img - Xakep Online

More documents

Recommendations

Info

UNIXOIDInotify: мониторинг событийС помощью strace можно отследить, к каким файлам обращалоськонкретное приложение. Но иногда возникает обратная задача —отследить обращения к определенному файлу и выполнить какиетодействия при этих обращениях. Тогда на помощь придет механизмinotify. Inotify — подсистема ядра, позволяющая отслеживатьфайловые операции. Технология проверена временем — она былавключена еще в ядро 2.6.13 (июнь 2005). Inotify активно используется,например, десктопными поисковиками (вроде Beagle), а такжетакой полезной штукой, как incron.Incron — аналог обычного cron с той лишь разницей, что выполнениекоманды происходит не по времени, а по наступлению указанногов задании события.После установки (incron есть в репозиториях большинства дистрибутивов)создается пустой файл /etc/incron.allow, в котором надоперечислить пользователей, которым разрешено использоватьincron.Создаются задания с помощью команды:Еще одна весьма полезная возможность strace: с помощью опции'-p' и указания PID можно проводить трассировку работающегопроцесса. Можно даже соединиться сразу с несколькими процессами,указав опцию '-p' несколько раз. Вот такая конструкция запуститтрассировку всех процессов apache:# strace -f $(pidof apache2 | sed 's/$[0-9]*$/\-p\1/g')Чтобы показать всю мощь strace, опишу несколько случаев из моейпрактики, в которых без помощи этой удивительной утилиты на поиски устранение проблемы я потратил бы кучу времени.ПРОБЛЕМЫ С ПРАВАМИДавным-давно, когда апач еще был версии 1.3, а PHP — 4, переехаля на новый сервак. И практически сразу вылезла одна проблема — из100$ incrontab -eФормат заданий: (ñ ðàçäåëåíèåì ÷åðåçïðîáåë)Самые интересные событияIN_ACCESS — ôàéë áûë ïðî÷èòàíIN_ATTRIB — èçìåíèëèñü ìåòàäàííûå ôàéëà/êàòàëîãàIN_MODIFY — ôàéë áûë èçìåíåíIN_CREATE — ôàéë èëè êàòàëîã áûë ñîçäàí â îòñëåæèâàåìîéäèðåêòîðèèIN_DELETE — ôàéë èëè êàòàëîã áûë óäàëåí â îòñëåæèâàåìîéäèðåêòîðèèIN_DELETE_SELF — îòñëåæèâàåìûé ôàéë èëè êàòàëîã áûëóäàëåíIN_MOVE — ôàéë áûë ïåðåìåùåí èç îòñëåæèâàåìîãî êàòàëîãàèëè â íåãîIN_ALL_EVENTS — âñå ñîáûòèÿВ описании команды можно использовать внутренние переменные.Самые полезные:$@ — ïîëíîå èìÿ îòñëåæèâàåìîãî ôàéëà/êàòàëîãà$# — îòíîñèòåëüíîå èìÿ ôàéëà, âûçâàâøåãî ñîáûòèå(òîëüêî ïðè ìîíèòîðèíãå êàòàëîãà)$% — íàçâàíèå ñîáûòèÿСтатистика библиотечных вызовов OpenOfficePHP с помощью обычной функции mail не отправлялись письма. Заглянулв логи индейца — пусто, в логах сендмыла и системных логах— тоже ничего интересного. С точно такими же конфигами apache,PHP и sendmail на другом сервере все работало, значит, причинаНемного историиStrace (сокращение от system trace) — это свободное ПО, распространяемоепод BSD-подобной лицензией. Утилита была написана в 1991году Полом Краненбургом для SunOS как аналог утилиты trace. На Linuxее портировал Бранко Ланкестер, который также реализовал поддержкув ядре. В 1992 году вышла версия 2.5 для SunOS, но версия для Linuxвсе еще базировалась на версии 1.5. В 1993 году Рик Слэдки объединилstrace 2.5 для SunOS и второй релиз strace для Linux, добавив приэтом много возможностей от truss из SVR4. В результате появиласьstrace, которая работала и на Linux, и на SunOS. В 1994 Рик портировалstrace на SVR4 и Solaris, а в 1995 — на Irix. Сегодня strace поддерживаетсябольшим количеством людей, в списке разработчиков дажеуспел отметиться сам Линус. Последняя на момент написания статьиверсия — 4.5.20 от 14 апреля 2010 года. strace сейчас достаточно активноразвивается, в основном добавляется поддержка и фиксятся багипри работе на всяких экзотичных архитектурах.Инструменты, подобные straceDTrace — продукт Sun Microsystems, работает на Solaris, FreeBSD иMac OS X (10.5 и старше). Есть тестовая версия порта для Linux.ktrace — работает на FreeBSD, OpenBSD, NetBSD и Mac OS X (доверсии 10.5).Inotify-toolsКроме Incron есть еще полезная штука, использующая inotify —inotify-tools, включающая в себя inotifywait и inotifywatch, которыеочень удобно использовать в скриптах. Inotifywait просто ждетуказанных событий над указанными файлами и завершается с темили иным кодом возврата. Немного модифицированный скрипт изman'а, хорошо иллюстрирующий предназначение inotifywait:$ cat ~/script.shwhile inotifywait -e modify \/var/log/apache2/error.log; dotail -1 /var/log/apache2/error.log | \notify-send "Apache needs love!"doneInotifywatch просто собирает статистику по обращению к определенномуфайлу/каталогу в течение определенного времени или допрерывания и отображает ее в виде таблицы. Есть возможностьсбора статистики только по определенным событиям, заданияисключения файлов по маске и чтения списка объектов для мониторингаиз файла.XÀÊÅÐ 08 /139/ 10
ldd для Firefoxне в них. Пора расчехлять strace. Остановил апач и запустил трассировку:# strace -f -o /tmp/apache2.strace \/etc/init.d/apache2 startСписок файлов, которые открывает Firefox при запускеПосле того, как скрипт отправки почты (с нехитрым названием mail.php) был несколько раз запущен из браузера, а apache остановлен,можно приступать к анализу лога.$ grep mail.php /tmp/apache2.strace5345 read(9, "GET /mail.php HTTP/1.1\r\nHost:12"..., 8000) = 3975345 stat("/var/www/mail.php", {st_mode=S_IFREG|0644, st_size=256, ...}) = 05345 lstat("/var/www/mail.php", {st_mode=S_IFREG|0644, st_size=256, ...}) = 05345 open("/var/www/mail.php", O_RDONLY) = 10…Здесь в каждой строчке первое поле — PID, второе — вызов с параметрами,третье — значение, которое вернул вызов. В большинствеслучаев, если возвращаемое значение не отрицательное — вызовотработал без ошибки. То есть, grep по mail.php не дал ничего интересного,кроме PID-процесса (5345), который его обрабатывал. Что ж,запустим grep по PID:$ grep 5345 /tmp/apache2.strace5340 clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0x7f3bf2eada10) = 5345…5345 read(9, "GET /mail.php HTTP/1.1\r\nHost:12"..., 8000) = 3975345 stat("/var/www/mail.php", {st_mode=S_IFREG|0644, st_size=256, ...}) = 0…5345 clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0x7f3bf2eada10) = 5347Опять ничего интересного по поводу ошибки. Но на последнейстрочке с помощью системного вызова clone создается дочернийпроцесс с PID 5347. Ух ты, квест! :) Grep по 5347:$ grep 5347 /tmp/apache2.strace5345 clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0x7f3bf2eada10) = 5347…5347 execve("/bin/sh", ["sh", "-c", "/usr/sbin/sendmail -t -i "], [/* 6 vars */] = -1 EACCES(Permission denied)Бинго! Для отправки почты используется /usr/sbin/sendmail, авызов ругается на отсутствие прав. Причем права на sendmailвыставлены корректно, а вот на /bin/sh — нет. Каким-то образомоказалось, что права на /bin/sh были 770 (при владельце и группеroot), то есть пользователь www-data (от которого работал apache)не имел прав на выполнение. Корректировка прав исправила этонедоразумение.ПРОБЛЕМЫ С СЕТЬЮИногда strace позволяет решать сетевые проблемы гораздо быстрее,чем tcpdump. В частности, с помощью strace очень удобно отслеживать,к каким сервисам и в каком порядке обращается приложениедля определения имен.Однажды я сменил IP для одного домена, но, несмотря на то, чтоdig выдавал мне правильный новый IP, firefox все еще ломился настарый. Трассируем:$ strace -f -e trace=network firefox xakep.ru7879 socket(PF_FILE, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 37879 connect(3, {sa_family=AF_FILE, path="/var/run/nscd/socket"}, 110) = 07879 sendto(3, "\2\0\0\0\v\0\0\0\7\0\0\0passwd\0",19, MSG_NOSIGNAL, NULL, 0) = 19Вызов connect из листинга показывает, что Firefox сначала обращаетсяк сервису NSCD (кэширующий демон) для разрешения имен,а только потом, если NSCD ничего не выдаст — к DNS. На ноутбукеXÀÊÅÐ 08 /139/ 10 101
Page 1:
ВЗЛОМ АУТЕНТИФИКАЦ
Page 4 and 5:
MegaNews004 Все новое за
Page 6:
MEGANEWSМАРИЯ «MIFRILL» НЕ
Page 10 and 11:
MEGANEWSÈÇÐÀÈËÜ ÂÅÐÁÓÅ
Page 13 and 14:
Реклама11
Page 15 and 16:
ÑÏÅÖÑËÓÆÁÛ ÑØÀ ÍÅÃ
Page 17 and 18:
ÓÒÅ×ÊÀ ÑÅÊÐÅÒÍÎÉ È
Page 19 and 20:
с помощью специаль
Page 21 and 22:
Pro3Q QOO!TOWER ION9400 ðóá.ÒÅ
Page 23 and 24:
VIEWSONICVOT120 PC MiniÒÅÕÍÈ×
Page 25 and 26:
codinglotus.xakep.ruX-testing сont
Page 28 and 29:
PC_ZONEСтепан «Step» Иль
Page 30 and 31:
PC_ZONEВносим важные п
Page 32 and 33:
PC_ZONEАлександр Лозо
Page 34 and 35:
PC_ZONEПример асинхро
Page 36 and 37:
PC_ZONEКапитан Улитка
Page 38 and 39:
PC_ZONEПодробные логи
Page 40 and 41:
ВЗЛОМТюрин «GreenDog»
Page 42 and 43:
ВЗЛОМ//Èùåì ñòðîêóif
Page 44 and 45:
ВЗЛОМАлексей Синцо
Page 46 and 47:
ВЗЛОМAcrobat Reader. Эксп
Page 48 and 49:
ВЗЛОМЭтого достато
Page 50 and 51:
ВЗЛОМИз ARP-сообщени
Page 52 and 53: ВЗЛОМANTI-NATO natobreak@yahoo
Page 54 and 55: ВЗЛОМНет, конечно,
Page 56 and 57: ВЗЛОМЗазеркалье —
Page 58 and 59: ВЗЛОМ«HellMilitia» and «my
Page 60 and 61: ВЗЛОМXOR_KEY, между пр
Page 62 and 63: ВЗЛОМRAZ0R HTTP://RAZ0R.NAMEП
Page 64 and 65: ВЗЛОММаг icq 884888, http:/
Page 66: ВЗЛОММой шелл на azar
Page 69 and 70: Результат переполн
Page 71 and 72: Описание:access violation
Page 73 and 74: ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 75 and 76: Граббер сайтовНакр
Page 77 and 78: Разбор вывода анти
Page 79 and 80: Реклама
Page 81 and 82: Кристалл запустилс
Page 83 and 84: Зачем и почему нужн
Page 85 and 86: ÔÓÒÓÐÈÑÒÈ×ÍÛÉ ÑÈÍÃ
Page 87 and 88: них мы, конечно, не
Page 89 and 90: в понедельник вот п
Page 91 and 92: Выбор режима работ
Page 93 and 94: Все вспомогательны
Page 97 and 98: WARNINGwarningРедактируе
Page 99 and 100: Оптимизируем работ
Page 101: WARNINGСокращенная ст
Page 107 and 108: codingMasterBotBotBotСхема ц
Page 109 and 110: codingINFOРезультат раб
Page 111 and 112: codingФорма HoldemConsoleФо
Page 113 and 114: codingÑàéòû ïî òåìåПр
Page 115 and 116: codingАдреса загрузки
Page 117 and 118: CODINGdeeonis deeonis@gmail.comКО
Page 119 and 120: поймать в месте выз
Page 121 and 122: ëà äëÿ «Îäíîêëàññí
Page 123 and 124: ñîäåðæàùèå çàïðåùå
Page 125 and 126: FORWARD="80>192.168.0.100" â ôà
Page 127 and 128: OpenBSD, pf и NATîòêðûòûé
Page 129 and 130: SYN/ACKЕвгений Зобнин
Page 131 and 132: Apache с различными MPM-
Page 133 and 134: Слоеный пирог типи
Page 135 and 136: ×òîáû óñòàíîâèòü vSp
Page 137 and 138: INFOКлиент управлени
Page 139 and 140: информацию с перер
Page 141 and 142: Если хочешь быть пр
Page 143 and 144: обновляемого на са
Page 145 and 146: x№ 08(139)АВГУСТ 2010>>WIND
show all

img - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?