[LUGOS] lugos-list Digest, Vol 93, Issue 1

Pavle Okorn pavel.okorn at opus.si
Mon Jun 10 08:54:28 CEST 2013 

1000 Euro za vse tri.
MP cena za eno je 748,00. 
Sem se spomnil, da so služile namenu. Enkrat je posnelo študenta, ki je
namakal roke v blagajno. 3 pa so še vedno nad recepcijo v Grandu, ker so jih
enostavno zazidali. Bile so v luknjah za lučke in sirektno nad blagajnami,
ki pa so jih npr. v termah ves čas prestavljali.

LP Pavle

-----Original Message-----
From: lugos-list-bounces+pavel.okorn=opus.si na lugos.si
[mailto:lugos-list-bounces+pavel.okorn=opus.si na lugos.si] On Behalf Of
lugos-list-request na lugos.si
Sent: Monday, June 10, 2013 8:45 AM
To: lugos-list na lugos.si
Subject: lugos-list Digest, Vol 93, Issue 1

Send lugos-list mailing list submissions to
	lugos-list na lugos.si

To subscribe or unsubscribe via the World Wide Web, visit
	http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
or, via email, send a message with subject or body 'help' to
	lugos-list-request na lugos.si

You can reach the person managing the list at
	lugos-list-owner na lugos.si

When replying, please edit your Subject line so it is more specific
than "Re: Contents of lugos-list digest..."


Today's Topics:

   1.  Vabilo na 17. redno skup??ino dru?tva (Andrej Vernekar)
   2.  POK 2013 - vabilo (Moderator)
   3.  kdo je zapisal datoteko v /tmp (robi @ carnium)
   4. Re:  kdo je zapisal datoteko v /tmp (brodul)
   5. Re:  kdo je zapisal datoteko v /tmp (Borut Mrak)
   6. Re:  kdo je zapisal datoteko v /tmp (robi @ carnium)
   7. Re:  kdo je zapisal datoteko v /tmp (Borut Mrak)
   8.  POK 2013 - opomnik (Moderator)


----------------------------------------------------------------------

Message: 1
Date: Fri, 31 May 2013 23:47:07 +0200
From: Andrej Vernekar <andrej.vernekar na gmail.com>
Subject: [LUGOS] Vabilo na 17. redno skup??ino dru?tva
To: lugos-list na lugos.si, lugos-org na lugos.si, lugos-slo na lugos.si
Message-ID: <1486528.QXtjIOH6fX na linux-2uyj.site>
Content-Type: text/plain; charset="utf-8"

Pozdravljeni,

upravni odbor dru?tva LUGOS sklicuje 17. redno skup??ino dru?tva LUGOS
v soboto, 15. junija 2012, od 10:30 naprej, ki bo potekala hkrati s
piknikom odprte kode (POK).
Podrobnej?e podatke glede piknika boste prejeli v vabilu na piknik.

Na skup??ino dru?tva so vabljeni vsi zainteresirani za delovanje
dru?tva LUGOS in vsi uporabniki operacijskega sistema Linux in ostale
proste programske opreme.

Dnevni red bo slede?:
0. izvolitev zapisnikarja in dveh overoviteljev,
1. sprejetje dnevnega reda skup??ine,
2. obravnava in sprejem poro?ila upravnega odbora za leto 2012/13,
3. obravnava in sprejem finan?nega poro?ila za leto 2012/13,
4. obravnava in sprejem poro?ila nadzornega odbora za leto 2012/13,
5. poro?ila komisij in delovnih skupin,
6. obravnava in sprejem programa dela za leto 2012/13,
7. obravnava in sprejem finan?nega na?rta za leto 2012/13,
8. razno - razprava o aktualnih temah (pomo? Kiberpipi in dologoro?no      
sodelovanje, donacije, ..)

Lep pozdrav,

Andrej Vernekar
predsednik dru?tva LUGOS


------------------------------

Message: 2
Date: Sun, 02 Jun 2013 12:31:56 +0200
From: Moderator <moderator na lugos.si>
Subject: [LUGOS] POK 2013 - vabilo
To: Glavni dopisni seznam LUGOSa <lugos-list na lugos.si>,
	lugos-org na lugos.si, lugos-prog na lugos.si
Message-ID: <51AB1F1C.3060209 na lugos.si>
Content-Type: text/plain; charset=UTF-8; format=flowed



Pozdravljeni.
Na https://wiki.lugos.si/lugos najdete vabilo na POK 2013.

Prijavite se tako, da na naslov pok na lugos.si po?ljete sporo?ilo in
navedete ?tevilo udele?encev. Prijava je mo?no za?elena, da znamo
nabaviti prave koli?ine stvari.
Rok za prijavo se bo podalj?al na 10. 06. 2013, ker smo malo pozno
objavili to novico.

Za ve? informacij pi?ite na navedeni naslov (pok na lugos.si).

Lep pozdrav






------------------------------

Message: 3
Date: Tue, 04 Jun 2013 08:19:48 +0200
From: "robi @ carnium" <robi na carnium.si>
Subject: [LUGOS] kdo je zapisal datoteko v /tmp
To: lugos-list na lugos.si
Message-ID: <1370326788.6300.8.camel na Nokia-N900>
Content-Type: text/plain; charset="utf-8"

Zivjo, fantje,

prosim za pomoc, nasvet;

situacija:
maldet najde fajl v 
/tmp/phpMoeWdR
-rw-------  1  apache apache 68482 Jun  2 16:18 /tmp/phpMoeWdR

Rad bi izvedel cim vec o tem, kako je prislo do tega, da se je file znasel
na strezniku:
kako bi se vi tega lotili?

-- 
Sent from my Nokia N900
-------------- next part --------------
An HTML attachment was scrubbed...
URL:
http://liste2.lugos.si/pipermail/lugos-list/attachments/20130604/371bfd46/at
tachment-0001.htm 

------------------------------

Message: 4
Date: Tue, 04 Jun 2013 13:42:22 +0200
From: brodul <brodul na brodul.org>
Subject: Re: [LUGOS] kdo je zapisal datoteko v /tmp
To: Glavni dopisni seznam LUGOSa <lugos-list na lugos.si>
Message-ID: <51ADD29E.5050109 na brodul.org>
Content-Type: text/plain; charset="iso-8859-1"

On 06/04/2013 08:19 AM, robi @ carnium wrote:
> Zivjo, fantje,
> 
> prosim za pomoc, nasvet;
> 
> situacija:
> maldet najde fajl v 
> /tmp/phpMoeWdR
> -rw-------  1  apache apache 68482 Jun  2 16:18 /tmp/phpMoeWdR
> 
> Rad bi izvedel cim vec o tem, kako je prislo do tega, da se je file znasel
na strezniku:
> kako bi se vi tega lotili?
> 

Odvisno kako imas porihtane loge. Najprej bi priporocal, da si skopiras
loge v neko drugo mapo (lokalno na racunalnik) oz. nekam drugam na
streznik. Predvsem zato, da ti rotacija logov ne povozi starih logov.

IMO ni neka resna stvar lahko, da php ganjas kot apache user. in je bil
poklican ta klic:
http://php.net/manual/en/function.tempnam.php

Lahko pogrepas, ce tvoj CMS oz. aplikacija dejansko to klice.

Lahko pogledas kaj je ta file.

Potem bi grepal php in apache loge za phpMoe. Oz. pogledal kaj se je v
tem casovnem obdobju dogajalo.

LP

Andraz Brodnik

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 555 bytes
Desc: OpenPGP digital signature
Url :
http://liste2.lugos.si/pipermail/lugos-list/attachments/20130604/36a8f36d/at
tachment-0001.pgp 

------------------------------

Message: 5
Date: Tue, 04 Jun 2013 14:20:23 +0200
From: Borut Mrak <b na aufbix.org>
Subject: Re: [LUGOS] kdo je zapisal datoteko v /tmp
To: Glavni dopisni seznam LUGOSa <lugos-list na lugos.si>
Message-ID: <51ADDB87.209 na aufbix.org>
Content-Type: text/plain; charset=UTF-8; format=flowed

On Tue 04 Jun 2013 01:42:22 PM CEST, brodul wrote:
> On 06/04/2013 08:19 AM, robi @ carnium wrote:
>> Zivjo, fantje,
>>
>> prosim za pomoc, nasvet;
>>
>> situacija:
>> maldet najde fajl v
>> /tmp/phpMoeWdR
>> -rw-------  1  apache apache 68482 Jun  2 16:18 /tmp/phpMoeWdR
>>
>> Rad bi izvedel cim vec o tem, kako je prislo do tega, da se je file
znasel na strezniku:
>> kako bi se vi tega lotili?

Samo ne zganjat panike, noben ti ni vdrl ali kaj podobnega. Verjetno 
ostanek kakega uploada, glede na velikost. Verjetno je to PHP-jev 
za?asni imenik ali pa /tmp uporablja za session store.

Kaj pa sploh je v datoteki?

lp,
Borut.


------------------------------

Message: 6
Date: Tue, 04 Jun 2013 15:52:25 +0200
From: "robi @ carnium" <robi na carnium.si>
Subject: Re: [LUGOS] kdo je zapisal datoteko v /tmp
To: lugos-list na lugos.si
Message-ID: <1370353945.6749.5.camel na Nokia-N900>
Content-Type: text/plain; charset="utf-8"

----- Original message -----
> Borut Mrak je dne 04. 06. 2013 14:20 napisal/a:
> > On Tue 04 Jun 2013 01:42:22 PM CEST, brodul wrote:
> > > On 06/04/2013 08:19 AM, robi @ carnium wrote:
> > > > Zivjo, fantje,
> > > > 
> > > > prosim za pomoc, nasvet;
> > > > 
> > > > situacija:
> > > > maldet najde fajl v
> > > > /tmp/phpMoeWdR
> > > > -rw-------?  1?  apache apache 68482 Jun?  2 16:18 /tmp/phpMoeWdR
> > > > 
> > > > Rad bi izvedel cim vec o tem, kako je prislo do tega, da se je
> > > > file znasel na strezniku: kako bi se vi tega lotili?
> > Samo ne zganjat panike, noben ti ni vdrl ali kaj podobnega. Verjetno
> > ostanek kakega uploada, glede na velikost. Verjetno je to PHP-jev
> > za?asni imenik ali pa /tmp uporablja za session store.
> > 
> > Kaj pa sploh je v datoteki?
 
zivjo,

poro?ilo maldeta:
---
FILE HIT LIST:
{HEX}php.cmdshell.cih.215 : /tmp/phpMoeWdR
{MD5}php.injector.genol.6184 : /tmp/php8ydK09
---

ko sem sedajle ?elel pogledati datoteki, ni bilo nobene ve? ...


sem grepal po logih, nikjer ni bilo nobenega zapisa o zgornjih datotekah

za1x toliko, hvala za namige

--
Sent from my Nokia N900
-------------- next part --------------
An HTML attachment was scrubbed...
URL:
http://liste2.lugos.si/pipermail/lugos-list/attachments/20130604/a327afcd/at
tachment-0001.htm 

------------------------------

Message: 7
Date: Tue, 04 Jun 2013 18:41:04 +0200
From: Borut Mrak <b na aufbix.org>
Subject: Re: [LUGOS] kdo je zapisal datoteko v /tmp
To: Glavni dopisni seznam LUGOSa <lugos-list na lugos.si>
Message-ID: <51AE18A0.1030200 na aufbix.org>
Content-Type: text/plain; charset=UTF-8; format=flowed



On Tue 04 Jun 2013 03:52:25 PM CEST, robi @ carnium wrote:
> ----- Original message -----
> > Borut Mrak je dne 04. 06. 2013 14:20 napisal/a:
> > > Kaj pa sploh je v datoteki?
>
> zivjo,
>
> poro?ilo maldeta:
> ---
> FILE HIT LIST:
> {HEX}php.cmdshell.cih.215 : /tmp/phpMoeWdR
> {MD5}php.injector.genol.6184 : /tmp/php8ydK09
> ---
>
> ko sem sedajle ?elel pogledati datoteki, ni bilo nobene ve? ...
>
>
> sem grepal po logih, nikjer ni bilo nobenega zapisa o zgornjih datotekah

Za php.injector.genol.6184 ima? verjetno na voljo md5sum in lahko 
poi??e? po disku...

Preglej vse web strani na stre?niku, ?e je v njihovem docrootu datoteka 
take velikosti (to ima?, ne?), kot je bila v /tmp. Oz. na?eloma lahko 
pogleda? kar po celem sistemu, ?e nima? ravno terabajtov podatkov.

Da ?e dodatno preveri? ?e je prava, uporabi? md5sum.

Ima? veliko obiska na spletnih straneh (gre za ve?ji hosting), ali je 
to bolj mala zadeva? ?e slednje, mogo?e lahko naredi? korelacijo med 
datumom datotek v /tmp in spletno stranjo, v kateri je luknja.

Ampak ?isto mo?no je, da ne bo? ni? na?el. Ali ker se ni ni? zapisalo 
drugam kot v /tmp, ali pa zato, ker je stre?nik ?e zrootan in ne vidi? 
procesa od vlomilcev :)

?e ho?e? bit 100%, si OFFLINE naredi kopijo podatkov in preveri na 100% 
?istem ra?unalniku (ali npr. z livecd) z istim orodjem. ?e ni? ne 
najde, si verjetno OK.

lp,
Borut.


------------------------------

Message: 8
Date: Mon, 10 Jun 2013 08:44:49 +0200
From: Moderator <moderator na lugos.si>
Subject: [LUGOS] POK 2013 - opomnik
To: Glavni dopisni seznam LUGOSa <lugos-list na lugos.si>, 	Lugos
	BlaBlaBla <lugos-bla na lugos.si>, lugos-prog na lugos.si
Message-ID: <51B575E1.7070805 na lugos.si>
Content-Type: text/plain; charset=UTF-8; format=flowed


Pozdravljeni.

POK se pribli?uje, ?im prej se moramo pre?teti in nabaviti dovolj hrane
in pija?e. Zato prosimo, da se na piknik ?im prej prijavite in sicer
tako, da po?ljete sporo?ilo na pok na lugos.si in navedete koliko ljudi
prijavljate.

Lep pozdrav






------------------------------

_______________________________________________
lugos-list mailing list
lugos-list na lugos.si
http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list


End of lugos-list Digest, Vol 93, Issue 1
*****************************************

More information about the lugos-list mailing list