Jesus Aneiros Sosa escribio:
> On Mon, 29 Aug 2005, Roberto Bonvallet wrote:
> >
> > for line in file("xaa"):
> > if not line.find("is taked") >= 0:
> > print line
>
> En mi ultimo vistazo a Python habia que compilar explicitamente las RE.
> Puaf!
El método find no recibe una RE sino un substring. De todas maneras,
puedes usar REs sin compilarlas:
re.match(r"\d{7,8}-[0-9k]", mi_hermoso_string)
aunque yo encuentro más legible compilarlas primero, para poder
referirse a ellas de manera más clara:
rut = re.compile(r"\d{7,8}-[0-9k]")
...
rut.match(mi_hermoso_string)
El código queda mucho más claro cuando las REs son monstruosas. En perl
también se puede:
$http_header = qq(EXPRESION KILOMÉTRICA PARA CALZAR HTTP);
...
$mi_hermoso_string ~= /$http_header/;
Lamentablemente la mayoría prefiere salpicar el código con expresiones
regulares ilegibles.
...pero me parece que nos hemos alejado bastante del tema original.
--
Roberto Bonvallet
From [EMAIL PROTECTED] Mon Aug 29 15:18:55 2005
From: [EMAIL PROTECTED] (Roberto Bonvallet)
Date: Mon Aug 29 15:18:51 2005
Subject: Eliminar linea de un archivo similar a comando GREP
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Jesus Aneiros Sosa escribio:
> On Sun, 28 Aug 2005, Horst von Brand wrote:
> >
> > incluso mas, es simplemente el comando obvio para la tarea entre manos,
> > solo que dado de forma ligeramente inusual.
>
> Obvio dice ud!!?? "Ud sabe" que eso no es filosofia UNIX: cada herramienta
> para una funcion bien determinada y cada herramienta pequena y lo mas
> simple posible.
Insisto. A la hora de hacer una tarea sencilla, lo más corto e
inmediato es lo que vale, aunque no sea bonito ni comulgue con una u
otra filosofía. El resto es talibanismo improductivo.
--
Roberto Bonvallet
From [EMAIL PROTECTED] Mon Aug 29 15:30:32 2005
From: [EMAIL PROTECTED] (Eduardo Quiroz)
Date: Mon Aug 29 15:28:17 2005
Subject: no puedo logearme en X con FC4
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Arturo Mardones escribió:
>On 8/29/05, Horst von Brand <[EMAIL PROTECTED]> wrote:
>
>
>>Arturo Mardones <[EMAIL PROTECTED]> wrote:
>>
>>[...]
>>
>>
>>
>>>Dsps de googlear mucho encontre que alguien tenia problemas con
>>>permisos del directorio tmp... revise y los mios y eran 755 con dueño
>>>root, hice un chmod ga+w /tmp -R y se soluciono... ahora lo raro es pq
>>>no tenia esos permisos el directorio tmp es raro no?
>>>
>>>
>>Si /tmp es una particion aparte, eso puede pasar si no se monto (quedas
>>viendo los permisos del directorio "debajo", no lo montado "encima"). Eso
>>puede pasar porque fallo fsck(8) (aunque seria raro, deberia no llegar a
>>ofrecer login en tal caso), se chan~o /etc/fstab (disteclia?), root que
>>cambia permisos a tontas y locas (y a la pasada se pitea los de /tmp, y
>>quien sabe que mas) y pocas otras cosas que se me ocurren ahora. Cuidado,
>>/tmp con permisos equivocados es un riesgo de seguridad bastante serio. Los
>>permisos correctos de /tmp, /var/tmp y similares los da:
>>
>> chown root:root /tmp
>> chmod a=rwx,t /tmp # para octalianos: chmod 1777 /tmp
>>
>>En todo caso, permisos raros en areas como esa me encienden todas las
>>alarmas, huele a sintoma de jaquel incompetente que se te colo a root.
>>
>>
>
>rayos...!.... y como puedo saber si es efectivamente eso? usando el
>chroot... o algo asi q se llamaba???...
>
>
>
>
chrootkit
From [EMAIL PROTECTED] Mon Aug 29 16:45:49 2005
From: [EMAIL PROTECTED] (Horst von Brand)
Date: Mon Aug 29 16:43:34 2005
Subject: no puedo logearme en X con FC4
In-Reply-To: Your message of "Mon, 29 Aug 2005 14:49:46 -0400."
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Arturo Mardones <[EMAIL PROTECTED]> wrote:
> On 8/29/05, Horst von Brand <[EMAIL PROTECTED]> wrote:
> > Arturo Mardones <[EMAIL PROTECTED]> wrote:
[...]
> > En todo caso, permisos raros en areas como esa me encienden todas las
> > alarmas, huele a sintoma de jaquel incompetente que se te colo a root.
> rayos...!.... y como puedo saber si es efectivamente eso? usando el
> chroot... o algo asi q se llamaba???...
chkrootkit y similares. Busca info sobre rootkits, te espantaras de lo que
se puede hacer.
Bootear el sistema con un LiveCD como INSERT (CD "tarjeta de credito"!)
<http://www.inside-security.de/insert_en.html> y ver si hay cosas "raras":
- Archivos en /dev (si, hay; generalmente solo MAKEDEV)
- Directorios o archivos con nombres inusuales: '...', '. ', caracteres de
control, ...
- Archivos SUID root que no corresponden (los que hay en un sistema tipico
son como una docena, en /sbin o /usr/sbin, y tal vez /usr/bin)
- Cuentas extran~as, particularmente sin password o con UID cero
- Servicios "raros" que se levantan. En algun caso me encontre con que
habian 2 inetd corriendo en el tarro... el 2o con un CWD en /tmp, y el
archivo de configuracion habia sido borrado. Lo lanzaba desde un script
legitimo en /etc/init.d/, habia agregado entre los curiosos comandos alli
el crear la configuracion, lanzar el inetd, y borrar la configuracion).
/proc es tu amigo ;-)
- Lista de procesos. Notese que es muy facil ocultar el nombre real del
ejecutable, y uno puede encontrar cosas como "nfs" o asi para hacer creer
al administrador que es un proceso "del sistema". Pero esos generalmente
tienen PIDs chicos...
- Desde una maquina "limpia" (LiveCD) tirar nmap o un sniffer para ver que
trafico de red hay, contrastar con lo que la maquina misma dice via
netstat, lsof, ...
- Si es RPMista, un "rpm -Va" puede mostrar discrepancias (si el jaquel es
tonto, y no pichicateo la base de datos de RPM).
- Revisar los logs. Ratos sin actividad, o actividad "rara", o registros
truncos, o fuera de orden, ... puede indicar algo.
Notese que determinar a ciencia cierta si ocurrio algo, cuando, y
exactamente que es una tarea titanica. Generalmente mas vale la pena
simplemente reinstalar de cero, /y actualizar rigurosamente antes que
nada/. Es por algo que siempre predico instalar lo que se necesita
solamente, y mantener rigurosamente al dia.
Suerte!
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Mon Aug 29 16:51:28 2005
From: [EMAIL PROTECTED] (Horst von Brand)
Date: Mon Aug 29 16:49:14 2005
Subject: Eliminar linea de un archivo similar a comando GREP
In-Reply-To: Your message of "Mon, 29 Aug 2005 15:07:08 -0400."
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Roberto Bonvallet <[EMAIL PROTECTED]> wrote:
[...]
> El código queda mucho más claro cuando las REs son monstruosas. En perl
> también se puede:
>
> $http_header = qq(EXPRESION KILOMÃTRICA PARA CALZAR HTTP);
> ...
> $mi_hermoso_string ~= /$http_header/;
Nope. La forma eficiente de hacer esto es:
$http_header = qr(EXPRESION KILOMÃTRICA PARA CALZAR HTTP)o;
...
$mi_hermoso_string ~= /$http_header/;
Pueden anexarse opciones adicionales al qr//.
> Lamentablemente la mayorÃa prefiere salpicar el código con expresiones
> regulares ilegibles.
"100 mil millones de moscas..."
> ...pero me parece que nos hemos alejado bastante del tema original.
Pero que esta entretenido, esta entretenido ;-)
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Mon Aug 29 17:15:38 2005
From: [EMAIL PROTECTED] (Juan Carlos Inostroza)
Date: Mon Aug 29 17:13:31 2005
Subject: no puedo logearme en X con FC4
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
On Mon, 2005-08-29 at 16:45 -0400, Horst von Brand wrote:
> > rayos...!.... y como puedo saber si es efectivamente eso? usando el
> > chroot... o algo asi q se llamaba???...
>
> chkrootkit y similares. Busca info sobre rootkits, te espantaras de lo que
> se puede hacer.
A pesar que he tenido de esas visitas en el pasado ;) hay veces que un
simple upgrade me deja la crema con los permisos de /tmp (dos distros
distintas que les pasa un problema similar, quizas es por la particion
separada)
> Bootear el sistema con un LiveCD como INSERT (CD "tarjeta de credito"!)
> <http://www.inside-security.de/insert_en.html> y ver si hay cosas "raras":
> - Servicios "raros" que se levantan. En algun caso me encontre con que
> habian 2 inetd corriendo en el tarro... el 2o con un CWD en /tmp, y el
> archivo de configuracion habia sido borrado. Lo lanzaba desde un script
> legitimo en /etc/init.d/, habia agregado entre los curiosos comandos alli
> el crear la configuracion, lanzar el inetd, y borrar la configuracion).
> /proc es tu amigo ;-)
Aunque si hay un LKM (como Adore o t0rn) es mas complicado detectar por
si hay procesos ocultos. Lsof pasa piola, /proc esta contaminado lo
suficiente para no saber que procesos realmente hay (aunque creo que
haciendo varios procesos y consultando de vuelta al proc es que se
detecta si anda uno de esos juguetes corriendo).
Preferible revisar los archivos tipicos (t0rn por ejemplo
usa /usr/include/file.h, /usr/include/proc.h y /usr/include/hosts.h que
no existen en la distribucion). A pesar que el lkm los oculta al ls, no
los puede ocultar para editarlos o hacer un cat ;)
> - Lista de procesos. Notese que es muy facil ocultar el nombre real del
> ejecutable, y uno puede encontrar cosas como "nfs" o asi para hacer creer
> al administrador que es un proceso "del sistema". Pero esos generalmente
> tienen PIDs chicos...
una vez que se pillo al visitante indeseable, es mas facil el ver esos
procesos y que estan haciendo. lsof da una mano.
> - Desde una maquina "limpia" (LiveCD) tirar nmap o un sniffer para ver que
> trafico de red hay, contrastar con lo que la maquina misma dice via
> netstat, lsof, ...
Un nmap desde otra maquina y listo :)
> - Si es RPMista, un "rpm -Va" puede mostrar discrepancias (si el jaquel es
> tonto, y no pichicateo la base de datos de RPM).
No muchos jaquel hacen esa gracia :)
Saludos,
--
Juan Carlos Inostroza
http://jci.codemonkey.cl
