Apache2 und rekursive Includes
Hallo Liste, anscheined kann man in Apache2 2.0.54 keine Includes in Includes mehr verwenden. Aber ich finde in der Doku nichts dazu... Und in den Quellen steht was, das darauf hindeutet, das ab 2.0.52 das wieder möglich sei. Da ich das aber gerade dringend bräuchte: Kann mir da jemand weiterhelfen? Mit bestem Dank, Andreas
Re: Postfix - deferred Mails
Hallo, Sieht nach einem Problem mit amavis aus, da 127.0.0.1 vermutlich der amavis SMTP Server ist. Vermutlich ist amavis nicht richtig gestartet. Mal in dessen log schauen. Unter Umständen fehlt was in perl oder ist eine inkompatible Version. Startr amavis mal auf der Shell im Debug Modus und schau ob es was ausgibt. Wenn es da nicht ist, poste doch mal das amavis log nach einem "postfix flush", aber bitte erst ein bisschen kürzen, da 200 Mails da doch lang sind. Viel Erflog, Andreas
Re: Server hacked
Hallo Liste, Danke für die Antworten. Ich hoffe immer noch, das ich mit einem reinstall und stärkerem härten des Systems um die neuinstallation rumkomme und da ich von einem Backup die Daten holen müsste, wären zumidest Teile des rootkits wieder auf dem System... Außerdem ist das System ein aktver Webserver im Internet (Kein Verbindung zum hiesigen LAN). Wichtiger wäre mir daher das Einfallstor so zuverlässig wie möglich zu identifizieren und zu schließen. Anbei noch ein paar Erkenntnise meinerseits in den letzten Tagen: 2005/5/23, Andreas Rabus <[EMAIL PROTECTED]>: > Außerdem waren noch zwei Log Säuberungs Skripte dabei. Diese Skripte haben ihre arbeit gründlich gemacht... Ich fand nix in den Logs. Aus der betroffenene Zeit fehlten nahzu alle Logeinträge. Ich kann nicht mal rausfinden wie das Teil auf meinen Rechner gekommen ist. tct findet auch nix brauchbares... > chkrootkit hat was von "t0rn" gemurmelt, aber sonst nix... das Skript hat sich an /lib/libproc.a gestört, das in libproc-dev ist, was man manchmal braucht um aus Dateien unter /procschlau zu werden. t0rn v8 ist also ein Fehlalarm. > Habe dann alle aufgelistete Dateien einfach gelöscht bzw. durch > Originale ersetzt. Und den Rechner neu gestartet und die Kennwörter geändert. Man kann der Ausgabe der Programme wie ps und netstat jetzt wohl wieder trauen. Aber wenn der Sniffer noch aktiv ist hilft das nix Obwohl ich annehme die Verbindung zum Hacker erst mal unterbrochen ist. Der IRC Server mit dem sich mein Rechner verbunden hat ist auch erst mal unschädlich gemacht worden. > Kennt jemand das Teil und weiß was das ist, wie man das sicher los > wird (am besten ohne alles platt zu machen...) ? Es scheint also ein Eigenbau zu sein... Und der SOCKS Proxy mocks wurde wohl von Hand übersetzt, was heißt mindestens ein Mensch hat sich per ssh (alias /sbin/ttymon mit conf in /lib/libsh u.ä.) auf meinem Rechner eingeloggt. (Es war ain auth key dabie auf den namen [EMAIL PROTECTED] ) Das Teil scheint allerdings schon länger unterwegs zu sein: Mein Rechner hat sich per IRC an einen anderen bereits gehackten Rechner gemeldet, der offensichtlich als "Sammler" diente. Wenn sich noch ein Opfer findet wäre ich an einem Kenntniss Austausch durch aus interessiert. Andreas
Server hacked
Hallo Liste,
heute fande ich folgende Meldungen in meiner eMail von meinem Woody Web Server:
Von Tiger:
NEW: --WARN-- [lin002i] The process `58' is listening on socket 48544
(TCP) on every interface.
NEW: --WARN-- [lin002i] The process `mocks' is listening on socket
26689 (TCP) on every interface.
NEW: --WARN-- [lin003w] The process `testme' is listening on socket
(TCP on every interface) is run by www-data.
Und von Aide:
added:/usr/include/file.h
added:/usr/include/hosts.h
added:/usr/include/log.h
added:/usr/include/proc.h
added:/usr/lib/libsh
added:/usr/lib/libsh/.bashrc
added:/usr/lib/libsh/.backup
added:/usr/lib/libsh/.backup/ps
added:/usr/lib/libsh/.backup/ifconfig
added:/usr/lib/libsh/.backup/netstat
added:/usr/lib/libsh/.backup/top
added:/usr/lib/libsh/.backup/ls
added:/usr/lib/libsh/.backup/find
added:/usr/lib/libsh/.backup/lsof
added:/usr/lib/libsh/.backup/pstree
added:/usr/lib/libsh/.backup/md5sum
added:/usr/lib/libsh/utilz
added:/usr/lib/libsh/utilz/synscan.tgz
added:/usr/lib/libsh/utilz/mirk.tgz
added:/usr/lib/libsh/utilz/mocks-0.0.2
added:/usr/lib/libsh/utilz/mocks-0.0.2/src
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/COPYING
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.conf
added:/usr/lib/libsh/utilz/mocks-0.0.2/README
added:/usr/lib/libsh/utilz/mocks-0.0.2/TODO
added:/usr/lib/libsh/utilz/mocks-0.0.2/build
added:/usr/lib/libsh/utilz/mocks-0.0.2/CHANGELOG
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.log
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.pid
added:/usr/lib/libsh/.sniff
added:/usr/lib/libsh/.sniff/shsniff
added:/usr/lib/libsh/.sniff/shp
added:/usr/lib/libsh/shsb
added:/usr/lib/libsh/hide
added:/usr/lib/libsh/.owned
added:/usr/sbin/ttyload
added:/dev/srd0
added:/lib/libproc.a
added:/lib/libproc.so.2.0.6
added:/lib/lidps1.so
added:/lib/libsh.so
added:/lib/libsh.so/shdcf
added:/lib/libsh.so/shhk
added:/lib/libsh.so/shhk.pub
added:/lib/libsh.so/shrs
added:/lib/libsh.so/bash
added:/lib/libncurses.so.4
added:/sbin/ttyload
added:/sbin/ttymon
changed:/usr/share/doc
changed:/usr/share/man/man1
changed:/usr/bin
changed:/usr/bin/md5sum
changed:/usr/bin/find
changed:/usr/bin/top
changed:/usr/bin/pstree
changed:/usr/bin/lsof
changed:/usr/lib
changed:/usr/sbin
changed:/usr/sbin/lsof
changed:/dev
changed:/dev/log
changed:/bin/ls
changed:/bin/ps
changed:/bin/netstat
changed:/lib
changed:/sbin
changed:/sbin/ifconfig
Das stellte sich als ein SSH Daemon, ein IRC Bouncer, ein SOCKS Proxy
und zwei Dinge mit Weboberfläche auf port raus.
Einige Dateien waren noch extra mit ext2 Attributen geschützt ("chattr
-isa" damit man löschen durfte...)
Das ganze hatt eine offene IRC Verbindung zu einem ebenfalls gehackten Server.
Außerdem waren noch zwei Log Säuberungs Skripte dabei.
chkrootkit hat was von "t0rn" gemurmelt, aber sonst nix...
Habe dann alle aufgelistete Dateien einfach gelöscht bzw. durch
Originale ersetzt.
Kennt jemand das Teil und weiß was das ist, wie man das sicher los
wird (am besten ohne alles platt zu machen...) ?
Andreas
Re: Feuerwehr !!! Meine Festplatte brennt !!!
> Am Sonntag, 10. April 2005 00:56 schrieb Michelle Konzack: > > N'Abend (Feuerwehr)Leute, :-) > > > > Ich guck gerade ganz unschuldig in meine /var/log/syslog und > > > > > > Apr 10 00:24:18 samba3 smartd[851]: Device: /dev/hda, SMART Usage > > Attribute: 194 Temperature_Celsius changed from 101 to 97 > > > > > > Hat jemand noch so ne heiße Platte ? > > > > Ich gehe mal davon aus, das die Temperatur Farenheit ist, > > Denn so nen Bratzenverbrenner hatte ich noch niemals. > > > > Kann ich davon ausgehen, das dies ein BUG ist ? Wenn die Platte noch nicht geschmolzen ist: Kann auch sein, das Dir die "normalisierten" und nicht die gewünschten "rohen" Werte angezeigt werden. Dazu steht auch was in der man-page (RTFM eben :) Und unter Umständen hat Seagate die Temperatur Daten auch nich im Attribute 192 sonder sonst wo gespeichert oder das 10-fache der Temperatur. Muss Du mal bei Seagate gucken (oder hier fragen :) wo bei denen die Temperaturdaten stehen. Aber wenn man auf die Platte langt, is es dann sehr heiß? oder nur spiegeleibratenheiß? (Das wäre normal, zumindest fast... :) Hoffe das hilft... Andreas
l2tp connection probleme
Hallo Liste, ich versuche mit mein Modem im iBook über Mac OSX über einen Debin Sid mit racoon/L2TP ein VPN aufzubauen. Klappt auch prinzipiell, ab und wird die Verbindung gekappt. Ohne ersichtlichen Grund. Dann steht das folgende in den Logs: Mar 15 13:05:58 doolittle l2tpd[4886]: control_xmit: Maximum retries exceeded for tunnel 19781. Closing. Mar 15 13:05:58 doolittle l2tpd[4886]: call_close : Connection 18 closed to 212.144.146.170, port 50951 (Timeout) Mar 15 13:05:58 doolittle l2tpd[4886]: check_control: control, cid = 0, Ns = 4, Nr = 9 Mar 15 13:05:58 doolittle l2tpd[4886]: get_call:can't find tunnel 19781 Mar 15 13:05:58 doolittle l2tpd[4886]: network_thread: unable to find call or tunnel to handle packet. call = 19235, tunnel = 19781 Dumping. Die letzten beiden Zeilen wiederholen sich noch einige Male und dann wird die verbindung getrennt und von racoon gelöscht. (Alles wie bei einer gewollten Beendigung) Ein hinweis dennich gefunden habe ist der, dass die Control packete bei ausnutzung der Bandbreite vom Modem (6K/s) nicht mehr "durchkommen" und daher der l2tp denkt, das die Verbindung weg ist. Allerdings gibt es anscheinend keine Möglichkeit diese Control Packets zu beeinflussen. (retries erhöhen, länger warten, o.ä.) Die Conf kann ich noch nachschicken, falls gewünscht. (Ist halt viel text, und prinzipiel scheint die ja ganz richti zu sein...) Gibt es noch andere Mögliche Fehlerquellen? Kennt jemand da Problem und hat es bereit gelöst? Bin für jeden Tipp dankbar, das neeevvvt dermassen... ;( Andreas
Re: phpmyadmin in testing
Moin auch,
Die entsprechende Zeile enthält einfach den aufruf von
PMA_reloadNavigation();
Drumherum ist Javascript im header:
--- snip ---
//-->
--- snip --
defginiert ist die Funktion in libraires/common.lib.php
-- snip ---
/**
* Reloads navigation if needed.
*
* @global mixed configuration
* @global boolwhether to reload
*
* @access public
*/
function PMA_reloadNavigation() {
global $cfg;
// Reloads the navigation frame via JavaScript if required
if (isset($GLOBALS['reload']) && $GLOBALS['reload']) {
echo "\n";
$reload_url = './left.php?' .
PMA_generate_common_url((isset($GLOBALS['db']) ? $GLOBALS['db'] : ''),
'', '&');
?>
<!--
if (typeof(window.parent) != 'undefined'
&& typeof(window.parent.frames['nav']) != 'undefined') {
window.parent.frames['nav'].goTo('<?php echo $reload_url;
?>&hash=' + <?php echo (($cfg['QueryFrame'] && $cfg['QueryFrameJS']) ?
'window.parent.frames[\'queryframe\'].document.hashform.hash.value' :
"'" . md5($cfg['PmaAbsoluteUri']) . "'"); ?>);
}
//-->
wrote:
> Moin Moin Andreas Rabus, *,
>
> Andreas Rabus wrote on Mar 03, 2005 at 06:55PM +0100:
> > /usr/share/phpmyadmin/header.inc.php on line 132
> Postest du mal die entsprechende Stelle +/- 5 Zeilen (ohne
> leerzeilen?)
>
> --
> -
> Rainer Bendig aka "ny" GnuPG-Key 0x41D44F10
>
> --
> Haeufig gestellte Fragen und Antworten (FAQ):
> http://www.de.debian.org/debian-user-german-FAQ/
>
> Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
> mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
>
>
phpmyadmin in testing
Hallo Liste, Wenn ich per phpmyadmin auf einen Server zugreife auf den ich nicht "show databeses" ausführen darf, kriege ich die Meldung: /usr/share/phpmyadmin/header.inc.php on line 132 und das wars dann. Zumindests sis man in der Datei ein bisschen rumfurwerkt Ist das ein Bug oder nur ein Konfigurationsfehler von mir? Besten Dank, Andreas
Re: amavis-new und spamassassin
Sieht nach einer einfachen Fehlkonfiguration von spamassassion aus. Einfach mal die Konfi durchsehen... On Thu, 24 Feb 2005 23:54:34 +0100, David Nawrot <[EMAIL PROTECTED]> wrote: > Hallo, > > Ich habe hier einen Mailserver mit postfix. Aus postfix heraus wird > amavis-new aufgerufen. Dieser soll alle eingehenden Mails nach viren > und Spam durchsehen. Mit den Viren klappt es(testsignatur wurde > erkannt). Nur leider klemmt es bei dem spamassassin. Ich habe alles > mit @bypassspam_checks_acl in der amavis.conf auskommentiert. Leider > kommt jede Mail von meinen Fremailaccount via fetchmail durch. Und da > ist ausreichend Spam dabei, die vorher auch erkannt wurde. Da wurde > spamassassin noch "direkt" vom smtp aufgerufen. Im > Header steht auch nur was von Virus, nichts jedoch von spamcheck. > Leider sagen die mail.info und syslog auch nichts. wo kann man schauen > und nach Fehlern suchen? Gibt es eine Doku / Howto die sich mit amavis > befasst? kann es an dem einbringen der Mails via fetchmail liegen? > Ihr seht - ich bin ratlos -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Squid 2.5.8 und Fehler bei CGI Skripten
Hallo List,
ich habe seit dem update auf squid 2.5.8 (in debian testing) folgende
Einträge im Log, wenn eine Skript URL aufgerufen wird (allerdings auch
nicht immer:
2005/02/16 15:24:10| ctx: exit level 0
2005/02/16 15:24:10| ctx: enter level 0:
'http://www.xyz.de/cgi-bin/nph-publish.pl'
2005/02/16 15:24:10| WARNING: unparseable HTTP header field near
{Apache/1.3.33 (Unix) mod_jk/1.1.0 AuthMySQL/2.30 mod_perl/1.27
PHP/4.3.10 mod_ssl/2.8.22 OpenSSL/0.9.7e Content-type: text/html }
Und der Browser sieht nur eine Fehlerseite, die von Squid erstellt wurde.
Das Skript selber wurde aber ausgeführt, nur die Antwort macht was unfeines.
Mit anderen bzw. ohne Proxies gehts, aber warum weiß ich nicht.
Kenn jemand eine Möglichkeit dem Squid zu sagen, das der komische
Header einfach ignoriert und die Seite trotzdem weitergibt?
In der Doku habe ich noch nichts gefunden und Goggle war bislang nicht
ergiebieg (bzw. zu ...).
Schönen Dank auch,
Andreas
Re: SSH Pfadsetzereien und Unison
Vermutlich nimmt Susu die .bashrc oder .bash_login oder so wenn unison aufgerufen wird. Vielleicht kann man da die Pfad Variable ändern? On Tue, 22 Feb 2005 10:59:07 +0100, Jens Heidbüchel <[EMAIL PROTECTED]> wrote: > Hallo zusammen, > > ich möchte das Homeverzeichnis eines Debian-Laptops mit dem einer SuSE > Workstation mit unison abgleichen. Für einen Abgleich verlangt unison, dass > es auch auf dem Wirtrechner installiert ist. > > Nun zu meinem Problem: unison ist auf der SuSE Workstation nicht > standarmäßig installiert und ich verfüge über keine root-Rechte. Ich habe > ein unison-Binary unter /usr/local/icg4/bin installiert. Das ist auch im > Suchpfad des Benutzers. Da bei einer nicht-interaktiven SSH-Verbindung die > Pfade nicht gesetzt werden(.kshrc(ja, wirklich die Kornshell) wird nicht > ausgewertet), meldet mir unison, dass es sich auf der Gegenseite nicht > finden kann. Mit interaktiver Shell funktionierts. > > Mit nicht-interaktivem SSH liefert mir > > ssh [EMAIL PROTECTED] echo $PATH > > /usr/local/bin:/usr/bin:/bin:/usr/X11R6/bin:/usr/games > > Also bat ich den Administrator, einen Link zu unison im /usr/local/bin zu > machen. Das tat er auch, aber ich bekomme weiterhin mit > > ssh [EMAIL PROTECTED] unison > > ksh: unison: not found > > Somit funktioniert die ganze Synchronisationsgeschichte nicht. > > Noch zur Info: Sowohl /usr/local/ als auch /usr/local/icg4 sind gemountete > NFS-Shares. Glaube aber nicht, dass es damit was zu tun hat. > > Vielen Dank für Eure Tipps, Jens. > >
Re: Konsole/Terminal
Bash sucht meherer Datein beim starten. Es arbeitet aber nur die erste gefundenen ab. Die Namen und Reihenfolge stehen in der man page. (Hab ich gerade nicht so genau im Kopf) Aber .bash_profile gehört dazu... Mal danach schauen Und man muss Unterscheiden zwischen login und su. Das erste ist ein Login, das zweite nicht unbedingt und dann änder sich wieder die Liste der gesuchte startup Dateien. Ist ein bisschen komliziert, aber die man page erklärt es soweit ganz gut... :/ Viel Erfolg... On Mon, 14 Feb 2005 17:23:43 +0100, Matthias Reimann <[EMAIL PROTECTED]> wrote: > Andreas Pakulat wrote on Monday, February 14, 2005 12:44 PM: > >Das macht man mit sog. Escape-Sequenzen und es funktioniert > >bei jeder TerminalEmu gleich (AFAIK): > > > >export PS1='\[\033[31m\]\h:\w>\[\033[39m\]' > > > >Erzeugt dir einen roten Prompt. Was genau was bedeutet weiss > >ich nicht mehr, da müsstest du mal Google bemühen... 31 ist > >aber die Farbe. > > Danke für den Hinweis. Ich habe inzwischen ein paar Artikel zu > Escape-Sequenzen und farbigem Prompt gelesen. In einem Beitrag sollten > die Sequenzen in /etc/profile geschrieben werden. Das hat bei mir nichts > bewirkt, also habe ich mal stattdessen die ~/.bashrc angepaßt. Jetzt > funktioniert es einwandfrei, solange ich als User angemeldet bin. > Wechsle ich über "$ su" zu root ist der Prompt wieder schwarz. Eine > Änderung von /etc/bash.bashrc hat auch nicht den gewünschten Erfolg > gebracht. Wo wird der Prompt für root hergeholt? Bei mir endet der > Prompt von root auf # statt $. Eine solche Definition konnte ich > nirgends finden. > > Matthias > >
Re: Altes Mainboard + PCI HDD Controller
Wenn der Controller ein eigenes BIOS hat und das MoBo damit umgehen kann, ist das ein gangbarer Weg. Ansonsten gab es bei c't oder chip oder vobis mal ein Archiv mit BIOSen, das bis in die Steinzeit zurückging. Allerdings weiß ich auch nicht, ob diese BIOSe auch schon mit großen Platten umgehen können... On Wed, 9 Feb 2005 12:47:34 +0100, Joerg Rieger <[EMAIL PROTECTED]> wrote: > On Wed, Feb 09, 2005 at 11:51:00AM +0100, Paul Puschmann wrote: > > Andreas Brandl wrote: > > >Ich habe hier eine alte Kiste (AMD K6-II) rumstehen mit einem Mainboard, > > >das leider keine großen Festplatten verkraftet. > > > > > >BIOS Updates gibt es auch nicht mehr. > > > > > >Meine Idee war jetzt, einen PCI Controller (einfachen Controller, kein > > >RAID) zu verbauen und daran die Festplatte zu hängen. > > > > > >Funktioniert das? Und wenn ja, kommt Debian Sarge damit klar > > >(Installation usw.)? > > > > > >Vielen Dank für die Auskunft, > > > > > >ciao, > > >Andi > > > > > > > > Bei mir funktioniert das sehr gut mit einem Promise Ultra 100 TX2. > > > > Die meisten anderen Controller sollten eigentlich auch laufen. > > Selbiges hier, alter PI mit Promise Ultra 100 TX2 Controller und > 2x 160 GB. Absolut problemlos. > > -- > > -- > Haeufig gestellte Fragen und Antworten (FAQ): > http://www.de.debian.org/debian-user-german-FAQ/ > > Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] > mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl) > >
