, можно воспользоваться командой patch.
    Нужно скопировать изменения, запустить программу patch, указав в
    качестве её аргумента файл, к которому применяются изменения,
    и всавить скопированный текст:

    

    


    $ patch ~/.bashrc
    
    		

    

    
    В данном случае изменения применяются к файлу ~/.bashrc
    
    9. 
    
  9. 
    Для того чтобы получить краткую справочную информацию о команде, 
    нужно подвести к ней мышь. Во всплывающей подсказке появится краткое
    описание команды.
    
    
    
    
    Если справочная информация о команде есть, 
    команда выделяется голубым фоном, например: vi.
    Если справочная информация отсутствует,
    команда выделяется розовым фоном, например: notepad.exe.
    Справочная информация может отсутствовать в том случае, 
    если (1) команда введена неверно; (2) если распознавание команды LiLaLo выполнено неверно;
    (3) если информация о команде неизвестна LiLaLo.
    Последнее возможно для редких команд.
    
    10. 
    
  10. 
    Большие, в особенности многострочные, всплывающие подсказки лучше 
    всего показываются браузерами KDE Konqueror, Apple Safari и Microsoft Internet Explorer.
    В браузерах Mozilla и Firefox они отображаются не полностью, 
    а вместо перевода строки выводится специальный символ.
    
    11. 
    
  11. 
    Время ввода команды, показанное в журнале, соответствует времени 
    начала ввода командной строки, которое равно тому моменту, 
    когда на терминале появилось приглашение интерпретатора
    
    12. 
    
  12. 
    Имя терминала, на котором была введена команда, показано в специальном блоке.
    Этот блок показывается только в том случае, если терминал
    текущей команды отличается от терминала предыдущей.
    
    13. 
    
  13. 
    Вывод не интересующих вас в настоящий момент элементов журнала,
    таких как время, имя терминала и других, можно отключить.
    Для этого нужно воспользоваться формой управления журналом
    вверху страницы.
    
    14. 
    
  14. 
    Небольшие комментарии к командам можно вставлять прямо из командной строки.
    Комментарий вводится прямо в командную строку, после символов #^ или #v.
    Символы ^ и v показывают направление выбора команды, к которой относится комментарий:
    ^ - к предыдущей, v - к следующей.
    Например, если в командной строке было введено:

    $ whoami

    

    user

    

    $ #^ Интересно, кто я?

    
    в журнале это будет выглядеть так:
    

    $ whoami

    

    user

    

    

      Интересно, кто я?
     
     
    
    15. 
    
  15. 
    Если комментарий содержит несколько строк,
    его можно вставить в журнал следующим образом:

    $ whoami

    

    user

    

    $ cat > /dev/null #^ Интересно, кто я?

    

    Программа whoami выводит имя пользователя, под которым 
мы зарегистрировались в системе.
-
Она не может ответить на вопрос о нашем назначении 
в этом мире.

    
    В журнале это будет выглядеть так:

    

    


    $ whoami
    

    user

    

    Интересно, кто я?
    
Программа whoami выводит имя пользователя, под которым
    
мы зарегистрировались в системе.
    

    
Она не может ответить на вопрос о нашем назначении
    
в этом мире.
    

    
    		

    

    
    Для разделения нескольких абзацев между собой
    используйте символ "-", один в строке.
    
    

    16. 
    
  16. 
    Комментарии, не относящиеся непосредственно ни к какой из команд, 
    добавляются точно таким же способом, только вместо симолов #^ или #v 
    нужно использовать символы #=
    
    17. 

    
  17. 
    Содержимое файла может быть показано в журнале.
    Для этого его нужно вывести с помощью программы cat.
    Если вывод команды отметить симоволами #!, 
    содержимое файла будет показано в журнале
    в специально отведённой для этого секции.
    
    18. 

    
    
    
  18. 
    Для того чтобы вставить скриншот интересующего вас окна в журнал,
    нужно воспользоваться командой l3shot.
    После того как команда вызвана, нужно с помощью мыши выбрать окно, которое
    должно быть в журнале.
    
    19. 
    
    

    
    
    
  19. 
    Команды в журнале расположены в хронологическом порядке.
    Если две команды давались одна за другой, но на разных терминалах,
    в журнале они будут рядом, даже если они не имеют друг к другу никакого отношения.

    1
    2
3   
    4

    
    Группы команд, выполненных на разных терминалах, разделяются специальной линией.
    Под этой линией в правом углу показано имя терминала, на котором выполнялись команды.
    Для того чтобы посмотреть команды только одного сенса, 
    нужно щёкнуть по этому названию.
    
    20. 
    
    



О программе
    

    LiLaLo (L3) расшифровывается как Live Lab Log.

    Программа разработана для повышения эффективности обучения Unix/Linux-системам.

    (c) Игорь Чубин, 2004-2008

    

$Id$