[ править ]

Журнал лабораторных работ

Содержание

Файлы
Статистика
Справка
О программе

Журнал

Четверг (11/16/06)

/dev/pts/5

23:47:25

#less /etc/default/s

23:47:25

#less /etc/default/snort

/dev/pts/4

23:47:33

 16:49:14 up 5 min,  3 users,  load average: 0.58, 0.59, 0.27
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
user     :0       -                16:45   ?xdm?   1:06   0.07s /bin/sh /usr/bin/startkde
root     pts/12   192.168.15.254   16:48   22.00s  0.04s  0.03s script -f -q /root/.lilalo//220851819084057635-1163713726.script
root     pts/14   :pts/13:S.0      16:48   23.00s  0.25s  0.25s script -f -q /root/.lilalo//882322331183394564-1163713732.script

/dev/pts/12

23:48:47

#screen -x

23:48:50

#screen

/dev/pts/4

23:49:14

#tail -f /var/log/snort/alert

ICMP TTL:64 TOS:0x0 ID:16846 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:15717   Seq:16847  ECHO
[**] [1:368:6] ICMP PING BSDtype [**]
[Classification: Misc activity] [Priority: 3]
11/16-17:36:13.048398 192.168.15.2 -> 192.168.15.1
ICMP TTL:64 TOS:0x0 ID:16847 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:15717   Seq:16848  ECHO
[Xref => http://www.whitehats.com/info/IDS152]
[**] [1:366:7] ICMP PING *NIX [**]
[Classification: Misc activity] [Priority: 3]
...
[Classification: Misc activity] [Priority: 3]
11/16-17:36:13.242081 192.168.15.2 -> 192.168.15.1
ICMP TTL:64 TOS:0x0 ID:17018 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:15717   Seq:17019  ECHO
[Xref => http://www.whitehats.com/info/IDS152]
[**] [1:366:7] ICMP PING *NIX [**]
[Classification: Misc activity] [Priority: 3]
11/16-17:36:13.242081 192.168.15.2 -> 192.168.15.1
ICMP TTL:64 TOS:0x0 ID:17018 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:15717   Seq:17019  ECHO

/dev/pts/14

23:51:35

#ls

[root@linux1:root]#
[root@linux1:root]#
[root@linux1:root]# ls
dbootstrap_settings    install-report.template  log1.ecp  log2.ecp  log.ecp      sneeze.pl
Image_Graph-0.7.2.tgz  log1.eci                 log2.eci  log.eci   package.xml
[root@linux1:root]# less /etc/snort/
classification.config       reference.config            snort.conf                  unicode.map
.classification.config.swp  rules                       snort.debian.conf
gen-msg.map                 sid-msg.map                 threshold.conf
[root@linux1:root]# less /etc/snort/
                                    dbootstrap_settings    install-report.template      log1.ecp  log2.ecp  log.ecp      sneeze.pl
Image_Graph-0.7.2.tgz  log1.eci                 log2.eci  log.eci   package.xml

23:53:32

#less /etc/snort/

23:53:32

#less /etc/snort/snort.

23:53:32

#less /etc/snort/snort.conf

Пятница (11/17/06)

00:10:14

#apt-cache search snort

acidlab - Analysis Console for Intrusion Databases
airsnort - WLAN sniffer
ippl - IP protocols logger
oinkmaster - Snort rules manager
psad - The Port Scan Attack Detector
snort - Flexible Network Intrusion Detection System
snort-common - Flexible Network Intrusion Detection System [common files]
snort-doc - Documentation for the Snort IDS [documentation]
snort-mysql - Flexible Network Intrusion Detection System [MySQL]
snort-pgsql - Flexible Network Intrusion Detection System [PostgreSQL]
snort-rules-default - Flexible Network Intrusion Detection System ruleset
webmin-snort - snort control module for webmin
wflogs - The modular firewall log analyzer of the WallFire project

00:10:26

#cd /usr/share/doc

11/16-16:54:48.145666
[**] [112:2:1] (spp_arpspoof) Ethernet/ARP Mismatch request for Source [**]
11/16-16:54:49.171543
[**] [112:2:1] (spp_arpspoof) Ethernet/ARP Mismatch request for Source [**]
11/16-16:54:50.187474
[**] [112:2:1] (spp_arpspoof) Ethernet/ARP Mismatch request for Source [**]
11/16-17:08:29.011494
[**] [112:2:1] (spp_arpspoof) Ethernet/ARP Mismatch request for Source [**]
11/16-17:08:30.035792
[**] [112:2:1] (spp_arpspoof) Ethernet/ARP Mismatch request for Source [**]
11/16-17:08:31.047014
#
                                                                                                         565,1
---------------------------------------------------------------------------------------------------------------------

00:10:36

#ls

edict                        klaptopdaemon                  libhal-storage0            nautilus-data
eject                        klatin                         libhtml-parser-perl        nautilus-media
enscript                     kleopatra                      libhtml-tableextract-perl  nbtscan
eog                          klettres                       libhtml-tagset-perl        ncurses-base
epiphany-browser             klettres-data                  libhtml-tree-perl          ncurses-bin
esound                       klickety                       libice6                    ncurses-term
esound-common                klines                         libid3tag0                 nessus
ettercap                     klinkstatus                    libident                   nessusd
ettercap-common              klipper                        libidl0                    nessus-plugins
evolution                    kmahjongg                      libidn11                   netbase
...
kalarm                       libcurl3                       libss2                     xserver-common
kalzium                      libcvsservice0                 libssl0.9.7                xserver-xfree86
kamera                       libdb1-compat                  libstartup-notification0   xterm
kandy                        libdb3                         libstdc++5                 xutils
kanjidic                     libdb4.1                       libstdc++6                 x-window-system-core
kappfinder                   libdb4.2                       libstlport4.6              yelp
karm                         libdb4.2++                     libsvga1                   zenity
kasteroids                   libdb4.3                       libsysfs1                  zlib1g
kate                         libdbd-mysql-perl              libt1-5
kate-plugins                 libdbi-perl                    libtag1

00:10:37

#cd snort

00:10:39

#ls

00:10:39

#cd ../

00:10:43

#cd ../snort

snort                snort-common         snort-doc            snort-mysql          snort-rules-default

00:10:43

#cd ../snort-doc/

00:10:48

#ls

changelog.Debian.gz    README.asn1.gz      README.flowbits          README.thresholding.gz  snort_schema_v106.pdf.gz
changelog.gz           README.csv          README.flow-portscan.gz  README.UNSOCK.gz        TODO
copyright              README.database.gz  README.gz                README.WIN32.gz         USAGE.gz
examples               README.docs         README.http_inspect.gz   README.wireless         WISHLIST
FAQ.txt.gz             README.event_queue  README.INLINE.gz         RULES.todo.gz
NEWS.Debian.gz         README.FLEXRESP     README.PLUGINS           signatures
README.alert_order.gz  README.flow         README.sfportscan.gz     snort_manual.pdf.gz

00:10:48

#zless README.alert_order.gz

00:11:19

#less /etc/snort/

00:11:19

#less /etc/snort/snort.

00:11:19

#vi /etc/snort/snort.conf

/dev/pts/17

00:12:09

#screen -ls

00:12:15

#screen -x

/dev/pts/14

00:12:45

#vi /etc/snort/rules/

00:12:45

#vi /etc/snort/rules/dns.rules

00:13:11

#vi /etc/snort/snort.conf

/dev/pts/19

00:21:18

#tail /var/log/apache2/access.log

[root@linux1:doc]# cd snort
[root@linux1:snort]# ls
[root@linux1:snort]# cd ../
[root@linux1:snort]# cd ../snort
snort                snort-common         snort-doc            snort-mysql          snort-rules-default
[root@linux1:snort]# cd ../snort-doc/
[root@linux1:snort-doc]# ls
changelog.Debian.gz    README.asn1.gz      README.flowbits          README.thresholding.gz  snort_schema_v106.pdf.gz
changelog.gz           README.csv          README.flow-portscan.gz  README.UNSOCK.gz        TODO
copyright              README.database.gz  README.gz                README.WIN32.gz         USAGE.gz
...
192.168.15.254 - - [16/Nov/2006:17:20:47 -0500] "GET /styles/base_style.css HTTP/1.1" 404 315 "http://linux1/base/base_qry_main.php?caller=&num_result_rows=129&current_view=0&sort_order=time_d" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.6) Gecko/20060728 Firefox/1.5.0.6 (Debian-1.5.dfsg+1.5.0.6-1)"
192.168.15.254 - - [16/Nov/2006:17:20:47 -0500] "GET /base/base_qry_main.php?caller=&num_result_rows=129&current_view=0&sort_order=time_d HTTP/1.1" 200 54058 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.6) Gecko/20060728 Firefox/1.5.0.6 (Debian-1.5.dfsg+1.5.0.6-1)"
10.0.35.5 - - [16/Nov/2006:17:21:03 -0500] "GET / HTTP/1.1" 302 322 "-" "Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.0.4) Gecko/20060406 Firefox/1.5.0.4 (Debian-1.5.dfsg+1.5.0.4-1)"
192.168.15.254 - - [16/Nov/2006:17:21:04 -0500] "GET /base/styles/base_style.css HTTP/1.1" 200 5930 "http://linux1/base/base_main.php" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.6) Gecko/20060728 Firefox/1.5.0.6 (Debian-1.5.dfsg+1.5.0.6-1)"
192.168.15.254 - - [16/Nov/2006:17:21:03 -0500] "GET /base/base_main.php HTTP/1.1" 200 13667 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.6) Gecko/20060728 Firefox/1.5.0.6 (Debian-1.5.dfsg+1.5.0.6-1)"
10.0.35.5 - - [16/Nov/2006:17:21:07 -0500] "GET /base/base_main.php HTTP/1.1" 200 13667 "-" "Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.0.4) Gecko/20060406 Firefox/1.5.0.4 (Debian-1.5.dfsg+1.5.0.4-1)"
10.0.35.5 - - [16/Nov/2006:17:21:14 -0500] "GET /styles/base_style.css HTTP/1.1" 404 321 "http://192.168.15.1/base/base_qry_main.php?&num_result_rows=-1&submit=Query+DB&current_view=-1" "Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.0.4) Gecko/20060406 Firefox/1.5.0.4 (Debian-1.5.dfsg+1.5.0.4-1)"
10.0.35.5 - - [16/Nov/2006:17:21:13 -0500] "GET /base/base_qry_main.php?&num_result_rows=-1&submit=Query+DB&current_view=-1 HTTP/1.1" 200 53768 "http://192.168.15.1/base/base_main.php" "Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.0.4) Gecko/20060406 Firefox/1.5.0.4 (Debian-1.5.dfsg+1.5.0.4-1)"
10.0.35.5 - - [16/Nov/2006:17:21:18 -0500] "GET /styles/base_style.css HTTP/1.1" 404 321 "http://192.168.15.1/base/base_qry_main.php?caller=&num_result_rows=132&current_view=0&sort_order=time_d" "Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.0.4) Gecko/20060406 Firefox/1.5.0.4 (Debian-1.5.dfsg+1.5.0.4-1)"
10.0.35.5 - - [16/Nov/2006:17:21:18 -0500] "GET /base/base_qry_main.php?caller=&num_result_rows=132&current_view=0&sort_order=time_d HTTP/1.1" 200 54113 "http://192.168.15.1/base/base_qry_main.php?&num_result_rows=-1&submit=Query+DB&current_view=-1" "Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.0.4) Gecko/20060406 Firefox/1.5.0.4 (Debian-1.5.dfsg+1.5.0.4-1)"

/dev/pts/14

00:21:35

#/etc/init.d/snort

# Copyright 2001-2005 Sourcefire, Inc. All Rights Reserved
#
# This file may contain proprietary rules that were created, tested and
# certified by Sourcefire, Inc. (the "VRT Certified Rules") as well as
# rules that were created by Sourcefire and other third parties and
# distributed under the GNU General Public License (the "GPL Rules").  The
# VRT Certified Rules contained in this file are the property of
Usage: /etc/init.d/snort {start|stop|restart|force-restart|reload|force-reload|status|config-check}
"/etc/snort/rules/dns.rules" 56L, 7323C
#
                                                                                                         565,1
---------------------------------------------------------------------------------------------------------------------

00:21:43

#/etc/init.d/snort restart

Stopping Network Intrusion Detection System: snort(eth0).
Starting Network Intrusion Detection System: snort(eth0)No /etc/snort/snort.eth0.conf, defaulting to snort.conf
.

00:21:47

#/etc/init.d/snort restart

# Copyright 2001-2005 Sourcefire, Inc. All Rights Reserved
#
# This file may contain proprietary rules that were created, tested and
# certified by Sourcefire, Inc. (the "VRT Certified Rules") as well as
# rules that were created by Sourcefire and other third parties and
# distributed under the GNU General Public License (the "GPL Rules").  The
# VRT Certified Rules contained in this file are the property of
Stopping Network Intrusion Detection System: snort(eth0).
Starting Network Intrusion Detection System: snort(eth0)No /etc/snort/snort.eth0.conf, defaulting to snort.conf
.
"/etc/snort/rules/dns.rules" 56L, 7323C
#
                                                                                                         565,1
---------------------------------------------------------------------------------------------------------------------

00:24:41

#vi /etc/snort/snort.conf

00:25:41

#/etc/init.d/snort restart

Stopping Network Intrusion Detection System: snort(eth0).
Starting Network Intrusion Detection System: snort(eth0)No /etc/snort/snort.eth0.conf, defaulting to snort.conf
.

/dev/pts/6

00:29:35

#tail /var/log/syslog

Nov 16 17:25:43 linux1 snort:     Time:           300 seconds
Nov 16 17:25:43 linux1 snort:     Flow Stats:     INACTIVE
Nov 16 17:25:43 linux1 snort:     Event Stats:    INACTIVE
Nov 16 17:25:43 linux1 snort:     Max Perf Stats: INACTIVE
Nov 16 17:25:43 linux1 snort:     Console Mode:   INACTIVE
Nov 16 17:25:43 linux1 snort:     File Mode:      /var/log/snort/snort.stats
Nov 16 17:25:43 linux1 snort:     SnortFile Mode: INACTIVE
Nov 16 17:25:43 linux1 snort:     Packet Count:   10000
Nov 16 17:25:43 linux1 snort: FATAL ERROR: ERROR /etc/snort/rules/bad-traffic.rules(27): Rule IP addr ([192.168.0.0) didn't translate
Nov 16 17:25:43 linux1 kernel: device eth0 left promiscuous mode

00:29:38

#vi /etc/snort/snort.conf

47c47
< var EXTERNAL_NET [!$HOME_NET,192.168.15.2]
---
> var EXTERNAL_NET [192.168.15.2/32]

00:30:07

#/etc/init.d/snort restart

Stopping Network Intrusion Detection System: snort(eth0).
Starting Network Intrusion Detection System: snort(eth0)No /etc/snort/snort.eth0.conf, defaulting to snort.conf
.

00:30:16

#tail /var/log/syslog

Nov 16 17:30:18 linux1 snort: | gen-id=1      sig-id=7069       type=Limit     tracking=src count=1   seconds=300
Nov 16 17:30:18 linux1 snort: | gen-id=1      sig-id=6322       type=Limit     tracking=src count=1   seconds=3000
Nov 16 17:30:18 linux1 snort: | gen-id=1      sig-id=3527       type=Limit     tracking=dst count=5   seconds=60
Nov 16 17:30:18 linux1 snort: | gen-id=1      sig-id=7727       type=Limit     tracking=src count=1   seconds=300
Nov 16 17:30:18 linux1 snort: | gen-id=1      sig-id=3542       type=Threshold tracking=src count=5   seconds=2
Nov 16 17:30:18 linux1 snort: +-----------------------[suppression]------------------------------------------
Nov 16 17:30:18 linux1 snort: | none
Nov 16 17:30:18 linux1 snort: +------------------------------------------------------------------------------
Nov 16 17:30:18 linux1 snort: Rule application order: ->activation->dynamic->alert->pass->log
Nov 16 17:30:18 linux1 snort: Log directory = /var/log/snort

00:30:19

#tail -f /var/log/snort/alert

[Xref => http://online.securityfocus.com/archive/1/249355][Xref => http://www.securityfocus.com/bid/3839]
[**] [1:2670:2] WEB-CGI pgpmail.pl access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]
11/16-17:30:32.160966 192.168.15.2:46630 -> 192.168.15.1:80
TCP TTL:64 TOS:0x0 ID:42965 IpLen:20 DgmLen:169 DF
***AP*** Seq: 0x90391C61  Ack: 0xD570FF71  Win: 0x16D0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 11582387 280698
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=11070][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0937][Xref => http://www.securityfocus.com/bid/3605]
[**] [1:2670:2] WEB-CGI pgpmail.pl access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]
11/16-17:30:39.175263 192.168.15.2:46631 -> 192.168.15.1:80
TCP TTL:64 TOS:0x0 ID:45975 IpLen:20 DgmLen:169 DF
***AP*** Seq: 0x916D0DE5  Ack: 0xD5CCC858  Win: 0x16D0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 11583089 281400
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=11070][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0937][Xref => http://www.securityfocus.com/bid/3605]

00:31:07

#tcpdump -i eth0 -n not port 22

17:31:23.391089 IP 192.168.15.2.42168 > 192.168.15.1.23076: . 0:715(715) ack 0 win 65535
17:31:23.425839 IP 192.168.15.2.58402 > 192.168.15.1.60512: . 0:735(735) ack 0 win 65535
17:31:23.432164 IP 192.168.15.2.10588 > 192.168.15.1.51682: . 0:735(735) ack 0 win 65535
17:31:23.441980 IP 192.168.15.2.32115 > 192.168.15.1.18101: . 0:735(735) ack 0 win 65535
17:31:23.448834 IP 192.168.15.2.60029 > 192.168.15.1.56445: . 0:735(735) ack 0 win 65535
17:31:23.474719 IP 192.168.15.2.39800 > 192.168.15.1.43871: . 0:735(735) ack 0 win 65535
17:31:23.480266 IP 192.168.15.2.37098 > 192.168.15.1.43982: . 0:735(735) ack 0 win 65535
17:31:23.485775 IP 192.168.15.2.17664 > 192.168.15.1.35141: . 0:735(735) ack 0 win 65535
17:31:23.489728 IP 192.168.15.2.8425 > 192.168.15.1.22604: . 0:735(735) ack 0 win 65535
17:31:23.495283 IP 192.168.15.2.55767 > 192.168.15.1.61310: . 0:735(735) ack 0 win 65535
...
17:31:24.242469 IP 192.168.15.2.43840 > 192.168.15.1.51066: . 0:1287(1287) ack 0 win 65535
17:31:24.244927 IP 192.168.15.2.47308 > 192.168.15.1.9075: . 0:1287(1287) ack 0 win 65535
17:31:24.247094 IP 192.168.15.2.38845 > 192.168.15.1.2141: . 0:1287(1287) ack 0 win 65535
17:31:24.249469 IP 192.168.15.2.43645 > 192.168.15.1.31638: . 0:1287(1287) ack 0 win 65535
17:31:24.251859 IP 192.168.15.2.5602 > 192.168.15.1.26078: . 0:1287(1287) ack 0 win 65535
17:31:24.254105 IP 192.168.15.2.26075 > 192.168.15.1.13856: . 0:1287(1287) ack 0 win 65535
17:31:24.288418 IP 192.168.15.2.9109 > 192.168.15.1.32162: . 0:1300(1300) ack 0 win 65535
352 packets captured
352 packets received by filter
0 packets dropped by kernel

00:31:49

#tail -f /var/log/snort/alert

[Xref => http://cgi.nessus.org/plugins/dump.php3?id=11070][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0937][Xref => http://www.securityfocus.com/bid/3605]
[**] [1:2670:2] WEB-CGI pgpmail.pl access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]
11/16-17:30:39.175263 192.168.15.2:46631 -> 192.168.15.1:80
TCP TTL:64 TOS:0x0 ID:45975 IpLen:20 DgmLen:169 DF
***AP*** Seq: 0x916D0DE5  Ack: 0xD5CCC858  Win: 0x16D0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 11583089 281400
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=11070][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0937][Xref => http://www.securityfocus.com/bid/3605]
[**] [1:3062:2] WEB-CGI NetScreen SA 5000 delhomepage.cgi access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]
11/16-17:31:52.668419 192.168.15.2:46639 -> 192.168.15.1:80
TCP TTL:64 TOS:0x0 ID:24131 IpLen:20 DgmLen:174 DF
***AP*** Seq: 0x95E88568  Ack: 0xD9927D48  Win: 0x16D0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 11590438 288749
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0347][Xref => http://www.securityfocus.com/bid/9791]

/dev/pts/4

00:37:01

#vi /usr/local/share/

00:37:01

#vi /usr/local/share/base

00:37:01

#vi /usr/local/share/base/

прошло 57 минут

/dev/pts/23

01:34:26

#du -sh /root/.lilalo/

30M     /root/.lilalo/

01:35:13

#find /root/.lilalo/ -name \*xwd

01:35:24

#find /home/user/

/home/user/.lilalo/2645732723431914741-1163716444_1163716453.xwd
/home/user/.lilalo/2645732723431914741-1163716444_1163716469.xwd
/home/user/.lilalo/2645732723431914741-1163716444_1163716509.xwd
/home/user/.lilalo/2645732723431914741-1163716444_1163716522.xwd

01:35:35

#find /home/user/.lilalo/ -name \*xwd

/home/user/.lilalo/2645732723431914741-1163716444_1163716453.xwd
/home/user/.lilalo/2645732723431914741-1163716444_1163716469.xwd
/home/user/.lilalo/2645732723431914741-1163716444_1163716509.xwd
/home/user/.lilalo/2645732723431914741-1163716444_1163716522.xwd

01:36:07

#find /home/user/.lilalo/ -name \*xwd

/home/user/.lilalo/2645732723431914741-1163716444_1163716453.xwd
/home/user/.lilalo/2645732723431914741-1163716444_1163716469.xwd
/home/user/.lilalo/2645732723431914741-1163716444_1163716509.xwd
/home/user/.lilalo/2645732723431914741-1163716444_1163716522.xwd

01:40:56

#find /home/user/.lilalo/ -name \*xwd |

01:49:30

#scp `find /home/user/.lilalo/ -name \*xwd` chub.in:/var/lil

lo/lablogs-xwd/
The authenticity of host 'chub.in (217.27.159.217)' can't be established.
RSA key fingerprint is fb:a6:01:55:48:7d:2b:2c:23:ff:37:99:c8:0e:65:36.

01:50:57

#scp `find /home/user/.lilalo/ -name \*xwd` devi@chub.in:/va

/lilalo/lablogs-xwd/
The authenticity of host 'chub.in (217.27.159.217)' can't be established.
RSA key fingerprint is fb:a6:01:55:48:7d:2b:2c:23:ff:37:99:c8:0e:65:36.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'chub.in,217.27.159.217' (RSA) to the list of known hosts.
Password:
2645732723431914741-1163716444_1163716453.xwd 100% 2266KB 161.8KB/s   00:14
2645732723431914741-1163716444_1163716469.xwd 100% 2266KB 161.8KB/s   00:14
2645732723431914741-1163716444_1163716509.xwd 100% 2266KB 161.8KB/s   00:14
2645732723431914741-1163716444_1163716522.xwd 100% 2266KB 174.3KB/s   00:13

прошло 30 минут

/dev/pts/14

02:21:20

#su - user

Removing stale pidfile

02:21:24

$exit

exit

02:30:04

#l3-agent

l3-agent is already running: pid=1828; pidfile=/root/.lilalo/l3-agent.pid

Статистика

Время первой команды журнала 23:47:25 2006-11-16

Время последней команды журнала 02:30:04 2006-11-17

Количество командных строк в журнале 55

Процент команд с ненулевым кодом завершения, % 12.73

Процент синтаксически неверно набранных команд, % 0.00

Суммарное время работы с терминалом ^*, час 1.25

Количество командных строк в единицу времени, команда/мин 0.73

Частота использования команд

`vi`	9	\|================\| 16.36%
`less`	7	\|============\| 12.73%
`tail`	6	\|==========\| 10.91%
`/etc/init.d/snort`	5	\|=========\| 9.09%
`cd`	5	\|=========\| 9.09%
`find`	5	\|=========\| 9.09%
`screen`	4	\|=======\| 7.27%
`ls`	4	\|=======\| 7.27%
`scp`	2	\|===\| 3.64%
`zless`	1	\|=\| 1.82%
`l3-agent`	1	\|=\| 1.82%
`tcpdump`	1	\|=\| 1.82%
`exit`	1	\|=\| 1.82%
`du`	1	\|=\| 1.82%
`apt-cache`	1	\|=\| 1.82%
`su`	1	\|=\| 1.82%
`w`	1	\|=\| 1.82%

____
*) Интервалы неактивности длительностью 30 минут и более не учитываются

Справка

Для того чтобы использовать LiLaLo, не нужно знать ничего особенного: всё происходит само собой. Однако, чтобы ведение и последующее использование журналов было как можно более эффективным, желательно иметь в виду следующее:

В журнал автоматически попадают все команды, данные в любом терминале системы.
Для того чтобы убедиться, что журнал на текущем терминале ведётся, и команды записываются, дайте команду w. В поле WHAT, соответствующем текущему терминалу, должна быть указана программа script.
Команды, при наборе которых были допущены синтаксические ошибки, выводятся перечёркнутым текстом:
$ l s-l

bash: l: command not found
Если код завершения команды равен нулю, команда была выполнена без ошибок. Команды, код завершения которых отличен от нуля, выделяются цветом.
$ test 5 -lt 4
Обратите внимание на то, что код завершения команды может быть отличен от нуля не только в тех случаях, когда команда была выполнена с ошибкой. Многие команды используют код завершения, например, для того чтобы показать результаты проверки

Команды, ход выполнения которых был прерван пользователем, выделяются цветом.

$ find / -name abc

find: /home/devi-orig/.gnome2: Keine Berechtigung find: /home/devi-orig/.gnome2_private: Keine Berechtigung find: /home/devi-orig/.nautilus/metafiles: Keine Berechtigung find: /home/devi-orig/.metacity: Keine Berechtigung find: /home/devi-orig/.inkscape: Keine Berechtigung ^C

Команды, выполненные с привилегиями суперпользователя, выделяются слева красной чертой.
# id

uid=0(root) gid=0(root) Gruppen=0(root)
Изменения, внесённые в текстовый файл с помощью редактора, запоминаются и показываются в журнале в формате ed. Строки, начинающиеся символом "<", удалены, а строки, начинающиеся символом ">" -- добавлены.
$ vi ~/.bashrc

2a3,5 > if [ -f /usr/local/etc/bash_completion ]; then > . /usr/local/etc/bash_completion > fi
Для того чтобы изменить файл в соответствии с показанными в диффшоте изменениями, можно воспользоваться командой patch. Нужно скопировать изменения, запустить программу patch, указав в качестве её аргумента файл, к которому применяются изменения, и всавить скопированный текст:
$ patch ~/.bashrc
В данном случае изменения применяются к файлу ~/.bashrc
Для того чтобы получить краткую справочную информацию о команде, нужно подвести к ней мышь. Во всплывающей подсказке появится краткое описание команды.

Если справочная информация о команде есть, команда выделяется голубым фоном, например: vi. Если справочная информация отсутствует, команда выделяется розовым фоном, например: notepad.exe. Справочная информация может отсутствовать в том случае, если (1) команда введена неверно; (2) если распознавание команды LiLaLo выполнено неверно; (3) если информация о команде неизвестна LiLaLo. Последнее возможно для редких команд.
Большие, в особенности многострочные, всплывающие подсказки лучше всего показываются браузерами KDE Konqueror, Apple Safari и Microsoft Internet Explorer. В браузерах Mozilla и Firefox они отображаются не полностью, а вместо перевода строки выводится специальный символ.
Время ввода команды, показанное в журнале, соответствует времени начала ввода командной строки, которое равно тому моменту, когда на терминале появилось приглашение интерпретатора
Имя терминала, на котором была введена команда, показано в специальном блоке. Этот блок показывается только в том случае, если терминал текущей команды отличается от терминала предыдущей.
Вывод не интересующих вас в настоящий момент элементов журнала, таких как время, имя терминала и других, можно отключить. Для этого нужно воспользоваться формой управления журналом вверху страницы.
Небольшие комментарии к командам можно вставлять прямо из командной строки. Комментарий вводится прямо в командную строку, после символов #^ или #v. Символы ^ и v показывают направление выбора команды, к которой относится комментарий: ^ - к предыдущей, v - к следующей. Например, если в командной строке было введено:
```
$ whoami
```
```
user
```
```
$ #^ Интересно, кто я?
```
в журнале это будет выглядеть так:
```
$ whoami
```
```
user
```
Интересно, кто я?

Если комментарий содержит несколько строк, его можно вставить в журнал следующим образом:

$ whoami

user

$ cat > /dev/null #^ Интересно, кто я?

Программа whoami выводит имя пользователя, под которым 
мы зарегистрировались в системе.
-
Она не может ответить на вопрос о нашем назначении 
в этом мире.

В журнале это будет выглядеть так:

$ whoami

user

Интересно, кто я?

Программа whoami выводит имя пользователя, под которым
мы зарегистрировались в системе.

Она не может ответить на вопрос о нашем назначении
в этом мире.

Для разделения нескольких абзацев между собой используйте символ "-", один в строке.

Комментарии, не относящиеся непосредственно ни к какой из команд, добавляются точно таким же способом, только вместо симолов #^ или #v нужно использовать символы #=

Содержимое файла может быть показано в журнале. Для этого его нужно вывести с помощью программы cat. Если вывод команды отметить симоволами #!, содержимое файла будет показано в журнале в специально отведённой для этого секции.

Для того чтобы вставить скриншот интересующего вас окна в журнал, нужно воспользоваться командой l3shot. После того как команда вызвана, нужно с помощью мыши выбрать окно, которое должно быть в журнале.

Команды в журнале расположены в хронологическом порядке. Если две команды давались одна за другой, но на разных терминалах, в журнале они будут рядом, даже если они не имеют друг к другу никакого отношения.
```
1
    2
3   
    4
```
Группы команд, выполненных на разных терминалах, разделяются специальной линией. Под этой линией в правом углу показано имя терминала, на котором выполнялись команды. Для того чтобы посмотреть команды только одного сенса, нужно щёкнуть по этому названию.

О программе

LiLaLo (L3) расшифровывается как Live Lab Log.
Программа разработана для повышения эффективности обучения Unix/Linux-системам.
(c) Игорь Чубин, 2004-2008

$Id$