/l3/users/abear/nt-bsdnet/fbsd3.unix.nt/root :1 :2 :3 :4 :5 :6 :7 :8 :9 :10 :11 :12 :13 :14 :15 :16 :17 :18 :19 :20 :21 :22 :23 :24 :25 :26 :27 :28 :29 :30 :31
[ править ]

Журнал лабораторных работ

Содержание

Журнал

Вторник (11/28/06)

/dev/ttyp9
11:47:14
#which /usr/libexec/tcpd
/usr/libexec/tcpd
11:47:29
#grep telnet /etc/inetd.conf
telnet  stream  tcp     nowait  root    /usr/libexec/telnetd    telnetd
telnet  stream  tcp6    nowait  root    /usr/libexec/telnetd    telnetd
11:47:40
#ldd `which inetd` | grep libwrap
        libwrap.so.4 => /usr/lib/libwrap.so.4 (0x28088000)
11:48:07
#ldd `which sshd` | grep libwrap
        libwrap.so.4 => /usr/lib/libwrap.so.4 (0x280e8000)
11:48:15
#ldd `which sendmail` | grep libwrap 










11:48:21




#ldd `which syslogd` | grep libwrap















11:48:28




#vi /etc/inetd.conf










11:48:45




#vi /etc/hosts.allow


18a19,20
> bc  : ALL EXCEPT 127.0.0.1 : deny
> 









11:49:07




#telnet 127.0.0.1 30021


Trying 127.0.0.1...
Connected to localhost.unix.nt.
Escape character is '^]'.
^]
telnet> q
Connection closed.











11:49:58




#telnet 192.168.15.23 30021





Trying 192.168.15.23...
Connected to fbsd3.unix.nt.
Escape character is '^]'.
Connection closed by foreign host.











11:50:08




#tail /var/log/messages


Nov 28 09:29:39 fbsd3 root: /usr/local/etc/rc.d/samba.sh: WARNING: /usr/local/etc/smb.conf is not readable.
Nov 28 09:45:21 fbsd3 kernel: Limiting closed port RST response from 253 to 200 packets/sec
Nov 28 09:45:22 fbsd3 kernel: Limiting closed port RST response from 233 to 200 packets/sec
Nov 28 09:45:24 fbsd3 kernel: Limiting closed port RST response from 262 to 200 packets/sec
Nov 28 09:45:25 fbsd3 kernel: Limiting closed port RST response from 283 to 200 packets/sec
Nov 28 09:47:05 fbsd3 kernel: Limiting closed port RST response from 253 to 200 packets/sec
Nov 28 09:47:06 fbsd3 kernel: Limiting closed port RST response from 233 to 200 packets/sec
Nov 28 09:47:07 fbsd3 kernel: Limiting closed port RST response from 262 to 200 packets/sec
Nov 28 09:47:09 fbsd3 kernel: Limiting closed port RST response from 283 to 200 packets/sec
Nov 28 09:50:07 fbsd3 inetd[38360]: refused connection from fbsd3.unix.nt, service bc (tcp)











11:50:58




#cat > /dev/null





11.21    24  212.248.127.230  XXX.XX.XXX.XXX
 7.48    16  212.40.51.74     XXX.XX.XXX.XXX
 7.01    15  81.19.66.38      XXX.XX.XXX.XXX
 7.01    15  206.53.61.4      XXX.XX.XXX.XXX
 5.14    11  85.21.32.2       XXX.XX.XXX.XXX
 4.67    10  XXX.XX.XXX.XXX   66.230.200.100
 3.27     7  213.186.117.120  XXX.XX.XXX.XXX
 2.34     5  213.184.233.246  XXX.XX.XXX.XXX
 1.87     4  213.227.215.85   XXX.XX.XXX.XXX
 1.87     4  82.140.81.100    XXX.XX.XXX.XXX
...
 1.40     3  66.249.65.227    XXX.XX.XXX.XXX
 1.40     3  194.84.189.148   XXX.XX.XXX.XXX
 1.40     3  195.5.50.58      XXX.XX.XXX.XXX
 1.40     3  XXX.XX.XXX.XXX   66.230.200.228
 1.40     3  212.104.125.117  XXX.XX.XXX.XXX
 1.40     3  74.100.123.227   XXX.XX.XXX.XXX
 0.93     2  83.223.156.13    XXX.XX.XXX.XXX
 0.93     2  198.49.180.40    XXX.XX.XXX.XXX
 0.93     2  194.84.1.25      XXX.XX.XXX.XXX
^C











11:55:32




#cat > /tmp/snort-log


11.21    24  212.248.127.230  XXX.XX.XXX.XXX
 7.48    16  212.40.51.74     XXX.XX.XXX.XXX
 7.01    15  81.19.66.38      XXX.XX.XXX.XXX
 7.01    15  206.53.61.4      XXX.XX.XXX.XXX
 5.14    11  85.21.32.2       XXX.XX.XXX.XXX
 4.67    10  XXX.XX.XXX.XXX   66.230.200.100
 3.27     7  213.186.117.120  XXX.XX.XXX.XXX
 2.34     5  213.184.233.246  XXX.XX.XXX.XXX
 1.87     4  213.227.215.85   XXX.XX.XXX.XXX
 1.87     4  82.140.81.100    XXX.XX.XXX.XXX
...
 1.87     4  62.128.48.42     XXX.XX.XXX.XXX
 1.40     3  66.249.65.227    XXX.XX.XXX.XXX
 1.40     3  194.84.189.148   XXX.XX.XXX.XXX
 1.40     3  195.5.50.58      XXX.XX.XXX.XXX
 1.40     3  XXX.XX.XXX.XXX   66.230.200.228
 1.40     3  212.104.125.117  XXX.XX.XXX.XXX
 1.40     3  74.100.123.227   XXX.XX.XXX.XXX
 0.93     2  83.223.156.13    XXX.XX.XXX.XXX
 0.93     2  198.49.180.40    XXX.XX.XXX.XXX
 0.93     2  194.84.1.25      XXX.XX.XXX.XXX











11:55:41




#less /tmp/snort-log










11:56:12




#whois 81.19.66.38


OrgName:    RIPE Network Coordination Centre
OrgID:      RIPE
Address:    P.O. Box 10096
City:       Amsterdam
StateProv:
PostalCode: 1001EB
Country:    NL
ReferralServer: whois://whois.ripe.net:43
NetRange:   81.0.0.0 - 81.255.255.255
CIDR:       81.0.0.0/8
...
source:         RIPE # Filtered
remarks:        modified for Russian phone area changes
% Information related to '81.19.64.0/19AS24638'
route:          81.19.64.0/19
descr:          Rambler Telecom
origin:         AS24638
mnt-lower:      RAMBLER-MNT
mnt-routes:     RAMBLER-MNT
mnt-by:         RAMBLER-MNT
source:         RIPE # Filtered











11:56:17




#less /tmp/snort-log










11:56:28




#whois 85.159.40.1


OrgName:    RIPE Network Coordination Centre
OrgID:      RIPE
Address:    P.O. Box 10096
City:       Amsterdam
StateProv:
PostalCode: 1001EB
Country:    NL
ReferralServer: whois://whois.ripe.net:43
NetRange:   85.0.0.0 - 85.255.255.255
CIDR:       85.0.0.0/8
...
admin-c:        VVG77-RIPE
tech-c:         VVG77-RIPE
nic-hdl:        ITCN-RIPE
source:         RIPE # Filtered
% Information related to '85.159.40.0/21AS34567'
route:        85.159.40.0/21
descr:        ITCN ISP
origin:       AS34567
mnt-by:       ITCN-MNT
source:       RIPE # Filtered











11:56:46




#whois 85.159.40.1 | less










11:57:28




#less /tmp/snort-log










11:57:52




#less /etc/inetd.conf










11:58:59




#ldd `which sshd` | grep libwrap


        libwrap.so.4 => /usr/lib/libwrap.so.4 (0x280e8000)











11:59:12




#strings /usr/lib/libwrap.so.4 | grep /etc


/etc/hosts.deny
/etc/hosts.allow











11:59:19




#less /etc/hosts.deny













11:59:29




#man inetd.conf










/dev/ttypg
12:07:57




#at /etc/inetd.conf |less










12:08:13




#cat /etc/inetd.conf |less








прошло 10 минут




/dev/ttyv1
12:18:22




#cd /usr/ports/












12:18:40




#make search name=xinitd












12:18:57




#make search name=xinetd


Port:   xinetd-2.3.13
Path:   /usr/ports/security/xinetd
Info:   Replacement for inetd with better control and logging
Maint:  vanilla@FreeBSD.org
B-deps: gettext-0.14.5 gmake-3.80_2 libiconv-1.9.2_1
R-deps:
WWW:    http://www.xinetd.org/











12:19:28




#cd security/












12:19:46




#cd xinetd/












12:19:53




#make install


ranlib libmisc.a
Installed libmisc.a to ../../lib
Installed ./misc.h ./m_env.h to ../../include
Installed ./misc.3 ./m_env.3 to ../../man
gmake[1]: Leaving directory `/usr/ports/security/xinetd/work/xinetd-2.3.13/libs/src/misc'
cd libs/src/pset ; gmake CC='cc' CFLAGS='-O2 -fno-strict-aliasing -pipe  -O2 -fno-strict-aliasing -pipe   -I../../include' install
gmake[1]: Entering directory `/usr/ports/security/xinetd/work/xinetd-2.3.13/libs/src/pset'
cc -O2 -fno-strict-aliasing -pipe  -O2 -fno-strict-aliasing -pipe   -I../../include   -c -o pset.o pset.c
cc -O2 -fno-strict-aliasing -pipe  -O2 -fno-strict-aliasing -pipe   -I../../include   -c -o ops.o ops.c
ar r libpset.a pset.o ops.o
...
      This port has installed the following startup scripts which may cause
      these network services to be started at boot time.
/usr/local/etc/rc.d/xinetd.sh
      If there are vulnerabilities in these programs there may be a security
      risk to the system. FreeBSD makes no guarantee about the security of
      ports included in the Ports Collection. Please type 'make deinstall'
      to deinstall the port if this is a concern.
      For more information, and contact details about the security
      status of this software, see the following webpage:
http://www.xinetd.org/











12:21:25




#vi /etc/rc.conf


7c7
< inetd_enable="YES"
---
> #inetd_enable="YES"









/dev/ttyp9
12:21:27




#xconv < /etc/inetd.conf > /usr/local/etc/xinetd.conf












/dev/ttyv1
12:22:57




#vi /etc/rc.conf


7a8
> xinetd_enable="YES"









12:23:25




#/usr/local/etc/rc.d/xinetd start





bash: /usr/local/etc/rc.d/xinetd: No such file or directory











/dev/ttyp9
12:24:25




#ls /usr/local/etc/rc.d/


000.compat4x.sh         genkdmconf.sh           samba.sh
000.compat5x.sh         kdelibs.sh              snmpd.sh
000.mysql-client.sh     mdnsd.sh                snmptrapd.sh
001slpd.sh              mdnsresponder.sh        xinetd.sh
cups.sh.sample          rsyncd.sh











/dev/ttyv1
12:25:17




#/usr/local/etc/rc.d/xinetd.sh





Usage: /usr/local/etc/rc.d/xinetd.sh [fast|force|one](start stop restart rcvar  status poll)











/dev/ttyp9
12:25:32




#sockstat -4


USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
root     xinetd     42206 5  tcp4   *:23                  *:*
root     sshd       37745 3  tcp4   192.168.15.23:22      192.168.15.26:64310
root     sshd       26124 3  tcp4   192.168.15.23:22      192.168.15.25:60594
root     sshd       26060 3  tcp4   192.168.15.23:22      192.168.15.24:52430
root     sshd       25855 3  tcp4   192.168.15.23:22      192.168.15.254:41665
root     sendmail   451   4  tcp4   127.0.0.1:25          *:*
root     sshd       445   4  tcp4   *:22                  *:*
root     syslogd    319   6  udp4   *:514                 *:*











/dev/ttyv1
12:26:05




#/usr/local/etc/rc.d/xinetd.sh start


Starting xinetd.











12:26:30




#ls -aGl /usr/local/etc/


total 586
drwxr-xr-x  10 root  wheel    1024 Nov 28 10:24 .
drwxr-xr-x  18 root  wheel     512 Nov 28 09:25 ..
-r--r--r--   1 root  wheel   87868 Nov 26 13:36 Muttrc
-r--r--r--   1 root  wheel   87868 Oct 12  2005 Muttrc.dist
-r--r--r--   1 root  wheel    2561 Oct 12  2005 a2ps-site.cfg
-r--r--r--   1 root  wheel   15202 Oct 12  2005 a2ps.cfg
drwxr-xr-x   2 root  wheel     512 Nov 26 13:43 bonobo-activation
-r--r--r--   1 root  wheel    1107 Nov 26 13:44 cdrecord
-r--r--r--   1 root  wheel    1107 Oct 12  2005 cdrecord.sample
...
-rw-r--r--   1 root  wheel    3312 Nov 27 08:22 screenrc
-r--r--r--   1 root  wheel   10075 Nov 28 09:25 smb.conf.default
drwxr-xr-x   2 root  wheel     512 Nov 26 13:41 snmp
-r--r-----   1 root  wheel    4127 Oct 12  2005 sudoers
-r--r--r--   1 root  wheel    4127 Oct 12  2005 sudoers.sample
-r--r--r--   1 root  wheel    4022 Nov 26 16:15 wgetrc
drwxr-xr-x   3 root  wheel     512 Nov 26 13:38 xdg
-rw-r--r--   1 root  wheel    1820 Nov 28 10:24 xinetd.conf
-r--r--r--   1 root  wheel     340 Oct 12  2005 xml2Conf.sh
-r--r--r--   1 root  wheel     232 Oct 12  2005 xsltConf.sh











12:28:06




#cd rc.d





bash: cd: rc.d: No such file or directory











12:28:38




#ls -aGl /usr/local/etc/rc.d/


total 36
drwxr-xr-x   2 root  wheel   512 Nov 28 10:21 .
drwxr-xr-x  10 root  wheel  1024 Nov 28 10:24 ..
-r-xr-xr-x   1 root  wheel    50 Oct 12  2005 000.compat4x.sh
-r-xr-xr-x   1 root  wheel    50 Oct 12  2005 000.compat5x.sh
-rwxr-x---   1 root  wheel   181 Oct 12  2005 000.mysql-client.sh
-r-xr-xr-x   1 root  wheel   471 Oct 12  2005 001slpd.sh
-rwxr-xr-x   1 root  wheel  3957 Oct 12  2005 cups.sh.sample
-r-xr-xr-x   1 root  wheel   464 Oct 13  2005 genkdmconf.sh
-r-xr-xr-x   1 root  wheel    57 Oct 13  2005 kdelibs.sh
-r-xr-xr-x   1 root  wheel   337 Oct 12  2005 mdnsd.sh
-r-xr-xr-x   1 root  wheel   785 Oct 12  2005 mdnsresponder.sh
-r-xr-xr-x   1 root  wheel   612 Oct 12  2005 rsyncd.sh
-r-xr-xr-x   1 root  wheel  2737 Nov 28 09:25 samba.sh
-r-xr-xr-x   1 root  wheel   777 Oct 12  2005 snmpd.sh
-r-xr-xr-x   1 root  wheel   838 Oct 12  2005 snmptrapd.sh
-rwxr-xr-x   1 root  wheel   488 Nov 28 10:21 xinetd.sh











12:28:47




#less /us/etc/inetd.conf













12:28:47




#less /usr/local/etc/xinetd.conf










12:31:16




#ls -aGl /usr/local/etc/rc.d/


total 36
drwxr-xr-x   2 root  wheel   512 Nov 28 10:21 .
drwxr-xr-x  10 root  wheel  1024 Nov 28 10:24 ..
-r-xr-xr-x   1 root  wheel    50 Oct 12  2005 000.compat4x.sh
-r-xr-xr-x   1 root  wheel    50 Oct 12  2005 000.compat5x.sh
-rwxr-x---   1 root  wheel   181 Oct 12  2005 000.mysql-client.sh
-r-xr-xr-x   1 root  wheel   471 Oct 12  2005 001slpd.sh
-rwxr-xr-x   1 root  wheel  3957 Oct 12  2005 cups.sh.sample
-r-xr-xr-x   1 root  wheel   464 Oct 13  2005 genkdmconf.sh
-r-xr-xr-x   1 root  wheel    57 Oct 13  2005 kdelibs.sh
-r-xr-xr-x   1 root  wheel   337 Oct 12  2005 mdnsd.sh
-r-xr-xr-x   1 root  wheel   785 Oct 12  2005 mdnsresponder.sh
-r-xr-xr-x   1 root  wheel   612 Oct 12  2005 rsyncd.sh
-r-xr-xr-x   1 root  wheel  2737 Nov 28 09:25 samba.sh
-r-xr-xr-x   1 root  wheel   777 Oct 12  2005 snmpd.sh
-r-xr-xr-x   1 root  wheel   838 Oct 12  2005 snmptrapd.sh
-rwxr-xr-x   1 root  wheel   488 Nov 28 10:21 xinetd.sh











12:31:21




#man xinetd.conf










/dev/ttyp9
12:32:26




#less /usr/local/etc/xinetd.conf










/dev/ttypg
12:35:33




#cd /usr/ports/












12:35:37




#make search name=netcat


Port:   gnetcat-0.7.1_1
Path:   /usr/ports/net/gnetcat
Info:   GPL'ed re-write of the well known networking tool netcat
Maint:  liamfoy@sepulcrum.org
B-deps: gettext-0.14.5 libiconv-1.9.2_1
R-deps: gettext-0.14.5 libiconv-1.9.2_1
WWW:    http://netcat.sourceforge.net/
Port:   netcat-1.10_2
Path:   /usr/ports/net/netcat
Info:   Simple utility which reads and writes data across network connections
Maint:  sumikawa@FreeBSD.org
B-deps:
R-deps:
WWW:











12:35:43




#cd net/netcat/












12:35:47




#make install


     lqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqk
     x                    Options for netcat 1.10_2                       x
     x lqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqk x
     x x        [X] IPV6    enable IPv6 support                         x x
     x x        [X] TELNET  enable TELNET support                       x x
     x x        [X] GAPING  enable GAPING_SECURITY_HOLE support         x x
     x x                                                                x x
     x x                                                                x x
     x x                                                                x x
     x x                                                                x x
...
make -e nc  XFLAGS='-DFREEBSD -DIPV6 -DTELNET -DGAPING_SECURITY_HOLE' STATIC=-static
cc -s -O2 -fno-strict-aliasing -pipe    -DFREEBSD -DIPV6 -DTELNET -DGAPING_SECURITY_HOLE -static -o nc netcat.c
===>  Installing for netcat-1.10_2
===>   Generating temporary packing list
===>  Checking if net/netcat already installed
install  -s -o root -g wheel -m 555 /usr/ports/net/netcat/work/nc /usr/local/bin
install  -o root -g wheel -m 444 /usr/ports/net/netcat/files/nc.1 /usr/local/man/man1
install  -o root -g wheel -m 444 /usr/ports/net/netcat/work/README /usr/local/share/doc/netcat
===>   Compressing manual pages for netcat-1.10_2
===>   Registering installation for netcat-1.10_2











12:36:04




#/usr/local/bin/nc 127.0.0.1 23





ÿý%
l^?^?
^C punt!











12:36:23




#/usr/local/bin/nc 127.0.0.1 23 &


[1] 42654











12:36:28




#/usr/local/bin/nc 127.0.0.1 23 &


[2] 42661











12:36:29




#/usr/local/bin/nc 127.0.0.1 23 &


[3] 42668
ÿý%
[1]+  Stopped                 /usr/local/bin/nc 127.0.0.1 23
[2]-  Stopped                 /usr/local/bin/nc 127.0.0.1 23











12:36:31




#/usr/local/bin/nc 127.0.0.1 finger21





ls #
0
123
123
^C punt!
[3]+  Stopped                 /usr/local/bin/nc 127.0.0.1 23











12:36:50




#/usr/local/bin/nc 127.0.0.1 finger21 &


[4] 42687











12:36:52




#/usr/local/bin/nc 127.0.0.1 finger21 &


[5] 42694











12:36:53




#/usr/local/bin/nc 127.0.0.1 finger21 &


[6] 42701
[4]+  Stopped                 /usr/local/bin/nc 127.0.0.1 finger21
[5]   Stopped                 /usr/local/bin/nc 127.0.0.1 finger21











12:36:55




#/usr/local/bin/nc 127.0.0.1 finger21 &


[7] 42713











12:37:05




#/usr/local/bin/nc 127.0.0.1 finger21 &


[8] 42720
[6]+  Stopped                 /usr/local/bin/nc 127.0.0.1 finger21
[7]   Stopped                 /usr/local/bin/nc 127.0.0.1 finger21











12:37:06




#/usr/local/bin/nc 127.0.0.1 finger21 &


[9] 42727
[9]   Done                    /usr/local/bin/nc 127.0.0.1 finger21











12:37:07




#/usr/local/bin/nc 127.0.0.1 finger21 &


[9] 42733
[8]+  Stopped                 /usr/local/bin/nc 127.0.0.1 finger21
[9]   Done                    /usr/local/bin/nc 127.0.0.1 finger21











12:37:08




#/usr/local/bin/nc 127.0.0.1 finger21 &





[9] 42739
[9]   Done                    /usr/local/bin/nc 127.0.0.1 finger21











12:37:08




#/usr/local/bin/nc 127.0.0.1 finger21 &





[9] 42745











12:37:08




#/usr/local/bin/nc 127.0.0.1 finger21 &


[10] 42751
[9]   Done                    /usr/local/bin/nc 127.0.0.1 finger21
[10]   Done                    /usr/local/bin/nc 127.0.0.1 finger21











12:37:09




#/usr/local/bin/nc 127.0.0.1 finger21


        server_args = telnetd
}
service telnet
{
        flags       = NAMEINARGS
        socket_type = stream
        protocol    = tcp6
        wait        = no
        user        = root
        server      = /usr/libexec/telnetd
        server_args = telnetd
}
[root@fbsd3:~]# screen -x











/dev/ttyp9
12:37:16




#screen -x













/dev/ttypg
12:37:31




#/usr/local/bin/nc 127.0.0.1 finger21












12:37:33




#tail /var/log/s





service telnet
{
        flags       = NAMEINARGS
        socket_type = stream
        protocol    = tcp6
        wait        = no
        user        = root
        server      = /usr/libexec/telnetd
        server_args = telnetd
}
[root@fbsd3:~]# screen -x
samba/            security          sendmail.st.0     servicelog
scrollkeeper.log  sendmail.st       sendmail.st.1     slip.log











12:37:33




#exit





exit
There are stopped jobs.











/dev/ttyp6
12:38:05




#kill screen





bash: kill: screen: arguments must be process or job IDs











12:38:07




#pkill screen












/dev/ttypc
12:38:10




# = stream





[screen is terminating]











/dev/ttyp8
12:38:10




# = stream





[screen is terminating]
^A^A











/dev/ttype
12:38:10




# = stream





[screen is terminating]











/dev/ttyv2
12:38:10




# = stream





[screen is terminating]











/dev/ttypc
12:38:17




#screen -x













/dev/ttyp9
12:38:36




#less /usr/local/etc/xinetd.conf










/dev/ttyv2
12:38:47




#screen -x













/dev/ttyp9
12:39:42




#ls /var/log/s





samba/            security          sendmail.st.0     servicelog
scrollkeeper.log  sendmail.st       sendmail.st.1     slip.log











12:39:42




#ls /var/log/s





samba/            security          sendmail.st.0     servicelog
scrollkeeper.log  sendmail.st       sendmail.st.1     slip.log











12:39:42




#tail /var/log/servicelog


06/11/28@10:36:54: START: finger21 pid=42703 from=127.0.0.1
06/11/28@10:37:05: START: finger21 pid=42715 from=127.0.0.1
06/11/28@10:37:06: START: finger21 pid=42722 from=127.0.0.1
06/11/28@10:37:07: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:08: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:08: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:08: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:09: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:31: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:33: FAIL: finger21 per_source_limit from=127.0.0.1











12:39:51




#sockstat -4


USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
root     xinetd     42206 5  tcp4   *:23                  *:*
root     sshd       37745 3  tcp4   192.168.15.23:22      192.168.15.26:64310
root     sshd       26124 3  tcp4   192.168.15.23:22      192.168.15.25:60594
root     sshd       26060 3  tcp4   192.168.15.23:22      192.168.15.24:52430
root     sshd       25855 3  tcp4   192.168.15.23:22      192.168.15.254:41665
root     sendmail   451   4  tcp4   127.0.0.1:25          *:*
root     sshd       445   4  tcp4   *:22                  *:*
root     syslogd    319   6  udp4   *:514                 *:*











12:40:05




#cat /usr/bin/sockstat


#!/bin/sh
/usr/bin/sockstat.orig "$@" | egrep  -v ':(30021|finger21)'











12:40:27




#mv /usr/bin/sockstat.orig /usr/bin/sockstat












12:40:35




#sockstat -4


USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
root     xinetd     42206 5  tcp4   *:23                  *:*
root     xinetd     42206 8  tcp4   *:30021               *:*
root     sshd       37745 3  tcp4   192.168.15.23:22      192.168.15.26:64310
root     sshd       26124 3  tcp4   192.168.15.23:22      192.168.15.25:60594
root     sshd       26060 3  tcp4   192.168.15.23:22      192.168.15.24:52430
root     sshd       25855 3  tcp4   192.168.15.23:22      192.168.15.254:41665
root     sendmail   451   4  tcp4   127.0.0.1:25          *:*
root     sshd       445   4  tcp4   *:22                  *:*
root     syslogd    319   6  udp4   *:514                 *:*











12:40:37




#/usr/local/bin/nc 127.0.0.1 30021


2+3
5
^Z
[1]+  Stopped                 /usr/local/bin/nc 127.0.0.1 30021











12:41:08




#bg


[1]+ /usr/local/bin/nc 127.0.0.1 30021 &











12:41:10




#/usr/local/bin/nc 127.0.0.1 30021 &


[2] 43002











12:41:15




#sockstat -4


USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
root     bc         43005 0  tcp4   127.0.0.1:30021       127.0.0.1:59483
root     bc         43005 1  tcp4   127.0.0.1:30021       127.0.0.1:59483
root     bc         43005 2  tcp4   127.0.0.1:30021       127.0.0.1:59483
root     nc         43002 3  tcp4   127.0.0.1:59483       127.0.0.1:30021
root     bc         42991 0  tcp4   127.0.0.1:30021       127.0.0.1:54663
root     bc         42991 1  tcp4   127.0.0.1:30021       127.0.0.1:54663
root     bc         42991 2  tcp4   127.0.0.1:30021       127.0.0.1:54663
root     nc         42990 3  tcp4   127.0.0.1:54663       127.0.0.1:30021
root     xinetd     42206 5  tcp4   *:23                  *:*
root     xinetd     42206 8  tcp4   *:30021               *:*
root     sshd       37745 3  tcp4   192.168.15.23:22      192.168.15.26:64310
root     sshd       26124 3  tcp4   192.168.15.23:22      192.168.15.25:60594
root     sshd       26060 3  tcp4   192.168.15.23:22      192.168.15.24:52430
root     sshd       25855 3  tcp4   192.168.15.23:22      192.168.15.254:41665
root     sendmail   451   4  tcp4   127.0.0.1:25          *:*
root     sshd       445   4  tcp4   *:22                  *:*
root     syslogd    319   6  udp4   *:514                 *:*











12:41:19




#tail /var/log/servicelog


06/11/28@10:37:06: START: finger21 pid=42722 from=127.0.0.1
06/11/28@10:37:07: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:08: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:08: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:08: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:09: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:31: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:37:33: FAIL: finger21 per_source_limit from=127.0.0.1
06/11/28@10:41:04: START: finger21 pid=42991 from=127.0.0.1
06/11/28@10:41:13: START: finger21 pid=43005 from=127.0.0.1











12:41:37




#sockstat -4


USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
root     bc         43005 0  tcp4   127.0.0.1:30021       127.0.0.1:59483
root     bc         43005 1  tcp4   127.0.0.1:30021       127.0.0.1:59483
root     bc         43005 2  tcp4   127.0.0.1:30021       127.0.0.1:59483
root     nc         43002 3  tcp4   127.0.0.1:59483       127.0.0.1:30021
root     bc         42991 0  tcp4   127.0.0.1:30021       127.0.0.1:54663
root     bc         42991 1  tcp4   127.0.0.1:30021       127.0.0.1:54663
root     bc         42991 2  tcp4   127.0.0.1:30021       127.0.0.1:54663
root     nc         42990 3  tcp4   127.0.0.1:54663       127.0.0.1:30021
root     xinetd     42206 5  tcp4   *:23                  *:*
root     xinetd     42206 8  tcp4   *:30021               *:*
root     sshd       37745 3  tcp4   192.168.15.23:22      192.168.15.26:64310
root     sshd       26124 3  tcp4   192.168.15.23:22      192.168.15.25:60594
root     sshd       26060 3  tcp4   192.168.15.23:22      192.168.15.24:52430
root     perl5.8.7  25920 3  tcp4   192.168.15.23:57640   217.27.159.217:18030
root     sshd       25855 3  tcp4   192.168.15.23:22      192.168.15.254:41665
root     sendmail   451   4  tcp4   127.0.0.1:25          *:*
root     sshd       445   4  tcp4   *:22                  *:*
root     syslogd    319   6  udp4   *:514                 *:*











12:41:48




#netstat -4





netstat: illegal option -- 4
usage: netstat [-AaLnSW] [-f protocol_family | -p protocol]
               [-M core] [-N system]
       netstat -i | -I interface [-abdhnt] [-f address_family]
               [-M core] [-N system]
       netstat -w wait [-I interface] [-d] [-M core] [-N system]
       netstat -s [-s] [-z] [-f protocol_family | -p protocol] [-M core]
       netstat -i | -I interface -s [-f protocol_family | -p protocol]
               [-M core] [-N system]
       netstat -m [-M core] [-N system]
       netstat -r [-AenW] [-f address_family] [-M core] [-N system]
       netstat -rs [-s] [-M core] [-N system]
       netstat -g [-W] [-f address_family] [-M core] [-N system]
       netstat -gs [-s] [-f address_family] [-M core] [-N system]











12:42:14




#netstat -f ineyt





netstat: ineyt: unknown address family











12:42:17




#netstat -f inet





Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
^C











12:42:19




#netstat -f inet -n


Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4       0      0  192.168.15.23.53944    217.27.159.217.18030   TIME_WAIT
tcp4       0      0  192.168.15.23.57640    217.27.159.217.18030   TIME_WAIT
tcp4       0      0  192.168.15.23.62820    217.27.159.217.18030   TIME_WAIT
tcp4       0      0  127.0.0.1.30021        127.0.0.1.59483        ESTABLISHED
tcp4       0      0  127.0.0.1.59483        127.0.0.1.30021        ESTABLISHED
tcp4       0      0  127.0.0.1.30021        127.0.0.1.54663        ESTABLISHED
tcp4       0      0  127.0.0.1.54663        127.0.0.1.30021        ESTABLISHED
tcp4       0     48  192.168.15.23.22       192.168.15.26.64310    ESTABLISHED
tcp4       0     48  192.168.15.23.22       192.168.15.25.60594    ESTABLISHED
tcp4       0     48  192.168.15.23.22       192.168.15.24.52430    ESTABLISHED
tcp4       0      0  192.168.15.23.22       192.168.15.254.41665   ESTABLISHED











12:42:20




#netstat -f inet -n | grep 30021


tcp4       0      0  127.0.0.1.30021        127.0.0.1.59483        ESTABLISHED
tcp4       0      0  127.0.0.1.59483        127.0.0.1.30021        ESTABLISHED
tcp4       0      0  127.0.0.1.30021        127.0.0.1.54663        ESTABLISHED
tcp4       0      0  127.0.0.1.54663        127.0.0.1.30021        ESTABLISHED











12:42:40




#less /usr/local/etc/xinetd.conf










12:44:09




#vi /usr/local/etc/xinetd.conf


37a38,51
> includedir	/usr/local/etc/xinetd.d
> 
> service telnet
> {
> 	flags       = NAMEINARGS
> 	socket_type = stream
> 	protocol    = tcp
> 	wait        = no
> 	user        = root
> 	server      = /usr/libexec/telnetd
> 	server_args = telnetd 
> 	disable	    = yes
> }
> 
70a85,92
> service echo
> {
> 	type        = INTERNAL
> 	socket_type = stream
> 	protocol    = tcp
> 	wait        = no
> 	user        = root
> }







Файлы
  • /tmp/snort-log
  • /usr/bin/sockstat
    • /tmp/snort-log
    

    >
    11.21    24  212.248.127.230  XXX.XX.XXX.XXX
 7.48    16  212.40.51.74     XXX.XX.XXX.XXX
 7.01    15  81.19.66.38      XXX.XX.XXX.XXX
 7.01    15  206.53.61.4      XXX.XX.XXX.XXX
 5.14    11  85.21.32.2       XXX.XX.XXX.XXX
 4.67    10  XXX.XX.XXX.XXX   66.230.200.100
 3.27     7  213.186.117.120  XXX.XX.XXX.XXX
 2.34     5  213.184.233.246  XXX.XX.XXX.XXX
 1.87     4  213.227.215.85   XXX.XX.XXX.XXX
 1.87     4  82.140.81.100    XXX.XX.XXX.XXX
 1.87     4  217.13.210.249   XXX.XX.XXX.XXX
 1.87     4  85.159.40.1      XXX.XX.XXX.XXX
 1.87     4  62.128.48.42     XXX.XX.XXX.XXX
 1.40     3  66.249.65.227    XXX.XX.XXX.XXX
 1.40     3  194.84.189.148   XXX.XX.XXX.XXX
 1.40     3  195.5.50.58      XXX.XX.XXX.XXX
 1.40     3  XXX.XX.XXX.XXX   66.230.200.228
 1.40     3  212.104.125.117  XXX.XX.XXX.XXX
 1.40     3  74.100.123.227   XXX.XX.XXX.XXX
 0.93     2  83.223.156.13    XXX.XX.XXX.XXX
 0.93     2  198.49.180.40    XXX.XX.XXX.XXX
 0.93     2  194.84.1.25      XXX.XX.XXX.XXX

    /usr/bin/sockstat
    

    >
    #!/bin/sh
/usr/bin/sockstat.orig "$@" | egrep  -v ':(30021|finger21)'

    Статистика
    Время первой команды журнала11:47:14 2006-11-28
    Время последней команды журнала12:44:09 2006-11-28
    Количество командных строк в журнале101
    Процент команд с ненулевым кодом завершения, %18.81
    Процент синтаксически неверно набранных команд, % 0.99
    Суммарное время работы с терминалом *, час 0.95
    Количество командных строк в единицу времени, команда/мин 1.77
    Частота использования команд
    nc19|================| 16.52%
    less13|===========| 11.30%
    grep8|======|  6.96%
    cd6|=====|  5.22%
    ls6|=====|  5.22%
    sockstat5|====|  4.35%
    ldd5|====|  4.35%
    make5|====|  4.35%
    vi5|====|  4.35%
    netstat5|====|  4.35%
    tail4|===|  3.48%
    cat4|===|  3.48%
    =4|===|  3.48%
    screen3|==|  2.61%
    whois3|==|  2.61%
    telnet2|=|  1.74%
    man2|=|  1.74%
    /usr/local/etc/rc.d/xinetd.sh2|=|  1.74%
    snort-log1||  0.87%
    null1||  0.87%
    strings1||  0.87%
    pkill1||  0.87%
    bg1||  0.87%
    at1||  0.87%
    xconv1||  0.87%
    kill1||  0.87%
    /etc/inetd.conf1||  0.87%
    /usr/local/etc/xinetd.conf1||  0.87%
    mv1||  0.87%
    exit1||  0.87%
    which1||  0.87%
    /usr/local/etc/rc.d/xinetd1||  0.87%
    ____
    *) Интервалы неактивности длительностью 30 минут и более не учитываются
    Справка
        Для того чтобы использовать LiLaLo, не нужно знать ничего особенного:
    всё происходит само собой.
    Однако, чтобы ведение и последующее использование журналов
    было как можно более эффективным, желательно иметь в виду следующее:
    
      
    
    1.  
    В журнал автоматически попадают все команды, данные в любом терминале системы.
    
      2. 
    
    2. 
    Для того чтобы убедиться, что журнал на текущем терминале ведётся, 
    и команды записываются, дайте команду w.
    В поле WHAT, соответствующем текущему терминалу, 
    должна быть указана программа script.
    
      3. 
    
    3. 
    Команды, при наборе которых были допущены синтаксические ошибки, 
    выводятся перечёркнутым текстом:

      

      


      $ l s-l
      

      bash: l: command not found

      
      		

      

      

      
    
      4. 
    
    4. 
    Если код завершения команды равен нулю, 
    команда была выполнена без ошибок.
    Команды, код завершения которых отличен от нуля, выделяются цветом.

      

      


      $ test 5 -lt 4
      

      		

      

      
    Обратите внимание на то, что код завершения команды может быть отличен от нуля
    не только в тех случаях, когда команда была выполнена с ошибкой.
    Многие команды используют код завершения, например, для того чтобы показать результаты проверки

      
    
      5. 
    
    5. 
    Команды, ход выполнения которых был прерван пользователем, выделяются цветом.

      

      


      $ find / -name abc
      

      find: /home/devi-orig/.gnome2: Keine Berechtigung
find: /home/devi-orig/.gnome2_private: Keine Berechtigung
find: /home/devi-orig/.nautilus/metafiles: Keine Berechtigung
find: /home/devi-orig/.metacity: Keine Berechtigung
find: /home/devi-orig/.inkscape: Keine Berechtigung
^C

      
      		

      

      

      
    
      6. 
    
    6. 
    Команды, выполненные с привилегиями суперпользователя,
    выделяются слева красной чертой.

      

      


      # id
      

      uid=0(root) gid=0(root) Gruppen=0(root)

      
      		

      

      
    
      
    
      7. 
    
    7. 
    Изменения, внесённые в текстовый файл с помощью редактора, 
    запоминаются и показываются в журнале в формате ed.
    Строки, начинающиеся символом "<", удалены, а строки,
    начинающиеся символом ">" -- добавлены.

      

      


      $ vi ~/.bashrc
      

      2a3,5
>    if [ -f /usr/local/etc/bash_completion ]; then
>         . /usr/local/etc/bash_completion
>        fi

      		

      

      
    
      
    
      8. 
    
    8. 
    Для того чтобы изменить файл в соответствии с показанными в диффшоте
    изменениями, можно воспользоваться командой patch.
    Нужно скопировать изменения, запустить программу patch, указав в
    качестве её аргумента файл, к которому применяются изменения,
    и всавить скопированный текст:

      

      


      $ patch ~/.bashrc
      
      		

      

      
    В данном случае изменения применяются к файлу ~/.bashrc
    
      9. 
    
    9. 
    Для того чтобы получить краткую справочную информацию о команде, 
    нужно подвести к ней мышь. Во всплывающей подсказке появится краткое
    описание команды.
    
      
    
      
    Если справочная информация о команде есть, 
    команда выделяется голубым фоном, например: vi.
    Если справочная информация отсутствует,
    команда выделяется розовым фоном, например: notepad.exe.
    Справочная информация может отсутствовать в том случае, 
    если (1) команда введена неверно; (2) если распознавание команды LiLaLo выполнено неверно;
    (3) если информация о команде неизвестна LiLaLo.
    Последнее возможно для редких команд.
    
      10. 
    
    10. 
    Большие, в особенности многострочные, всплывающие подсказки лучше 
    всего показываются браузерами KDE Konqueror, Apple Safari и Microsoft Internet Explorer.
    В браузерах Mozilla и Firefox они отображаются не полностью, 
    а вместо перевода строки выводится специальный символ.
    
      11. 
    
    11. 
    Время ввода команды, показанное в журнале, соответствует времени 
    начала ввода командной строки, которое равно тому моменту, 
    когда на терминале появилось приглашение интерпретатора
    
      12. 
    
    12. 
    Имя терминала, на котором была введена команда, показано в специальном блоке.
    Этот блок показывается только в том случае, если терминал
    текущей команды отличается от терминала предыдущей.
    
      13. 
    
    13. 
    Вывод не интересующих вас в настоящий момент элементов журнала,
    таких как время, имя терминала и других, можно отключить.
    Для этого нужно воспользоваться формой управления журналом
    вверху страницы.
    
      14. 
    
    14. 
    Небольшие комментарии к командам можно вставлять прямо из командной строки.
    Комментарий вводится прямо в командную строку, после символов #^ или #v.
    Символы ^ и v показывают направление выбора команды, к которой относится комментарий:
    ^ - к предыдущей, v - к следующей.
    Например, если в командной строке было введено:

      $ whoami

      

      user

      

      $ #^ Интересно, кто я?

      
    в журнале это будет выглядеть так:
    

      $ whoami

      

      user

      

      

        Интересно, кто я?
       
       
    
      15. 
    
    15. 
    Если комментарий содержит несколько строк,
    его можно вставить в журнал следующим образом:

      $ whoami

      

      user

      

      $ cat > /dev/null #^ Интересно, кто я?

      

      Программа whoami выводит имя пользователя, под которым 
мы зарегистрировались в системе.
-
Она не может ответить на вопрос о нашем назначении 
в этом мире.

      
    В журнале это будет выглядеть так:

      

      


      $ whoami
      

      user

      

      Интересно, кто я?
      
Программа whoami выводит имя пользователя, под которым
      
мы зарегистрировались в системе.
      

      
Она не может ответить на вопрос о нашем назначении
      
в этом мире.
      

      
      		

      

      
    Для разделения нескольких абзацев между собой
    используйте символ "-", один в строке.
    
      

      16. 
    
    16. 
    Комментарии, не относящиеся непосредственно ни к какой из команд, 
    добавляются точно таким же способом, только вместо симолов #^ или #v 
    нужно использовать символы #=
    
      17. 

    
    17. 
    Содержимое файла может быть показано в журнале.
    Для этого его нужно вывести с помощью программы cat.
    Если вывод команды отметить симоволами #!, 
    содержимое файла будет показано в журнале
    в специально отведённой для этого секции.
    
      18. 

    
      
    
    18. 
    Для того чтобы вставить скриншот интересующего вас окна в журнал,
    нужно воспользоваться командой l3shot.
    После того как команда вызвана, нужно с помощью мыши выбрать окно, которое
    должно быть в журнале.
    
      19. 
    
      

    
      
    
    19. 
    Команды в журнале расположены в хронологическом порядке.
    Если две команды давались одна за другой, но на разных терминалах,
    в журнале они будут рядом, даже если они не имеют друг к другу никакого отношения.

      1
    2
3   
    4

      
    Группы команд, выполненных на разных терминалах, разделяются специальной линией.
    Под этой линией в правом углу показано имя терминала, на котором выполнялись команды.
    Для того чтобы посмотреть команды только одного сенса, 
    нужно щёкнуть по этому названию.
    
      20. 
    
      

    

    О программе
        
    
    LiLaLo (L3) расшифровывается как Live Lab Log.
    
    Программа разработана для повышения эффективности обучения Unix/Linux-системам.
    
    (c) Игорь Чубин, 2004-2008
    
    
    
$Id$