/l3/users/ikravchuk/xg-ids/linux2.unix.nt/root :1 :2 :3 :4 :5 :6 :7 :8 :9 :10 :11 :12
[ править ]

Журнал лабораторных работ

Содержание

Журнал

Суббота (06/23/07)

/dev/pts/3
15:40:29
#perl /tmp/sneeze.pl 
Usage /tmp/sneeze.pl -d <dest host> -f <rule file> [options]
        -c count        Loop X times. -1 == forever. Default is 1.
        -s ip           Spoof this IP as source. Default is your IP.
        -p port         Force use of this source port.
        -i interface    Outbound interface. Default is eth0.
        -x debug        Turn on debugging information.
        -h help         Duh? This is it.
15:40:59
#[root@linux2:tmp]# perl /tmp/sneeze.pl 
bash: [root@linux2:tmp]#: command not found
15:41:25
#Usage /tmp/sneeze.pl -d <dest host> -f <rule file> [options] 
bash: dest: No such file or directory
15:41:26
# -c count Loop X times. -1 == forever. Default is 1. 
bash: -c: command not found
15:41:26
# -s ip Spoof this IP as source. Default is your IP. 
bash: -s: command not found
15:41:26
# -p port Force use of this source port. 
bash: -p: command not found
15:41:26
# -i interface Outbound interface. Default is eth0. 
bash: -i: command not found
15:41:27
# -x debug Turn on debugging information. 
bash: -x: command not found
15:41:27
# -h help Duh? This is it. 
bash: -h: command not found
15:41:31
#[root@linux2:tmp]# perl /tmp/sneeze.pl 
bash: [root@linux2:tmp]#: command not found
15:41:35
#Usage /tmp/sneeze.pl -d <dest host> -f <rule file> [options] 
bash: dest: No such file or directory
15:41:35
# -c count Loop X times. -1 == forever. Default is 1. 
bash: -c: command not found
15:41:35
# -s ip Spoof this IP as source. Default is your IP. 
bash: -s: command not found
15:41:35
# -p port Force use of this source port. 
bash: -p: command not found
15:41:35
# -i interface Outbound interface. Default is eth0. 
bash: -i: command not found
15:41:36
# -x debug Turn on debugging information. 
bash: -x: command not found
15:41:36
# -h help Duh? This is it. 
bash: -h: command not found
15:41:40
#[root@linux2:tmp]# 
bash: [root@linux2:tmp]#: command not found
15:41:52
#[root@linux2:tmp]# 
bash: [root@linux2:tmp]#: command not found
15:42:08
#[root@linux2:tmp]# 
bash: [root@linux2:tmp]#: command not found
15:42:11
#[root@linux2:tmp]# 
bash: [root@linux2:tmp]#: command not found
15:42:16
#[root@linux2:tmp]# 
bash: [root@linux2:tmp]#: command not found
15:42:28
#perl /tmp/sn 
sneeze.pl   snort.conf
15:42:28
#perl /tmp/sneeze.pl -d 192.168.15.200 -f /etc/snort/r 
reference.config  rules/
15:42:28
#perl /tmp/sneeze.pl -d 192.168.15.200 -f /etc/snort/rules/dns.rules
ATTACK:
 linux2:64282 -> 192.168.15.200:14672
ATTACK:
 linux2:8320 -> 192.168.15.200:37178
ATTACK:
 linux2:46065 -> 192.168.15.200:25545
ATTACK: DNS named authors attempt
ATTACK TYPE: attempted-recon
tcp linux2:40182 -> 192.168.15.200:53
Reference => 10728
...
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0009
Reference => http://www.securityfocus.com/bid/134
ATTACK: DNS Windows NAT helper components tcp denial of service attempt
ATTACK TYPE: misc-attack
tcp linux2:23836 -> 192.168.15.200:53
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-5614
ATTACK: DNS Windows NAT helper components udp denial of service attempt
ATTACK TYPE: misc-attack
udp linux2:37747 -> 192.168.15.200:53
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-5614
15:43:26
#perl /tmp/sneeze.pl -d 192.168.15.200 -f /etc/snort/rules/dns.rules
ATTACK:
 linux2:10074 -> 192.168.15.200:17623
ATTACK:
 linux2:43393 -> 192.168.15.200:19670
ATTACK:
 linux2:37645 -> 192.168.15.200:41996
ATTACK: DNS named authors attempt
ATTACK TYPE: attempted-recon
tcp linux2:23173 -> 192.168.15.200:53
Reference => 10728
...
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0009
Reference => http://www.securityfocus.com/bid/134
ATTACK: DNS Windows NAT helper components tcp denial of service attempt
ATTACK TYPE: misc-attack
tcp linux2:43840 -> 192.168.15.200:53
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-5614
ATTACK: DNS Windows NAT helper components udp denial of service attempt
ATTACK TYPE: misc-attack
udp linux2:24747 -> 192.168.15.200:53
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-5614
15:45:49
#perl /tmp/sneeze.pl -d 192.168.15.200 -f /etc/snort/rules/dns.rules
ATTACK:
 linux2:42494 -> 192.168.15.200:14893
ATTACK:
 linux2:51997 -> 192.168.15.200:39180
ATTACK:
 linux2:11481 -> 192.168.15.200:62446
ATTACK: DNS named authors attempt
ATTACK TYPE: attempted-recon
tcp linux2:61189 -> 192.168.15.200:53
Reference => 10728
...
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0009
Reference => http://www.securityfocus.com/bid/134
ATTACK: DNS Windows NAT helper components tcp denial of service attempt
ATTACK TYPE: misc-attack
tcp linux2:62584 -> 192.168.15.200:53
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-5614
ATTACK: DNS Windows NAT helper components udp denial of service attempt
ATTACK TYPE: misc-attack
udp linux2:24494 -> 192.168.15.200:53
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-5614
прошло 13 минут
15:59:47
#perl /tmp/sneeze.pl -d 192.168.15.200 -f /etc/snort/rules/dns.rules
ATTACK:
 linux2:42895 -> 192.168.15.200:4314
ATTACK:
 linux2:35772 -> 192.168.15.200:41366
ATTACK:
 linux2:25563 -> 192.168.15.200:34471
ATTACK: DNS named authors attempt
ATTACK TYPE: attempted-recon
tcp linux2:47732 -> 192.168.15.200:53
Reference => 10728
...
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0009
Reference => http://www.securityfocus.com/bid/134
ATTACK: DNS Windows NAT helper components tcp denial of service attempt
ATTACK TYPE: misc-attack
tcp linux2:64000 -> 192.168.15.200:53
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-5614
ATTACK: DNS Windows NAT helper components udp denial of service attempt
ATTACK TYPE: misc-attack
udp linux2:61201 -> 192.168.15.200:53
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-5614
16:01:14
#perl /tmp/sneeze.pl -d 192.168.15.2001 -f /etc/snort/rules/rpc.rules 
ATTACK:
 linux2:3492 -> 192.168.15.2001:48613
host_to_ip: failed at /usr/lib/perl5/Net/RawIP.pm line 416.
16:01:59
#perl /tmp/sneeze.pl -d 192.168.15.201 -f /etc/snort/rules/rpc.rules
Reference => http://www.securityfocus.com/bid/5075
Reference => http://www.securityfocus.com/bid/5072
ATTACK: RPC portmap rpc.xfsmd request TCP
ATTACK TYPE: rpc-portmap-decode
tcp linux2:1005 -> 192.168.15.201:111
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0359
Reference => http://www.securityfocus.com/bid/5075
Reference => http://www.securityfocus.com/bid/5072
ATTACK: RPC portmap rpc.xfsmd request TCP
ATTACK TYPE: rpc-portmap-decode
...
ATTACK: RPC portmap mountd tcp zero-length payload denial of service attempt
ATTACK TYPE: rpc-portmap-decode
tcp linux2:40659 -> 192.168.15.201:42924
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0900
Reference => http://www.securityfocus.com/bid/16838
ATTACK: RPC portmap mountd tcp request
ATTACK TYPE: rpc-portmap-decode
tcp linux2:13028 -> 192.168.15.201:111
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0900
Reference => http://www.securityfocus.com/bid/16838
16:02:21
#perl /tmp/sneeze.pl -d 192.168.15.201 -f /etc/snort/rules/rpc.rules 
ATTACK: RPC portmap status request TCP
ATTACK TYPE: rpc-portmap-decode
 linux2:54347 -> 192.168.15.201:38276
ATTACK: RPC portmap snmpXdmi request TCP
ATTACK TYPE: rpc-portmap-decode
tcp linux2:63081 -> 192.168.15.201:111
Reference => http://www.cert.org/advisories/CA-2001-05.html
Reference => 10659
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0236
Reference => http://www.securityfocus.com/bid/2417
...
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0252
Reference => http://www.securityfocus.com/bid/8179
ATTACK: RPC mountd UDP mount path overflow attempt
ATTACK TYPE: misc-attack
 linux2:17800 -> 192.168.15.201:5135
ATTACK: RPC mountd UDP mount path overflow attempt
ATTACK TYPE: misc-attack
 linux2:24903 -> 192.168.15.201:51544
ATTACK: RPC mountd TCP mount request
ATTACK TYPE: attempted-recon
16:04:12
#perl /tmp/sneeze.pl -d 192.168.15.200 -f /etc/snort/rules/rpc.rules 
ATTACK: RPC RQUOTA getquota overflow attempt UDP
ATTACK TYPE: misc-attack
udp linux2:12146 -> 192.168.15.200:45782
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0974
Reference => http://www.securityfocus.com/bid/864
ATTACK: RPC RQUOTA getquota overflow attempt TCP
ATTACK TYPE: misc-attack
tcp linux2:12352 -> 192.168.15.200:52974
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0974
Reference => http://www.securityfocus.com/bid/864
...
ATTACK TYPE: rpc-portmap-decode
udp linux2:30694 -> 192.168.15.200:42645
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0779
Reference => http://www.securityfocus.com/bid/2763
ATTACK: RPC yppasswd new password overflow attempt TCP
ATTACK TYPE: rpc-portmap-decode
tcp linux2:63629 -> 192.168.15.200:63844
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0779
Reference => http://www.securityfocus.com/bid/2763
sendto() at /usr/lib/perl5/Net/RawIP.pm line 550.
/dev/pts/7
16:12:43
#haltsys] 
bash: haltsys]: command not found

Статистика

Время первой команды журнала15:40:29 2007- 6-23
Время последней команды журнала16:12:43 2007- 6-23
Количество командных строк в журнале33
Процент команд с ненулевым кодом завершения, %15.15
Процент синтаксически неверно набранных команд, %66.67
Суммарное время работы с терминалом *, час 0.54
Количество командных строк в единицу времени, команда/мин 1.02
Частота использования команд
perl11|==========================| 26.83%
[root@linux2:tmp]#7|=================| 17.07%
-f2|====| 4.88%
-i2|====| 4.88%
-c2|====| 4.88%
Usage2|====| 4.88%
[options]2|====| 4.88%
-x2|====| 4.88%
-p2|====| 4.88%
-s2|====| 4.88%
rule2|====| 4.88%
dest2|====| 4.88%
-h2|====| 4.88%
haltsys]1|==| 2.44%
____
*) Интервалы неактивности длительностью 30 минут и более не учитываются

Справка

Для того чтобы использовать LiLaLo, не нужно знать ничего особенного: всё происходит само собой. Однако, чтобы ведение и последующее использование журналов было как можно более эффективным, желательно иметь в виду следующее:

  1. В журнал автоматически попадают все команды, данные в любом терминале системы.

  2. Для того чтобы убедиться, что журнал на текущем терминале ведётся, и команды записываются, дайте команду w. В поле WHAT, соответствующем текущему терминалу, должна быть указана программа script.

  3. Команды, при наборе которых были допущены синтаксические ошибки, выводятся перечёркнутым текстом: 
    $ l s-l
    bash: l: command not found

  4. Если код завершения команды равен нулю, команда была выполнена без ошибок. Команды, код завершения которых отличен от нуля, выделяются цветом. 
    $ test 5 -lt 4
    Обратите внимание на то, что код завершения команды может быть отличен от нуля не только в тех случаях, когда команда была выполнена с ошибкой. Многие команды используют код завершения, например, для того чтобы показать результаты проверки

  5. Команды, ход выполнения которых был прерван пользователем, выделяются цветом. 
    $ find / -name abc
    find: /home/devi-orig/.gnome2: Keine Berechtigung
find: /home/devi-orig/.gnome2_private: Keine Berechtigung
find: /home/devi-orig/.nautilus/metafiles: Keine Berechtigung
find: /home/devi-orig/.metacity: Keine Berechtigung
find: /home/devi-orig/.inkscape: Keine Berechtigung
^C

  6. Команды, выполненные с привилегиями суперпользователя, выделяются слева красной чертой. 
    # id
    uid=0(root) gid=0(root) Gruppen=0(root)

  7. Изменения, внесённые в текстовый файл с помощью редактора, запоминаются и показываются в журнале в формате ed. Строки, начинающиеся символом "<", удалены, а строки, начинающиеся символом ">" -- добавлены. 
    $ vi ~/.bashrc
    2a3,5
>    if [ -f /usr/local/etc/bash_completion ]; then
>         . /usr/local/etc/bash_completion
>        fi

  8. Для того чтобы изменить файл в соответствии с показанными в диффшоте изменениями, можно воспользоваться командой patch. Нужно скопировать изменения, запустить программу patch, указав в качестве её аргумента файл, к которому применяются изменения, и всавить скопированный текст: 
    $ patch ~/.bashrc
    В данном случае изменения применяются к файлу ~/.bashrc

  9. Для того чтобы получить краткую справочную информацию о команде, нужно подвести к ней мышь. Во всплывающей подсказке появится краткое описание команды.

    Если справочная информация о команде есть, команда выделяется голубым фоном, например: vi. Если справочная информация отсутствует, команда выделяется розовым фоном, например: notepad.exe. Справочная информация может отсутствовать в том случае, если (1) команда введена неверно; (2) если распознавание команды LiLaLo выполнено неверно; (3) если информация о команде неизвестна LiLaLo. Последнее возможно для редких команд.

  10. Большие, в особенности многострочные, всплывающие подсказки лучше всего показываются браузерами KDE Konqueror, Apple Safari и Microsoft Internet Explorer. В браузерах Mozilla и Firefox они отображаются не полностью, а вместо перевода строки выводится специальный символ.

  11. Время ввода команды, показанное в журнале, соответствует времени начала ввода командной строки, которое равно тому моменту, когда на терминале появилось приглашение интерпретатора

  12. Имя терминала, на котором была введена команда, показано в специальном блоке. Этот блок показывается только в том случае, если терминал текущей команды отличается от терминала предыдущей.

  13. Вывод не интересующих вас в настоящий момент элементов журнала, таких как время, имя терминала и других, можно отключить. Для этого нужно воспользоваться формой управления журналом вверху страницы.

  14. Небольшие комментарии к командам можно вставлять прямо из командной строки. Комментарий вводится прямо в командную строку, после символов #^ или #v. Символы ^ и v показывают направление выбора команды, к которой относится комментарий: ^ - к предыдущей, v - к следующей. Например, если в командной строке было введено: 

    $ whoami

    user

    $ #^ Интересно, кто я?
    в журнале это будет выглядеть так: 
    $ whoami

    user
    Интересно, кто я?

  15. Если комментарий содержит несколько строк, его можно вставить в журнал следующим образом: 

    $ whoami

    user

    $ cat > /dev/null #^ Интересно, кто я?

    Программа whoami выводит имя пользователя, под которым 
мы зарегистрировались в системе.
-
Она не может ответить на вопрос о нашем назначении 
в этом мире.
    В журнале это будет выглядеть так: 
    $ whoami
    user
    Интересно, кто я?
    Программа whoami выводит имя пользователя, под которым
    мы зарегистрировались в системе.

    Она не может ответить на вопрос о нашем назначении
    в этом мире.
    Для разделения нескольких абзацев между собой используйте символ "-", один в строке.

  16. Комментарии, не относящиеся непосредственно ни к какой из команд, добавляются точно таким же способом, только вместо симолов #^ или #v нужно использовать символы #=

  17. Содержимое файла может быть показано в журнале. Для этого его нужно вывести с помощью программы cat. Если вывод команды отметить симоволами #!, содержимое файла будет показано в журнале в специально отведённой для этого секции.

  18. Для того чтобы вставить скриншот интересующего вас окна в журнал, нужно воспользоваться командой l3shot. После того как команда вызвана, нужно с помощью мыши выбрать окно, которое должно быть в журнале.

  19. Команды в журнале расположены в хронологическом порядке. Если две команды давались одна за другой, но на разных терминалах, в журнале они будут рядом, даже если они не имеют друг к другу никакого отношения. 
    1
    2
3   
    4
    Группы команд, выполненных на разных терминалах, разделяются специальной линией. Под этой линией в правом углу показано имя терминала, на котором выполнялись команды. Для того чтобы посмотреть команды только одного сенса, нужно щёкнуть по этому названию.


О программе

LiLaLo (L3) расшифровывается как Live Lab Log.
Программа разработана для повышения эффективности обучения Unix/Linux-системам.
(c) Игорь Чубин, 2004-2008

$Id$