Skip to content

如何禁止npre连接日志输出到/var/log/message中

nrpe 会在messages中留下大量连接记录,影响日志阅读
我的nrpe以daemon方式运行

/opt/nagios/bin/nrpe -c /opt/nagios/etc/nrpe.cfg -d

tail /var/log/messages

Jul 19 14:04:22 C1gstudio sshd[20749]: Connection closed by 122.111.222.111 [preauth]
Jul 19 14:09:22 C1gstudio sshd[21056]: Connection closed by 122.111.222.111 [preauth]

查看ssh当前的日志记录方式默认为 auth.info
cat /etc/ssh/sshd_config

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

修改ssh日志输出
vi /etc/syslog.conf

*.info;mail.none;authpriv.none;cron.none; /var/log/messages
#在尾部添加!auth.info 不再将ssh记录输出到/var/log/messages
*.info;mail.none;authpriv.none;cron.none;auth.!=info /var/log/messages
#新增一行,将ssh日志输出到/var/log/sshd
auth.* /var/log/sshd

重新载入syslog服务
/etc/init.d/syslog reload

查看修改后效果
tail -f /var/log/messages /var/log/sshd

ssh的连接日志会保存在/var/log/sshd中,nrpe本身的启动等日志还是在/var/log/messages中

2012-08-01更新=============
/etc/syslog.conf中应为;auth.!=info不是;!auth.info
可以用logger测试
logger -p auth.info “hello”

Posted in Nagios, 技术, 日志.

Tagged with , , .

rev="post-1530" No comments

By C1G 2012/07/19

linux系统日志没有轮询引起入侵误报

logwatch报告中显示昨天有SSH账号登录并执行了一些维护命令,想想真奇怪这黑客具然上来维护系统.

查看了下最近并没有登录记录
tail -n100 /var/log/secure

注意到/var/log目录下日志文件很大,并且没有.x的轮询文件
ll /var/log

搜索日期确实有登录记录,原来日志中没有记录年份,因为日志没轮询把去年的登录记录当成是昨天的了
cat /var/log/secure |grep ‘Jul 16’

手动运行下logrotate
/etc/cron.daily/logrotate
提示没有uucp这个用户,执行失败(uucp用户之前手功删了)

删除uucp日志后就能正常运行
rm /etc/logrotate.d/uucp

Posted in linux 维护优化, 日志.

Tagged with , .

rev="post-1528" No comments

By C1G 2012/07/17

如何快速解决linux只读系统 Read-only file system

io频繁的系统可能经常会出现分区不可写的情况,用fsck修复

1.查看有多少分区入格式
cat /etc/fstab
/dev/VolGroup00/LogVol03 /opt ext3 defaults 1 2

2.在每个分区下测试能否写入
cd /opt
touch x
touch: cannot touch `x’: Read-only file system

3.手动修复/opt分区
fsck前分区要先卸载
umount /opt
遇到系统忙可以使用fuser
fuser -mk /opt

以ext3格式修复
fsck -t ext3 /opt

再重新挂载分区就可以写入了
mount /opt

ps:
不修复直接以读写方式重新挂载分区
mount -o rw,remount /opt

系统重启时会自动执行fsck的操作

建议/var 目录单独分区

Posted in linux 维护优化.

Tagged with , .

rev="post-1526" No comments

By C1G 2012/07/17

Nagios XI跨站脚本执行和HTML注入漏洞

漏洞版本:

Nagios XI 2011R1.9
Nagios XI
漏洞描述:

Nagios是一款免费开放源代码的主机和服务监视软件,可使用在多种Linux和Unix操作系统下。

Nagios XI 2011R1.9在过滤用户提供的输入时存在安全漏洞,攻击者可利用此漏洞在受影响浏览器中执行HTML和脚本代码,窃取Cookie身份验证凭证或控制站点外观。

安全建议:

厂商补丁:

Nagios
——
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.nagios.org/

来源:
http://sebug.net/vuldb/ssvid-60254

Posted in 安全通告.

Tagged with , .

rev="post-1523" No comments

By C1G 2012/07/05

WordPress 3.x 信息泄露及非法操作漏洞;discuz!x2.5发布R20120701更新补丁

WordPress
WordPress 3.4.1之前版本在处理XMLRPC请求时对用户检查过程中存在错误,可导致信息泄露和非法编辑公告操作。
http://wordpress.org/news/2012/06/wordpress-3-4-1/

Discuz! X2.5 R20120701
更新记录

+======================================+
Discuz! X2.5 正式版 20120701
+======================================+
FIX 修改 JS响应的事件
FIX QQ群:缩小url长度
FIX 群组二级域名设置为空值时没有清空缓存表数据
ADD 添加个人空间域名最大长度为15的说明
ADD 处理分类信息添加分类信息标题

FIX 处理分类信息为array格式
FIX 用户组、版块的插件变量设置修复
ADD 增加手机客户端白名单版本号兼容程序
FIX 修正文章及日志里斜体字失效的问题
FIX x2.5分支对forumnav的管理员主题分类的过滤

FIX 中文无法注册的字符集问题
FIX x2.5分支对看帖分类信息的兼容
FIX 设置script标签src中返回内容的ContentType为text/javascript
FIX 关联链接 PHP模式下兼容<script 标签
FIX 回复点评只显示1条

FIX 注册服务条款显示格式问题
FIX 主题查看数在开启缓存帖子时不定期自动重置为1的问题
FIX 关闭积分奖励时不显示提示
FIX 修正其他配色的快速发帖按钮问题
FIX 同库多论坛兼容性

FIX 语言包代码错误
FIX 分类信息编辑时选择框不显示问题
FIX 前台管理中已经审核通过文章,后台还是提示审核的问题
FIX 修复 没有选择频道发布文章时附件上传提示上传失败的问题
FIX 修正支付宝切换时,修改获取PID参数

FIX 分类信息主题 数值型不能显示0
FIX 修复QQ互联暴露匿名帖用户信息的问题
FIX 关于回帖后再次编辑出现回复标签不解析问题
FIX 修正 IE6 下自适应宽度的侧边问题
FIX DIY 某些情况下调取置顶帖或精华帖子失效的问题

FIX 修正DB改造成引统计错误
FIX 修正面包屑导航链接错误的BUG
FIX 帖子阅读权限修改问题
FIX 后台审核删除帖子回收站里搜索不到
FIX 专题模块可使用字段说明文字错误

FIX 移动帖子时选择保留转向,手机版访问时出错 fix
FIX 处理由存档表之类引起的数据不准造成分页可能存在问题的兼容处理
FIX 关于专题评论后的伪静态链接错误问题。

http://www.discuz.net/thread-2744369-1-1.html

Posted in 安全通告.

Tagged with , .

rev="post-1517" No comments

By C1G 2012/07/04

linux下如何查看网卡mac地址

正常情况下网卡已启用,可以用命令查看到

ifconfig -a
ip addr show
arp

网卡没启用时,通过网卡配置文件来查看

cat /etc/sysconfig/network-scripts/ifcfg-eth0

网卡配置文件没有正确生成时

cat /sys/class/net/eth0/address

双网卡绑定时查看mac

cat /proc/net/bonding/bond0

Posted in Linux 命令.

Tagged with , .

rev="post-1513" No comments

By C1G 2012/07/03

sourceforge 上如何使用shell

SourceForge.net,又称SF.net,是开源软件开发者进行开发管理的集中式场所,也是全球最大开源软件开发平台和仓库,提供cvs,svn,git.用下来比github.com爽很多.

首先注册SF账号,并开通一个项目。

创建shell权限

ssh -t USER,[email protected] create

登录shell

ssh [email protected]

PuTTY SSH client

Session Host Name: “shell.sourceforge.net”
Session Connection Type: “SSH”
Connection > SSH Remote command: “create”
Connection > Data Auto-login username: “USER,PROJECT”

下次连接时去掉 Remote command和Auto-login username。

另支持SSH Key Authentication认证, rsync ,sftp

sf上用的系统为centos5.6

[c1g@shell-22002 ~]$ cat /etc/issue.net
CentOS release 5.6 (Final)
Kernel \r on an \m

项目对外下载目录,lempelf是我的项目名
/home/frs/project/lempelf/

ll /home/
total 40
drwxr-xr-x 3 root root 4096 Jun 20 06:37 frs
drwxr-xr-x 3 root root 4096 Jun 20 06:37 git
drwxr-xr-x 4 root root 4096 Jun 20 06:37 logs-project-web
drwxr-xr-x 3 root root 4096 Jun 20 06:37 logs-user-web
drwxr-xr-x 5 root root 4096 Jun 20 06:37 project-web
drwxr-xr-x 6 root root 4096 Jun 20 06:37 scm_bzr
drwxr-xr-x 6 root root 4096 Jun 20 06:37 scm_git
drwxr-xr-x 6 root root 4096 Jun 20 06:37 scm_hg
drwxr-xr-x 3 root root 4096 Jun 20 06:37 user-web
drwxr-xr-x 3 root root 4096 Jun 20 06:37 users

需要发布大文件时可以直接下载后发布

cd /home/frs/project/lempelf/
wget http://xxx.com/lemelf.tar.gz

用scp直接传

scp lempelf.tar.gz [email protected]:/home/frs/project/lempelf/

参考:
https://sourceforge.net/apps/trac/sourceforge/wiki/Shell%20service

Posted in 项目管理.

Tagged with , .

rev="post-1502" 2 comments

By C1G 2012/06/20

redhat使用centos yum源

# cat /etc/issue.net
Red Hat Enterprise Linux Server release 5.4 (Tikanga)
Kernel \r on an \m

#yum update
Loaded plugins: rhnplugin, security
This system is not registered with RHN.
RHN support will be disabled.

1.卸载rhel的默认安装的yum包

查看yum包
rpm -qa|grep yum

卸载之
rpm -qa|grep yum|xargs rpm -e –nodeps

2.下载新的yum包 32位
mkdir yum
cd yum
wget http://centos.ustc.edu.cn/centos/5/os/i386/CentOS/yum-3.2.22-39.el5.centos.noarch.rpm
wget http://centos.ustc.edu.cn/centos/5/os/i386/CentOS/yum-fastestmirror-1.1.16-21.el5.centos.noarch.rpm
wget http://centos.ustc.edu.cn/centos/5/os/i386/CentOS/yum-metadata-parser-1.1.2-3.el5.centos.i386.rpm

安装
rpm -ivh yum-*

3.下载yum的配置源
cd /etc/yum.repos.d
wget http://mirrors.163.com/.help/CentOS5-Base-163.repo
yum makecache

Posted in LINUX.

Tagged with .

rev="post-1499" No comments

By C1G 2012/06/15

Microsoft Windows远程桌面协议对象处理漏洞 (MS12-036)

发布时间: 2012-06-13
漏洞版本:

Microsoft Windows XP
Microsoft Vista
Microsoft Server 2008
Microsoft Windows 7
Microsoft Server 2003
漏洞描述:
此安全更新可解决远程桌面协议中一个秘密报告的漏洞。如果攻击者向受影响的系统发送一系列特制的 RDP 数据包,此漏洞可能允许远程执行代码。默认情况下,任何 Windows 操作系统都未启用远程桌面协议 (RDP)。没有启用 RDP 的系统不受威胁。

对于 Windows Server 2003 和 Windows Server 2008 的所有受支持版本、Windows 7 Service Pack 1(用于 32 位系统)和 Windows 7(用于基于 x64 的系统)以及 Windows Server 2008 R2 的所有受支持版本,此安全更新的等级为“严重”。对于 Windows XP 和 Windows Vista 的所有受支持版本以及 Windows 7(用于 32 位系统)和 Windows 7(用于基于 x64 的系统),此安全更新的等级为“中等”。有关详细信息,请参阅本节中“受影响和不受影响的软件”小节。

此安全更新通过修改远程桌面协议处理内存中数据包的方式来解决漏洞.

临时解决方法:

如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:

* 禁用“终端服务”、“远程桌面”、“远程协助”、Windows Small Business Server
2003 RWW功能。

* 在防火墙阻止TCP端口3389

厂商补丁:

Microsoft
———
Microsoft已经为此发布了一个安全公告(MS12-036)以及相应补丁:

MS12-036:Vulnerability in Remote Desktop Could Allow Remote Code Execution (2685939)

链接:http://www.microsoft.com/technet/security/bulletin/MS12-036.asp

<* 参考 http://secunia.com/advisories/49384/
http://www.microsoft.com/technet/security/bulletin/MS12-036.asp
http://sebug.net/vuldb/ssvid-60210

Posted in 安全通告.

Tagged with , , .

rev="post-1496" No comments

By C1G 2012/06/15

PHP源代码安全漏洞自动化挖掘工具RIPS

RIPS是一个用php编写的源代码分析工具,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞。渗透测试人员可以直接容易的审阅分析结果,

而不用审阅整个程序代码。由于静态源代码分析的限制,漏洞是否真正存在,仍然需要代码审阅者确认。RIPS能够检测XSS, SQL注入, 文件泄露,Header Injection漏洞等。

官方网站:http://rips-scanner.sourceforge.net/
目前最新版为rips-0.53.zip



使用方法:
下载后解压到web目录,然后访问此目录,输入需检测的路径(/var/www/web1)后提交

Posted in 安全.

Tagged with , , .

rev="post-1492" No comments

By C1G 2012/06/14