[ править ]

Журнал лабораторных работ

Содержание

Журнал

Среда (11/15/06)

Файлы
Статистика
Справка
О программе

Журнал

Среда (11/15/06)

/dev/pts/7

16:41:52

#ps axu|grep arpd

root     18380  0.0  0.0  1444  480 pts/13   R+   16:42   0:00 grep arpd

16:42:22

#ps ax

  239 ?        S      0:00 [kjournald]
  240 ?        S      0:00 [kjournald]
  241 ?        S      0:00 [kjournald]
  242 ?        S      0:00 [kjournald]
  368 ?        S<s    0:00 udevd
  462 ?        S      0:00 [khubd]
  857 ?        S      0:00 [usb-storage-0]
  859 ?        S      0:00 [scsi_eh_1]
 1021 ?        Ss     0:00 /sbin/portmap
 1242 ?        S      0:00 /bin/sh /usr/bin/mysqld_safe
...
18025 ?        Z      0:00 [kdeinit] <defunct>
18026 ?        Z      0:00 [kdeinit] <defunct>
18027 ?        Z      0:00 [kdeinit] <defunct>
18028 ?        Z      0:00 [kdeinit] <defunct>
18029 ?        Z      0:00 [kdeinit] <defunct>
18037 pts/17   Ss+    0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18079 pts/17   S+     0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18080 pts/18   Ss+    0:00 bash -i
18378 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
18386 pts/13   R+     0:00 ps ax

16:42:27

#man arpd

16:42:35

#arpd

16:42:40

#ps ax

  239 ?        S      0:00 [kjournald]
  240 ?        S      0:00 [kjournald]
  241 ?        S      0:00 [kjournald]
  242 ?        S      0:00 [kjournald]
  368 ?        S<s    0:00 udevd
  462 ?        S      0:00 [khubd]
  857 ?        S      0:00 [usb-storage-0]
  859 ?        S      0:00 [scsi_eh_1]
 1021 ?        Ss     0:00 /sbin/portmap
 1242 ?        S      0:00 /bin/sh /usr/bin/mysqld_safe
...
18025 ?        Z      0:00 [kdeinit] <defunct>
18026 ?        Z      0:00 [kdeinit] <defunct>
18027 ?        Z      0:00 [kdeinit] <defunct>
18028 ?        Z      0:00 [kdeinit] <defunct>
18029 ?        Z      0:00 [kdeinit] <defunct>
18037 pts/17   Ss+    0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18079 pts/17   S+     0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18080 pts/18   Ss+    0:00 bash -i
18392 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
18407 pts/13   R+     0:00 ps ax

16:42:42

#tail -f /var/log/messages

Nov 15 12:23:47 linux2 syslog-ng[8346]: syslog-ng starting up; version='2.0rc3'
Nov 15 12:23:53 192.168.15.254 rrrrrr
Nov 15 12:30:15 192.168.15.254 rrrrrr
Nov 15 12:59:02 linux2 -- MARK --
Nov 15 13:37:01 linux2 -- MARK --
Nov 15 13:59:01 linux2 -- MARK --
Nov 15 15:05:27 linux2 kernel: nessusd uses obsolete (PF_INET,SOCK_PACKET)
Nov 15 15:37:01 linux2 -- MARK --
Nov 15 15:59:01 linux2 -- MARK --
Nov 15 16:37:01 linux2 -- MARK --

16:42:53

#man arpd

16:43:10

#man 7 arpd

16:43:16

#apt-get install arpd

Reading package lists... Done
Building dependency tree... Done
arpd is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 346 not upgraded.

16:43:34

#arpd

16:43:42

#tail -f /var/log/syslog

Nov 15 16:17:01 linux2 /USR/SBIN/CRON[17674]: (root) CMD (   run-parts --report /etc/cron.hourly)
Nov 15 16:37:01 linux2 -- MARK --
Nov 15 16:39:01 linux2 /USR/SBIN/CRON[18117]: (root) CMD (  [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Nov 15 16:39:01 linux2 /USR/SBIN/CRON[18118]: (root) CMD (  [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxlifetime) -print0 | xargs -r -0 rm)
Nov 15 16:40:09 linux2 arpd[18265]: Initializing, version 1.0.2
Nov 15 16:40:09 linux2 arpd[18265]: cannot open /dev/arpd: No such device
Nov 15 16:42:40 linux2 arpd[18400]: Initializing, version 1.0.2
Nov 15 16:42:40 linux2 arpd[18400]: cannot open /dev/arpd: No such device
Nov 15 16:43:42 linux2 arpd[18440]: Initializing, version 1.0.2
Nov 15 16:43:43 linux2 arpd[18440]: cannot open /dev/arpd: No such device

16:44:04

#farpd

bash: farpd: command not found

16:44:30

#apt-get install farpd

Reading package lists... Done
Building dependency tree... Done
The following NEW packages will be installed:
  farpd
0 upgraded, 1 newly installed, 0 to remove and 346 not upgraded.
Need to get 10.9kB of archives.
After unpacking 69.6kB of additional disk space will be used.
WARNING: The following packages cannot be authenticated!
  farpd
Install these packages without verification [y/N]? y
Get:1 http://debian.org.ua stable/main farpd 0.2-7 [10.9kB]
Fetched 10.9kB in 0s (82.2kB/s)
Selecting previously deselected package farpd.
(Reading database ... 76205 files and directories currently installed.)
Unpacking farpd (from .../archives/farpd_0.2-7_i386.deb) ...
Setting up farpd (0.2-7) ...

16:44:48

#farpd

arpd[18489]: listening on eth0: arp  and not ether src 00:04:76:a1:f2:5a

16:44:51

#netstat -lpn

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:777           0.0.0.0:*               LISTEN     1449/famd
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     1279/mysqld
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN     1021/portmap
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN     1490/apache2
tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN     11219/inetd
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     1444/sshd
tcp        0      0 0.0.0.0:1241            0.0.0.0:*               LISTEN     11530/nessusd: wait
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     1414/exim4
...
unix  2      [ ACC ]     STREAM     LISTENING     3168     1614/kdeinit Runnin /tmp/ksocket-user/kdeinit__0
unix  2      [ ACC ]     STREAM     LISTENING     3170     1614/kdeinit Runnin /tmp/ksocket-user/kdeinit-:0
unix  2      [ ACC ]     STREAM     LISTENING     3201     1619/kdeinit: klaun /tmp/ksocket-user/klauncherWCQjUb.slave-socket
unix  2      [ ACC ]     STREAM     LISTENING     3455     1649/artsd          /tmp/ksocket-user/localhost.localdomain-0671-455ac013
unix  2      [ ACC ]     STREAM     LISTENING     2170     1378/dirmngr        /var/run/dirmngr/socket
unix  2      [ ACC ]     STREAM     LISTENING     3116     1586/ssh-agent      /tmp/ssh-GciaJP1528/agent.1528
unix  2      [ ACC ]     STREAM     LISTENING     3113     1585/ssh-agent      /tmp/ssh-oSxmEd1528/agent.1528
unix  2      [ ACC ]     STREAM     LISTENING     3178     1617/kdeinit: dcops /tmp/.ICE-unix/dcop1617-1163575303
unix  2      [ ACC ]     STREAM     LISTENING     3297     1634/kdeinit: ksmse /tmp/.ICE-unix/1634
unix  2      [ ACC ]     STREAM     LISTENING     2938     1465/X              /tmp/.X11-unix/X0

16:44:56

#netstat -lpn|grep farp

16:45:00

#ps ax

  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:00 init [2]
    2 ?        S      0:00 [keventd]
    3 ?        SN     0:00 [ksoftirqd_CPU0]
    4 ?        S      0:00 [kswapd]
    5 ?        S      0:00 [bdflush]
    6 ?        S      0:00 [kupdated]
   99 ?        S      0:00 [kjournald]
  239 ?        S      0:00 [kjournald]
  240 ?        S      0:00 [kjournald]
...
11946 pts/15   S+     0:00 script -f -q /root/.lilalo//275539499301286893-1163596422.script
11947 pts/16   Ss+    0:00 bash -i
12314 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
17973 pts/3    S+     0:00 screen -x
18037 pts/17   Ss+    0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18079 pts/17   S+     0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18080 pts/18   Ss+    0:00 bash -i
18490 ?        Ss     0:00 farpd
18509 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
18510 pts/13   R+     0:00 ps ax

16:45:11

#netstat -lpn|grep farp

16:45:20

#netstat -lpn|less

16:45:42

#ps ax

  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:00 init [2]
    2 ?        S      0:00 [keventd]
    3 ?        SN     0:00 [ksoftirqd_CPU0]
    4 ?        S      0:00 [kswapd]
    5 ?        S      0:00 [bdflush]
    6 ?        S      0:00 [kupdated]
   99 ?        S      0:00 [kjournald]
  239 ?        S      0:00 [kjournald]
  240 ?        S      0:00 [kjournald]
...
11946 pts/15   S+     0:00 script -f -q /root/.lilalo//275539499301286893-1163596422.script
11947 pts/16   Ss+    0:00 bash -i
12314 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
17973 pts/3    S+     0:00 screen -x
18037 pts/17   Ss+    0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18079 pts/17   S+     0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18080 pts/18   Ss+    0:00 bash -i
18490 ?        Ss     0:00 farpd
18525 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
18531 pts/13   R+     0:00 ps ax

16:45:50

#netstat -lpn|less

16:46:18

#ps ax

  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:00 init [2]
    2 ?        S      0:00 [keventd]
    3 ?        SN     0:00 [ksoftirqd_CPU0]
    4 ?        S      0:00 [kswapd]
    5 ?        S      0:00 [bdflush]
    6 ?        S      0:00 [kupdated]
   99 ?        S      0:00 [kjournald]
  239 ?        S      0:00 [kjournald]
  240 ?        S      0:00 [kjournald]
...
18546 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18547 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18549 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18550 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18551 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18552 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18555 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18556 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18630 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
18631 pts/13   R+     0:00 ps ax

16:48:54

#kilkl -9 18490

             ``10.0.0.5-10.0.0.15''). If unspecified, farpd will attempt to
             claim any IP address it sees an ARP request for.  Mutiple
             addresses may be specified.
FILES
     /var/run/farpd.pid
SEE ALSO
     pcapd(8), synackd(8)
AUTHORS
     Dug Song <dugsong@monkey.org>, Niels Provos <provos@citi.umich.edu>
BSD                            August 4, 2001                            BSD
 Manual page farpd(8) line 16/51 (END)
                                      bash: kilkl: command not found

16:49:03

#kill -9 18490

16:49:06

#farpd -i eth0 192.168.15.102

arpd[18665]: listening on eth0: arp and (dst 192.168.15.102) and not ether src 00:04:76:a1:f2:5a

16:49:25

#ps ax

  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:00 init [2]
    2 ?        S      0:00 [keventd]
    3 ?        SN     0:00 [ksoftirqd_CPU0]
    4 ?        S      0:00 [kswapd]
    5 ?        S      0:00 [bdflush]
    6 ?        S      0:00 [kupdated]
   99 ?        S      0:00 [kjournald]
  239 ?        S      0:00 [kjournald]
  240 ?        S      0:00 [kjournald]
...
18551 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18552 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18555 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18556 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18637 pts/12   S+     0:00 man farpd
18642 pts/12   S+     0:00 sh -c (echo '.ll 76n'; /usr/bin/zsoelim /tmp/zmantyi0eg) | /usr/bin/tbl | /usr/bin/nroff -m
18647 pts/12   S+     0:00 /usr/bin/pager -s
18666 ?        Ss     0:00 farpd -i eth0 192.168.15.102
18672 pts/13   R+     0:00 ps ax
18673 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)

16:49:34

#ifconfig

eth0      Link encap:Ethernet  HWaddr 00:04:76:A1:F2:5A
          inet addr:192.168.15.2  Bcast:192.168.15.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:133081 errors:0 dropped:0 overruns:0 frame:0
          TX packets:261812 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:45624383 (43.5 MiB)  TX bytes:24086547 (22.9 MiB)
          Interrupt:18 Base address:0xa000
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:11647 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11647 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1786099 (1.7 MiB)  TX bytes:1786099 (1.7 MiB)

16:49:45

#ps ax

  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:00 init [2]
    2 ?        S      0:00 [keventd]
    3 ?        SN     0:00 [ksoftirqd_CPU0]
    4 ?        S      0:00 [kswapd]
    5 ?        S      0:00 [bdflush]
    6 ?        S      0:00 [kupdated]
   99 ?        S      0:00 [kjournald]
  239 ?        S      0:00 [kjournald]
  240 ?        S      0:00 [kjournald]
...
18551 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18552 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18555 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18556 ?        S      0:00 kdeinit: kio_http http /tmp/ksocket-user/klauncherWCQjUb.slave-socket /tmp/ksocket-user/kon
18637 pts/12   S+     0:00 man farpd
18642 pts/12   S+     0:00 sh -c (echo '.ll 76n'; /usr/bin/zsoelim /tmp/zmantyi0eg) | /usr/bin/tbl | /usr/bin/nroff -m
18647 pts/12   S+     0:00 /usr/bin/pager -s
18666 ?        Ss     0:00 farpd -i eth0 192.168.15.102
18673 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
18685 pts/13   R+     0:00 ps ax

16:49:49

#ping 192.168.15.101

PING 192.168.15.101 (192.168.15.101) 56(84) bytes of data.
--- 192.168.15.101 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 6018ms

16:50:14

#ping 192.168.15.102

PING 192.168.15.102 (192.168.15.102) 56(84) bytes of data.
--- 192.168.15.102 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1018ms

16:50:20

#man farpd

16:50:41

#man farpd

16:51:16

#arp -a

? (192.168.15.101) at 00:0A:01:D4:D3:6F [ether] on eth0
? (192.168.15.102) at <incomplete> on eth0
linux.nt (192.168.15.254) at 00:0A:01:D4:D1:39 [ether] on eth0
linux1.linux.nt (192.168.15.1) at 00:0A:01:D4:D3:6F [ether] on eth0

16:51:18

#farping 192.168.15.101

bash: farping: command not found

16:52:11

#farping 192.168.15.101

bash: farping: command not found

16:52:26

#faping 192.168.15.101

             addresses may be specified.
FILES
     /var/run/farpd.pid
SEE ALSO
     pcapd(8), synackd(8)
AUTHORS
     Dug Song <dugsong@monkey.org>, Niels Provos <provos@citi.umich.edu>
BSD                            August 4, 2001                            BSD
[root@linux2:root]#
[root@linux2:root]#
[root@linux2:root]#
                    bash: faping: command not found

16:52:53

#arping 192.168.15.101

ARPING 192.168.15.101
60 bytes from 00:0a:01:d4:d3:6f (192.168.15.101): index=0 time=293.016 usec
60 bytes from 00:0a:01:d4:d3:6f (192.168.15.101): index=1 time=359.774 usec
60 bytes from 00:0a:01:d4:d3:6f (192.168.15.101): index=2 time=352.144 usec
60 bytes from 00:0a:01:d4:d3:6f (192.168.15.101): index=3 time=356.913 usec
60 bytes from 00:0a:01:d4:d3:6f (192.168.15.101): index=4 time=393.152 usec
60 bytes from 00:0a:01:d4:d3:6f (192.168.15.101): index=5 time=365.973 usec
60 bytes from 00:0a:01:d4:d3:6f (192.168.15.101): index=6 time=353.098 usec
60 bytes from 00:0a:01:d4:d3:6f (192.168.15.101): index=7 time=359.058 usec
--- 192.168.15.101 statistics ---
8 packets transmitted, 8 packets received,   0% unanswered

16:53:05

#man arping

16:54:42

#cd /etc

16:54:43

#honeyd

Honeyd V1.5b Copyright (c) 2002-2004 Niels Provos
[warn] epoll_create: Function not implemented
honeyd[18851]: started with
honeyd[18851]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip )) and not ether src 00:04:76:a1:f2:5a
Honeyd starting as background process

16:54:51

#cd /etc

# Example of a simple host template and its binding
create template
set default default icmp action block
create router
set router personality "Cisco 1601R router running IOS 12.1(5)"
set router default tcp action reset
add router tcp port 22 "/usr/share/honeyd/scripts/test.sh"
add router tcp port 23 "/usr/share/honyed/scripts/router-telnet.pl"
bind 10.3.0.1 router
bind 10.3.1.1 router
bind 10.3.1.12 template
bind 10.3.1.11 template
bind 10.3.1.10 template
[root@linux2:root]#

16:55:05

#ls

Muttrc             dbus-1               gnome-vfs-2.0         ld.so.conf        mtab           rc6.d
X11                debconf.conf         gnome-vfs-mime-magic  ld.so.conf.d      mtools.conf    rcS.d
adduser.conf       debian_version       groff                 ld.so.hwcappkgs   mysql          reportbug.conf
adjtime            default              group                 ldap              nanorc         resolv.conf
aliases            defoma               group-                libgda            nessus         rmt
alternatives       deluser.conf         gs-gpl                locale.alias      network        rpc
apache2            dev.d                gshadow               locale.gen        nsswitch.conf  screenrc
apm                devfs                gshadow-              localtime         openoffice     scrollkeeper.conf
apt                dhclient-script      gtk                   logcheck          opensc         securetty
arpwatch.conf      dhclient.conf        gtk-2.0               login.defs        opt            security
...
cron.hourly        exim4                init.d                menu-methods      protocols      terminfo
cron.monthly       fam.conf             inittab               mime.types        python         timezone
cron.weekly        fdmount.conf         inputrc               mkinitrd          python2.3      ucf.conf
crontab            fonts                issue                 modprobe.d        python2.4      udev
csh.cshrc          fstab                issue.net             modules           rc0.d          updatedb.conf
csh.login          gconf                john                  modules.conf      rc1.d          vim
csh.logout         gdm                  kde3                  modules.conf.old  rc2.d          w3m
cups               gimp                 kernel-img.conf       modutils          rc3.d          wgetrc
cvs-cron.conf      gksu.conf.dpkg-new   ksysguarddrc          motd              rc4.d          xdg
cvs-pserver.conf   gnome                ld.so.cache           mozilla           rc5.d          xml

16:55:06

#ls|grep h

apache2
arpwatch.conf
bash.bashrc
bash_completion
bash_completion.d
chatscripts
complete.tcsh
cron.hourly
cron.monthly
csh.cshrc
...
nsswitch.conf
php4
php5
python
python2.3
python2.4
shadow
shadow-
shells
ssh

16:55:11

#cd honeypot

16:55:18

#ls

honeyd.conf  nmap.assoc  nmap.prints  pf.os  xprobe2.conf

16:55:19

#vi honeyd.conf

16:58:42

#cp honeyd.conf honeyd.conf.old

16:58:58

#vi honeyd.conf

17:01:34

#ls

add router tcp port 23 "/usr/share/honyed/scripts/router-telnet.pl"
bind 10.3.0.1 router
bind 10.3.1.1 router
bind 10.3.1.12 template
bind 10.3.1.11 template
bind 10.3.1.10 template
[root@linux2:root]# arping 192.168.15.101
ARPING 192.168.15.101
60 bytes from 00:0a:01:d4:d3:6f (192.168.15.101): index=0 time=29.917 msec
60 bytes from 00:0a:01:d4:d3:6f (192.168.15.101): index=1 time=376.940 usec
--- 192.168.15.101 statistics ---
2 packets transmitted, 2 packets received,   0% unanswered
[root@linux2:root]#
                    honeyd.conf  honeyd.conf.old  nmap.assoc  nmap.prints  pf.os  xprobe2.conf

17:01:41

#cd /etc/default

# Other options are available.
# This is the default since the webserver uses
# no authentication and could potentially disclose internal
# information (and provide a remote user to edit honeyd's
# configuration).
OPTIONS="--disable-webserver"
# Remove --disable-webserver if you want
# to start up the web server. You will need to ask honeyd
# to fix the permissions of the document root.
# NOTE: You will not be able to manipulate honeyd's configuration
# unless you grant the honeyd user write permission on the
# configuration files at /etc/honeypot/
#OPTIONS="--fix-webserver-permissions"
(END)

17:02:09

#vi honeyd

17:03:05

#honeyd

Honeyd V1.5b Copyright (c) 2002-2004 Niels Provos
[warn] epoll_create: Function not implemented
honeyd[19103]: started with
honeyd[19103]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip )) and not ether src 00:04:76:a1:f2:5a
Honeyd starting as background process

17:03:11

#ps axu|grep honeyd

nobody   18852  0.0  0.5  3996 2776 ?        Ss   16:54   0:00 honeyd
nobody   19104  0.2  0.5  3996 2768 ?        Ss   17:03   0:00 honeyd
root     19114  0.0  0.0  1444  480 pts/13   S+   17:03   0:00 grep honeyd

17:03:18

#kill -9 18852

17:03:25

#kill -9 19104

17:03:30

#honeyd

Honeyd V1.5b Copyright (c) 2002-2004 Niels Provos
[warn] epoll_create: Function not implemented
honeyd[19134]: started with
honeyd[19134]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip )) and not ether src 00:04:76:a1:f2:5a
Honeyd starting as background process

17:03:33

#ps ax

  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:00 init [2]
    2 ?        S      0:00 [keventd]
    3 ?        SN     0:00 [ksoftirqd_CPU0]
    4 ?        S      0:00 [kswapd]
    5 ?        S      0:00 [bdflush]
    6 ?        S      0:00 [kupdated]
   99 ?        S      0:00 [kjournald]
  239 ?        S      0:00 [kjournald]
  240 ?        S      0:00 [kjournald]
...
11947 pts/16   Ss+    0:00 bash -i
12314 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
17973 pts/3    S+     0:00 screen -x
18037 pts/17   Ss+    0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18079 pts/17   S+     0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18080 pts/18   Ss+    0:00 bash -i
18666 ?        Ss     0:00 farpd -i eth0 192.168.15.102
19135 ?        Ss     0:00 honeyd
19142 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
19146 pts/13   R+     0:00 ps ax

17:04:33

#ps axu|grep honey

64 bytes from 192.168.15.101: icmp_seq=6 ttl=64 time=0.462 ms
Note: Host seems down. If it is really up, but blocking our ping probes, try -
P0
--- 192.168.15.101 ping statistics ---
Nmap finished: 1 IP address (0 hosts up) scanned in 0.267 seconds
6 packets transmitted, 6 received, 0% packet loss, time 5023ms
[root@linux2:root]# nmap -P0 192.168.15.101
rtt min/avg/max/mdev = 0.459/0.471/0.485/0.009 ms
[root@linux2:root]# arp -an
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-11-15 17:04 EET
...
PING 192.168.15.101 (192.168.15.101) 56(84) bytes of data.
[root@linux2:root]# nmap 192.168.15.101
64 bytes from 192.168.15.101: icmp_seq=1 ttl=64 time=0.485 ms
64 bytes from 192.168.15.101: icmp_seq=2 ttl=64 time=0.475 ms
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-11-15 17:05 EET
64 bytes from 192.168.15.101: icmp_seq=3 ttl=64 time=0.480 ms
Note: Host seems down. If it is really up, but blocking our ping probes, try -
64 bytes from 192.168.15.101: icmp_seq=4 ttl=64 time=0.459 ms
nobody   19135  0.0  0.5  3996 2776 ?        Ss   17:03   0:00 honeyd
root     19225  0.0  0.0  1444  476 pts/13   R+   17:05   0:00 grep honey

17:05:16

#kill -9 19135

17:05:21

#/etc/init.d/honeyd start

6 packets transmitted, 6 received, 0% packet loss, time 5023ms
[root@linux2:root]# nmap -P0 192.168.15.101
rtt min/avg/max/mdev = 0.459/0.471/0.485/0.009 ms
[root@linux2:root]# arp -an
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-11-15 17:04 EET
? (192.168.15.101) at 00:0A:01:D4:D3:6F [ether] on eth0
Nmap finished: 1 IP address (0 hosts up) scanned in 0.270 seconds
? (192.168.15.254) at 00:0A:01:D4:D1:39 [ether] on eth0
[root@linux2:root]# ping 192.168.15.101
? (192.168.15.1) at 00:0A:01:D4:D3:6F [ether] on eth0
...
64 bytes from 192.168.15.101: icmp_seq=1 ttl=64 time=0.485 ms
64 bytes from 192.168.15.101: icmp_seq=2 ttl=64 time=0.475 ms
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-11-15 17:05 EET
64 bytes from 192.168.15.101: icmp_seq=3 ttl=64 time=0.480 ms
Note: Host seems down. If it is really up, but blocking our ping probes, try -
64 bytes from 192.168.15.101: icmp_seq=4 ttl=64 time=0.459 ms
Starting Honeyd daemon: ERROR: Honeyd daemon will not be started unless it is configured
Please configure its configuration and then edit /etc/default/honeyd
and set the "RUN" variable to "yes" in order to allow
Honeyd daemon to start.

17:05:30

#vi /etc/default/honeyd

17:05:52

#ps ax

  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:00 init [2]
    2 ?        S      0:00 [keventd]
    3 ?        SN     0:00 [ksoftirqd_CPU0]
    4 ?        S      0:00 [kswapd]
    5 ?        S      0:00 [bdflush]
    6 ?        S      0:00 [kupdated]
   99 ?        S      0:00 [kjournald]
  239 ?        S      0:00 [kjournald]
  240 ?        S      0:00 [kjournald]
...
11946 pts/15   S+     0:00 script -f -q /root/.lilalo//275539499301286893-1163596422.script
11947 pts/16   Ss+    0:00 bash -i
12314 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
17973 pts/3    S+     0:00 screen -x
18037 pts/17   Ss+    0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18079 pts/17   S+     0:00 script -f -q /home/user/.lilalo//122122475422570454-1163601438.script
18080 pts/18   Ss+    0:00 bash -i
18666 ?        Ss     0:00 farpd -i eth0 192.168.15.102
19262 ?        S      0:00 nessusd: testing 195.184.213.1 (/var/lib/nessus/plugins/find_service2.nasl)
19290 pts/13   R+     0:00 ps ax

Статистика

Время первой команды журнала 16:41:52 2006-11-15

Время последней команды журнала 17:05:52 2006-11-15

Количество командных строк в журнале 62

Процент команд с ненулевым кодом завершения, % 11.29

Процент синтаксически неверно набранных команд, % 8.06

Суммарное время работы с терминалом ^*, час 0.40

Количество командных строк в единицу времени, команда/мин 2.58

Частота использования команд

`ps`	12	\|=================\| 17.14%
`man`	6	\|========\| 8.57%
`grep`	6	\|========\| 8.57%
`netstat`	5	\|=======\| 7.14%
`cd`	4	\|=====\| 5.71%
`vi`	4	\|=====\| 5.71%
`kill`	4	\|=====\| 5.71%
`ls`	4	\|=====\| 5.71%
`honeyd`	3	\|====\| 4.29%
`farpd`	3	\|====\| 4.29%
`ping`	2	\|==\| 2.86%
`arpd`	2	\|==\| 2.86%
`tail`	2	\|==\| 2.86%
`less`	2	\|==\| 2.86%
`apt-get`	2	\|==\| 2.86%
`farping`	2	\|==\| 2.86%
`ifconfig`	1	\|=\| 1.43%
`/etc/init.d/honeyd`	1	\|=\| 1.43%
`arping`	1	\|=\| 1.43%
`faping`	1	\|=\| 1.43%
`cp`	1	\|=\| 1.43%
`kilkl`	1	\|=\| 1.43%
`arp`	1	\|=\| 1.43%

____
*) Интервалы неактивности длительностью 30 минут и более не учитываются

Справка

Для того чтобы использовать LiLaLo, не нужно знать ничего особенного: всё происходит само собой. Однако, чтобы ведение и последующее использование журналов было как можно более эффективным, желательно иметь в виду следующее:

В журнал автоматически попадают все команды, данные в любом терминале системы.
Для того чтобы убедиться, что журнал на текущем терминале ведётся, и команды записываются, дайте команду w. В поле WHAT, соответствующем текущему терминалу, должна быть указана программа script.
Команды, при наборе которых были допущены синтаксические ошибки, выводятся перечёркнутым текстом:
$ l s-l

bash: l: command not found
Если код завершения команды равен нулю, команда была выполнена без ошибок. Команды, код завершения которых отличен от нуля, выделяются цветом.
$ test 5 -lt 4
Обратите внимание на то, что код завершения команды может быть отличен от нуля не только в тех случаях, когда команда была выполнена с ошибкой. Многие команды используют код завершения, например, для того чтобы показать результаты проверки

Команды, ход выполнения которых был прерван пользователем, выделяются цветом.

$ find / -name abc

find: /home/devi-orig/.gnome2: Keine Berechtigung find: /home/devi-orig/.gnome2_private: Keine Berechtigung find: /home/devi-orig/.nautilus/metafiles: Keine Berechtigung find: /home/devi-orig/.metacity: Keine Berechtigung find: /home/devi-orig/.inkscape: Keine Berechtigung ^C

Команды, выполненные с привилегиями суперпользователя, выделяются слева красной чертой.
# id

uid=0(root) gid=0(root) Gruppen=0(root)
Изменения, внесённые в текстовый файл с помощью редактора, запоминаются и показываются в журнале в формате ed. Строки, начинающиеся символом "<", удалены, а строки, начинающиеся символом ">" -- добавлены.
$ vi ~/.bashrc

2a3,5 > if [ -f /usr/local/etc/bash_completion ]; then > . /usr/local/etc/bash_completion > fi
Для того чтобы изменить файл в соответствии с показанными в диффшоте изменениями, можно воспользоваться командой patch. Нужно скопировать изменения, запустить программу patch, указав в качестве её аргумента файл, к которому применяются изменения, и всавить скопированный текст:
$ patch ~/.bashrc
В данном случае изменения применяются к файлу ~/.bashrc
Для того чтобы получить краткую справочную информацию о команде, нужно подвести к ней мышь. Во всплывающей подсказке появится краткое описание команды.

Если справочная информация о команде есть, команда выделяется голубым фоном, например: vi. Если справочная информация отсутствует, команда выделяется розовым фоном, например: notepad.exe. Справочная информация может отсутствовать в том случае, если (1) команда введена неверно; (2) если распознавание команды LiLaLo выполнено неверно; (3) если информация о команде неизвестна LiLaLo. Последнее возможно для редких команд.
Большие, в особенности многострочные, всплывающие подсказки лучше всего показываются браузерами KDE Konqueror, Apple Safari и Microsoft Internet Explorer. В браузерах Mozilla и Firefox они отображаются не полностью, а вместо перевода строки выводится специальный символ.
Время ввода команды, показанное в журнале, соответствует времени начала ввода командной строки, которое равно тому моменту, когда на терминале появилось приглашение интерпретатора
Имя терминала, на котором была введена команда, показано в специальном блоке. Этот блок показывается только в том случае, если терминал текущей команды отличается от терминала предыдущей.
Вывод не интересующих вас в настоящий момент элементов журнала, таких как время, имя терминала и других, можно отключить. Для этого нужно воспользоваться формой управления журналом вверху страницы.
Небольшие комментарии к командам можно вставлять прямо из командной строки. Комментарий вводится прямо в командную строку, после символов #^ или #v. Символы ^ и v показывают направление выбора команды, к которой относится комментарий: ^ - к предыдущей, v - к следующей. Например, если в командной строке было введено:
```
$ whoami
```
```
user
```
```
$ #^ Интересно, кто я?
```
в журнале это будет выглядеть так:
```
$ whoami
```
```
user
```
Интересно, кто я?

Если комментарий содержит несколько строк, его можно вставить в журнал следующим образом:

$ whoami

user

$ cat > /dev/null #^ Интересно, кто я?

Программа whoami выводит имя пользователя, под которым 
мы зарегистрировались в системе.
-
Она не может ответить на вопрос о нашем назначении 
в этом мире.

В журнале это будет выглядеть так:

$ whoami

user

Интересно, кто я?

Программа whoami выводит имя пользователя, под которым
мы зарегистрировались в системе.

Она не может ответить на вопрос о нашем назначении
в этом мире.

Для разделения нескольких абзацев между собой используйте символ "-", один в строке.

Комментарии, не относящиеся непосредственно ни к какой из команд, добавляются точно таким же способом, только вместо симолов #^ или #v нужно использовать символы #=

Содержимое файла может быть показано в журнале. Для этого его нужно вывести с помощью программы cat. Если вывод команды отметить симоволами #!, содержимое файла будет показано в журнале в специально отведённой для этого секции.

Для того чтобы вставить скриншот интересующего вас окна в журнал, нужно воспользоваться командой l3shot. После того как команда вызвана, нужно с помощью мыши выбрать окно, которое должно быть в журнале.

Команды в журнале расположены в хронологическом порядке. Если две команды давались одна за другой, но на разных терминалах, в журнале они будут рядом, даже если они не имеют друг к другу никакого отношения.
```
1
    2
3   
    4
```
Группы команд, выполненных на разных терминалах, разделяются специальной линией. Под этой линией в правом углу показано имя терминала, на котором выполнялись команды. Для того чтобы посмотреть команды только одного сенса, нужно щёкнуть по этому названию.

О программе

LiLaLo (L3) расшифровывается как Live Lab Log.
Программа разработана для повышения эффективности обучения Unix/Linux-системам.
(c) Игорь Чубин, 2004-2008

$Id$