Здравейте ,

Тези дни почиствам една машина която е била "хакната" като root достъп не е получен само са качвали разни PHP Shells. Главните сайтове НЕ са готови системи като wordpress / Joomla ...etc. Имат няколко блога които реално са били проблемни.

Какви бяха проблемите:

1. Стари Joomli от 2013г.
2. Нямаше мониторинг на услугите или на ресурсите на системата
3. Нямаше бекъп
4. Няма git/svn за сайтовете

Общо взето много трудно да разбера откъде се е шмугнал дали бот или човек.

Какво съм направил до тук:
1. Ъпдейтнах проблемн и пакети
2. Блоговете и без това не ги ползваха хората решиха да ги спрем вместо да се ъпдейват
3. настроен бекъп
4. Настроен мониторинг на услугите и за системата (CPU ,mem,disk,I/O , Apache, BIND ...etc) всичко което ми трябва да гледам .
5. rkhunter - Няма драми
6. След това започнах с  find / php файлове с различни възможности като:
 6.1 mtime , ctime за промяна по PHP файловете
 6.2 find + grep търся за определени думи за познати шелове
 6.3 find + grep тързя за eval , base64_decode
7. Проверил съм за странни потребители , портове , програми работещи на машината.
8. все още нещо съм направил което пропускам.

След като намерих няколко шела започнах да разглеждам access.log -a на Apache-to ,но не намерих нищо особено просто почистих каквото имаше.

В момента ситуацията е ,че реално ако тези шелчета са били качени от дупка(и) в съмият код на сайата ,а не на блоговете немога да бъда сигурен ,че пак няма да се случи.

Идеи :
Щях да гледам нещата с iwatch всички .php във /var/www което щеше да засмуче РАМ ,но щях веднага да хвана ако се промени PHP  - Само ,че греда   /proc/sys/fs/inotify/max_user_watches неможе да бъде променяно ,защото машината е на OpenVZ (VPS) (не съм го тествал на големи сайтове дали е ОК)

Реинстал на машината няма да помогне ,защото съм сигурен ,че няма root достъп и всичко е в /var/www/ и като кача пак сайтовете всичко ще си остане.

Мисля да настроя един tripwire с определни правила за PHP файловете.

В момента машината може да понесе натоварване важното е да разбера откъде са влезнали. Ако е човек ще влезне пак ако е бот все някога пак ще удари същото място.

Немога да седна да гледам кода на всички сайтове ред по ред ,но мога да хвана поне как влизат ,за да прегледам точно определени файле.

Общо взето ситуации всякакви главният въпрос е.... някакви идеи какво още да се направи.

Здравейте ,

Имам следната топология няколко сървъра обслужват сайт отделно mysql ,memcache ,flash ,web .

Досегашна топология

Client ----> haproxy ---> web ---> memcache
                                     web2--> memcache
                                     web3--> memcache

web , web2 ,web3 са Apache servers

в момента имам идея да минат всичките на Nginx ,но проблема идва от това ,че все още доколкото съм запознат nginx неможе да сработва с Cookies а Haproxy ползва точно това.

Идеята ми е някой дали е правил nginx load balancer (reverce proxy) защото искам да оптимизирам сървърите и да разкарам апачетата.

Поздрави

[Примерен код]

The situation is this.
Gentoo servers 2.6.22 kernels here we use apache1.3 php4.4.4 ######
server1 --- Haproxy + web
server2 --- Web
server3 --- Memcached
server4 --- mysql
###### Debian servers 2.6.24 kernel apache2 php5 ###
New server --- Web

#######################################
ПОлзваме прокси което да е баланс между 2-ва WEB сега се опитваме да вкараме нов сървър и да станат 3 WEB-a ,но явно мемкеш се издънва на новия съвръв вървеше apache2 php5 след това DOWNGRADE то apache1.3 php4.4.4 компилирах и memcache client-a на ръка пробвахме с 3-ри версии 1.3х ,2.0 и3.0
смених и кърнала от 2.6.24 на 2.6.25 ,но проблема си седи
Here the haproxy.conf
Code:

Примерен код

global         log 127.0.0.1   local0         log 127.0.0.1   local1 notice         #log loghost    local0 info         #debug         #quiet         user nobody         group nobody defaults         mode    http         option  httplog         option  dontlognull         #2x exp         option          abortonclose         option          redispatch         retries 10         maxconn 2048         contimeout      5000         clitimeout      50000         srvtimeout      50000 listen Ferm IP:80         mode http         stats enable         stats auth user:passs1sds         stats hide-version         stats scope   .         stats uri     /load?stats         stats realm   Statistics         stats refresh 5s         balance roundrobin #       cookie SID prefix         cookie JSESSIONID prefix #       cookie SERVERID insert indirect         option httpclose         option forwardfor #       option persist         option httpchk HEAD http://x.x.x.x/check.txt HTTP/1.0         server a    server3 cookie D check inter 10000 backup #        server b  Newserver   cookie C weight 50 minconn 10 maxconn 600 check inter 1000         server c server1     cookie A weight  10 minconn 40 maxconn 600 check inter 1000         server d  server2   cookie B weight  20 minconn 30 maxconn 600 check inter 1000         redispatch

Memcached start with :

Code:

Примерен код

/usr/bin/memcached -d -p 11211 -l x.x.x.x -m 4096 -c 20480 -u memcached -P /var/run/memcached/memcached-11211.pid

Това се връща от MEMCACHED..

Примерен код

<8 set fail1210688324 0 0 7 <7 set fail1210688327 0 0 7 <11 set fail1210688335 0 0 7 <11 set fail1210688338 0 0 7 <9 set fail1210688345 0 0 7

Доколкото разбирам проблема идва от мемкеш
1.Клиента си кликва
2.Проссито разпределя заявките и отива примерно към НОВИЯ сървър т
3.Сървъра преда на МЕМКЕШ сървъра който е на друга машина
4.Мемкеша му връща грешка
5.Клиента не взима данните от мемкеш-а и започва да рови из БАЗАТА ДАННИ след 10-15 мин като се натрупат достатъчно клиенти базата явно неможе да смогне и сървъра вдига 30 лоад

Идеи ....

Greetings

[Примерен код]

The situation is this.
Gentoo servers 2.6.22 kernels here we use apache1.3 php4.4.4 ######
server1 --- Haproxy + web
server2 --- Web
server3 --- Memcached
server4 --- mysql
###### Debian servers 2.6.24 kernel apache2 php5 ###
New server --- Web

#######################################
ПОлзваме прокси което да е баланс между 2-ва WEB сега се опитваме да вкараме нов сървър и да станат 3 WEB-a ,но явно мемкеш се издънва на новия съвръв вървеше apache2 php5 след това DOWNGRADE то apache1.3 php4.4.4 компилирах и memcache client-a на ръка пробвахме с 3-ри версии 1.3х ,2.0 и3.0
смених и кърнала от 2.6.24 на 2.6.25 ,но проблема си седи
Here the haproxy.conf
Code:

Примерен код

global         log 127.0.0.1   local0         log 127.0.0.1   local1 notice         #log loghost    local0 info         #debug         #quiet         user nobody         group nobody defaults         mode    http         option  httplog         option  dontlognull         #2x exp         option          abortonclose         option          redispatch         retries 10         maxconn 2048         contimeout      5000         clitimeout      50000         srvtimeout      50000 listen Ferm IP:80         mode http         stats enable         stats auth user:passs1sds         stats hide-version         stats scope   .         stats uri     /load?stats         stats realm   Statistics         stats refresh 5s         balance roundrobin #       cookie SID prefix         cookie JSESSIONID prefix #       cookie SERVERID insert indirect         option httpclose         option forwardfor #       option persist         option httpchk HEAD http://x.x.x.x/check.txt HTTP/1.0         server a    server3 cookie D check inter 10000 backup #        server b  Newserver   cookie C weight 50 minconn 10 maxconn 600 check inter 1000         server c server1     cookie A weight  10 minconn 40 maxconn 600 check inter 1000         server d  server2   cookie B weight  20 minconn 30 maxconn 600 check inter 1000         redispatch

Memcached start with :

Code:

Примерен код

/usr/bin/memcached -d -p 11211 -l x.x.x.x -m 4096 -c 20480 -u memcached -P /var/run/memcached/memcached-11211.pid

Това се връща от MEMCACHED..

Примерен код

<8 set fail1210688324 0 0 7 <7 set fail1210688327 0 0 7 <11 set fail1210688335 0 0 7 <11 set fail1210688338 0 0 7 <9 set fail1210688345 0 0 7

Доколкото разбирам проблема идва от мемкеш
1.Клиента си кликва
2.Проссито разпределя заявките и отива примерно към НОВИЯ сървър т
3.Сървъра преда на МЕМКЕШ сървъра който е на друга машина
4.Мемкеша му връща грешка
5.Клиента не взима данните от мемкеш-а и започва да рови из БАЗАТА ДАННИ след 10-15 мин като се натрупат достатъчно клиенти базата явно неможе да смогне и сървъра вдига 30 лоад

Идеи ....

Greetings

Здравейте колеги,

Имам запитване от някой който е инсталирал наведнъж повече от 10 машини.Дотук какво съм правил
1.Преинтсалиране не само на линукс и на Уиндолс с partimage работи
има едно SystemRescueCd с което може да се буутне и да се възвърне чисто конфигуриран имейдж .
2.Netboot инсталация по мрежата видях ,че има и auto mode ,но не съм го тествал.

Искам да инсталирам една машина да е настроя след това да клонирам същита конфигурация на поне 10 машини през netboot BIOS някъкви идеи и предложения (:
Машините ще са еднакви и може да закачам примерно по 4-5 диска на една машина и да клонирам ,но искам да го направя всичко това по мрежата .

Някъкви идеи и предложения освен тези които може би ще ползвам

Поздрави

Здравейте колеги,

ОS:Debian testing
X:  Gnome 2.18.3

От доста време се търся нещо подобно на Apple Remote Desktop , Windows VNCscan , Net control 2 ,

 Тоетс идеята е да имам софтуер където мога да виждам повече от 2-ва клиента декстопите примерно имам 50 ПЦ-та искам да мога да виждам в реално време 4-ри какво точно правят.

Имам над 50 макинтоша и с тях е лесно ,но идеята е ,че се конетктвам през моя линукс към друг макинтош посредством VNC server инсталиран на този MAC и от него контролирам маковете.Искам от моя Линукс десктоп да виждам $indows машините като на тях ще сложа VNC servers (real,ultra, ... ).
Мерси на отзовалите се предварително.

Поздрави

Здравейте колеги,

ОS:Debian testing
X:  Gnome 2.18.3

От доста време се търся нещо подобно на Apple Remote Desktop , Windows VNCscan , Net control 2 ,

 Тоетс идеята е да имам софтуер където мога да виждам повече от 2-ва клиента декстопите примерно имам 50 ПЦ-та искам да мога да виждам в реално време 4-ри какво точно правят.

Имам над 50 макинтоша и с тях е лесно ,но идеята е ,че се конетктвам през моя линукс към друг макинтош посредством VNC server инсталиран на този MAC и от него контролирам маковете.Искам от моя Линукс десктоп да виждам $indows машините като на тях ще сложа VNC servers (real,ultra, ... ).
Мерси на отзовалите се предварително.

Поздрави

Здравейте колеги,
Хардуер:

Model MB: ASUS P5LD2-VH DH
PCI-E   : 3ware RAID 9650SE 4 ports

Нещо много странно ми се случва с една машина
Един така наречен компютър с Ubuntu Server 7.04 kernel 2.6.20 чисто нова инсталация ми прави проблеми при рестартиране.
Когато напиша "reboot" or "shutdown -r now" машинта се рестартира и в момента когато ОС е спрял и трябва да тръгне BIOS-a заспива просто все едно е в Sleep режим вентилаторите и въртят ,но не тръгва повече.
Zdraveite kolegi,

Какво направих ,за да се опитам да реша проблема.
1.BIOS update до последна версия
2.ACPI настройки на BIOS
3.ACPI modes от Linux kernel ---> pci=noacpi
4.Пуснахл LIVE CD и се опитам да рестартирам и проблема си остана
5.Махнах 3ware контролера и пак пробвах с LIVE CD ,но машината пак заспива.
6.Разкачих всякакъв друг хардуер.
7.Помислих ,че може да се бърка с IRQ-тата и зададах ръчно настройките на PCI-e слота ,но уви.

Някъкви идеи

Благодаря предварително

Здравейте колеги,
Хардуер:

Model MB: ASUS P5LD2-VH DH
PCI-E   : 3ware RAID 9650SE 4 ports

Нещо много странно ми се случва с една машина
Един така наречен компютър с Ubuntu Server 7.04 kernel 2.6.20 чисто нова инсталация ми прави проблеми при рестартиране.
Когато напиша "reboot" or "shutdown -r now" машинта се рестартира и в момента когато ОС е спрял и трябва да тръгне BIOS-a заспива просто все едно е в Sleep режим вентилаторите и въртят ,но не тръгва повече.
Zdraveite kolegi,

Mnogo stranno neshto mi se sluchi.
 Edin taka narechen server s Ubuntu Server 7.04 kernel
2.6.20
 mi pravi problemi instalaciqta e chisto nova i eto kakvo se
sluchva.
 sled kato napisha "reboot" or "shutdown -r now" mashinata se
 restartira, no ne normalno spira i neshte da tragne poveche
 prosto vse edno se resva no kato trqbva da tragne BIOS-a ne
 shte i e nujno HARDWARE reset button inache sedi kato v
SLEEP rejim.
Какво направих ,за да се опитам да реша проблема.
1.BIOS update do posledna versiq
2.ACPI nastroiki ot BIOS
3.ACPI modes ot Linux kernel ---> pci=noacpi
4.Пуснахл LIVE CD и се опитам да рестартирам и проблема си остана
5.Махнах 3ware контролера и пак пробвах с LIVE CD ,но машината пак заспива.
6.Разкачих всякакъв друг хардуер.
7.Помислих ,че може да се бърка с IRQ-тата и зададах ръчно настройките на PCI-e слота ,но уви.

Някъкви идеи

Благодаря предварително

[!!Embedded Server RAID Technology II on server boards enabled for S5000 (ESB2) SATA]

Здравейте клеги,

Искам помощ за тази кофигурация за Debian adm64:

MB:INTEL S5000PAL
CPU: Intel, процесор, quad-Core Xeon E5320 (box)-
1.86GHz/8192k/Quad-Core Xeon E532
Server INTEL SR2500AL (Rack-Mountable i5000P iXeon (S771) INSR2500ALBRP

MEMORY: KEKVR667D2D4F52G Kingston, памет, DDR2 SDRAM/2048MB 667MHz(PC2-5300) DIMM 240p
HDD: ST3500630NS Seagate, твърд диск,500GB/7200RPM/Serial ATA II-300/16MB


!!Embedded Server RAID Technology II on server boards enabled for S5000 (ESB2) SATA

Това ми е големият проблем.
What I do fist time:
1.Enable RAID via BIOS

2.Configure RAID massive from RAID menu (after BIOS <ctrl+e> entering BIOS menu) .Използвам RAID 10.



3.Инсталирах Debian custom iso with kernel-2.6.18-2-amd64 и всичко си го хваща и работи ,но RAID-а не тръгва .Пуснах ръчно модула ata_piix и libata но ефект никакъв.

4.RAID info for linux

Package Information
================
Driver Version = 06.06.0728.2006-1
OS supported = RHEL3U6-U7, RHEL4U2-u3, SLES9SP2-SP3; (both x86 & x64 versions for these OS versions)

====================
Attention!
====================
This driver is intended for use with Software RAID options (Embedded Server RAID Technology II) on server boards enabled for S5000 (ESB2) SATA and LSI1064e/1068 SAS RAID 0/1/10. This driver is not compatible with the SRCSAS18E, SRCSAS144E, SROMBSAS18E, SRCU42X, SRCU42E, SRCZCRX, SRCS28X, SRCS16, SRCU41L, SRCU21, SRCU31, SRCU31L, SRCMR, SRCZCR, SRCU32, SRCU42L, or SRCS14L RAID controllers.

This driver does not support Software RAID 5.

SLES9 DUD installation update. SuSE91 YAST installer executes update. Now user need not press CTRL+ALT+F2 and run the script manually at the end of the installation process. Installation documents for SLES9 and SLES9-x64 are modified to reflect this change.


Не искам да ползвал тези дистрибуции RH or SUSE
Ако не намеря отг. до няколко дни мисля да сложа freeBSD 6.2

Some ideas or suggestions.
   
Thanks for support.

Greetings
V.Hristev

Здравейте колеги,
Избрал съм тази машина и търся съвет или предложение

                                    MB:S5000PAL   MB Server 2xSocket-771 INTEL i5000P
 (FSB 1333MHz,8DDR II SDR,VGA,2xGbitLAN,Serial ATA II/300-RAID)

Mem 2x : KVR667D2D4F5/2GI       2GB 667MHz DDR2 ECC Fully Buffered CL5 DIMM Dual Rank, x4 Intel      

HDD 6х : SEAGATE (500GB 7200rpm 16MB cache Serial ATA II-300)               

CPU 2х : Server Dual-Core Xeon 5140 2.33GHz (1333MHz,4MB,Woodсrest,S771) Passive Heatsink, box

Chassis: INTEL SR2400, 2U Rack-Mountable, 3, LED Panel, PSU installed 700W, Black      

                                 
В момента съм подбрал тази машина и се чудя каква ОС да и сложа засега съм се спрял на Debian AMD64 имам един изпитан върви без никъкви забележки.
Сега се замислих и за Ubuntu-Server имам още една малко по слаба машина ,която също върви без грешка и доста ми харесва,защото Ubuntu си е x86_64 ,а Debian IA-64 е за Itanium процесори и сега съм малко под дилема какво да сложа.
Някой ако има да даде съвет или идея за 64-вите кое по-добре да сложа.
Навремето Gentoo мислех да слагам ,но така и не го сложих.                             
Благодаря за отделеното време и съвети
В.Христев

Здравейте колеги,
Избрал съм тази машина и търся съвет или предложение

                                    MB:S5000PAL   MB Server 2xSocket-771 INTEL i5000P
 (FSB 1333MHz,8DDR II SDR,VGA,2xGbitLAN,Serial ATA II/300-RAID)

Mem 2x : KVR667D2D4F5/2GI       2GB 667MHz DDR2 ECC Fully Buffered CL5 DIMM Dual Rank, x4 Intel      

HDD 6х : SEAGATE (500GB 7200rpm 16MB cache Serial ATA II-300)               

CPU 2х : Server Dual-Core Xeon 5140 2.33GHz (1333MHz,4MB,Woodсrest,S771) Passive Heatsink, box

Chassis: INTEL SR2400, 2U Rack-Mountable, 3, LED Panel, PSU installed 700W, Black      

                                 
В момента съм подбрал тази машина и се чудя каква ОС да и сложа засега съм се спрял на Debian AMD64 имам един изпитан върви без никъкви забележки.
Сега се замислих и за Ubuntu-Server имам още една малко по слаба машина ,която също върви без грешка и доста ми харесва,защото Ubuntu си е x86_64 ,а Debian IA-64 е за Itanium процесори и сега съм малко под дилема какво да сложа.
Някой ако има да даде съвет или идея за 64-вите кое по-добре да сложа.
Навремето Gentoo мислех да слагам ,но така и не го сложих.                             
Благодаря за отделеното време и съвети
В.Христев

Имам следната ситуация:
Сървър с Apache Php Mysql искам ако евентуално дъното му спре работата да се прехвърли на другия сървър и той да се явава като Slave просто да чака при евентуален проблем.Това ми е ясно как може да стане ако е рутер ,но нямам идея как да направя за Mysql-a.

Mysql-a искам да работи в mirror режим и нямам идея дори за какво да чета ,за да го направя.Apacheto върши цялата работа (с PHP ) и се запазва в базата затова ми трябва тя да е с минимални загуби (да кажем дори без загуби).
Ако има някой как става просто да подхвърли ,за да започна тестовете мерси.

Значи имам сървър на MAC OS X SERVER с конфигураран и работещ Open Directory + LDAP идеята ми е да направя така ,че LDAP да взима паролите от друга машина (Mail server || Linux Slackware) ,за да могат клиентите да влизат в профилите с паролите си от пощата има ли такова нещо да се направи защото търсих и неможах да намера решение.Как мога да направя /etc/shadow /etc/passwd да се сработат с LDAP.
Трябва ми някъква насока или прото идея.

Мерси

Хора имам нужда от помощ опитвам се да настроя проксито (
 Squid 2.5.STABLE9) да работи като спира .mp3 .avi и т.н.
 изчетах какво ли не,но не можах да го пусна слагах всякакви
 различни ACL -и и т.н. четах и статиите които са тук и доста
други,но не си намирам грешката ето част от ACL-tata mi.

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl clasematutina src 192.168.0.0/255.255.255.0
acl musica urlpath_regex \.mp3$    
acl localnet src 192.168.0.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow clasematutina !musica
http_access allow manager localhost
http_access allow localnet
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

 При конфига ли ми трябва нещо или какво вече нямам и идеи
мерси за отзовалите се.

Distro: Debian Stable kernel-2.6.14

Правил съм го на 2-ве различни машини и 2-те дебиан стабилни
 версии.Едната съм го компилирал на другата е от пакет в
момента говоря за компилираното от сорса SQUID.

Еми за компилирането съм компилирал това
--enable-gnuregex --enable-arp-acl .

Какви ли не неща не се опитах да направя,но не става.
 Ако някой бъде така добрър да каже какво е нужно,за да
 тръгне  и как да бъде конфигорирано без да използвам
GuardSquid Мерси. Пример:
1. ./configure с опцията XXXX
2. acl-тата да са описани така ...
3. restart на проксито и пробване на конфигурацията