RE: Syslog a podvržená zpráva
Milan Cizek
cizek.milan at seznam.cz
Thu Nov 24 01:30:55 CET 2016
Ahoj,
omlouvám se za nepřesnosti a záměny pojmů. Konkrétně tedy...
IP adresa stroje 10.0.254.78 (žádná jiná)
# sockstat | grep syslog
root syslogd 31087 4 dgram /var/run/log
root syslogd 31087 5 dgram /var/run/logpriv
root syslogd 31087 6 udp4 *:514 *:*
Na jednom stroji, spuštěné 2 terminály - jeden na spouštění vykompilované binárky a druhý tcpdump -vvv port 514
# ./syslog_deluxe 1.1.1.1 2.2.2.2
01:25:35.098507 IP (tos 0x0, ttl 64, id 24745, offset 0, flags [none], proto UDP (17), length 86, bad cksum 0 (->13e9)!)
1.1.1.1.50000 > 2.2.2.2.syslog: [no cksum] SYSLOG, length: 58
Facility daemon (3), Severity info (6)
Msg: telnetd[4489]: connection from fake at hell.org.universe\0x0a
0x0000: 3c33 303e 7465 6c6e 6574 645b 3434 3839
0x0010: 5d3a 2063 6f6e 6e65 6374 696f 6e20 6672
0x0020: 6f6d 2066 616b 6540 6865 6c6c 2e6f 7267
0x0030: 2e75 6e69 7665 7273 650a
# ./syslog_deluxe 1.1.1.1 10.0.254.5 (neexistující IP)
01:26:11.547736 IP (tos 0x0, ttl 64, id 25348, offset 0, flags [none], proto UDP (17), length 86, bad cksum 0 (->d8c)!)
1.1.1.1.50000 > 10.0.254.5.syslog: [no cksum] SYSLOG, length: 58
Facility daemon (3), Severity info (6)
Msg: telnetd[4489]: connection from fake at hell.org.universe\0x0a
0x0000: 3c33 303e 7465 6c6e 6574 645b 3434 3839
0x0010: 5d3a 2063 6f6e 6e65 6374 696f 6e20 6672
0x0020: 6f6d 2066 616b 6540 6865 6c6c 2e6f 7267
0x0030: 2e75 6e69 7665 7273 650a
./syslog_deluxe 1.1.1.1 10.0.254.78
{tcpdump nic, v syslogu nic}
Mým cílem je dostat ten záznam do syslogu resp. konkrétního logu a demonstrovat tím, jak že to jde. :-)
Milan
> -----Original Message-----
> From: Users-l [mailto:users-l-bounces at freebsd.cz] On Behalf Of Dan Lukes
> Sent: Thursday, November 24, 2016 12:42 AM
> To: FreeBSD mailing list
> Subject: Re: Syslog a podvržená zpráva
>
> Milan Cizek wrote:
> > Ještě si dovolím malý poznatek a otázku, třeba někoho něco napadne.
> na syslog server.
> > V tcpdumpu jej vidím, že "odchází" z fake IP na nějakou jinou IP včetně syslog
> zprávy.
> > Syslog mám nastaven aby přijímal zprávy ze všech IP 0.0.0.0/0.
>
> Az sem se chytam.
>
> > Nicméně když na localhostu skript spustím,
>
> A tady uz ne. Co znamena "sputim script na localhostu" ?
>
> > a je jedno jestli mu jako cíl dám localhost nebo jakoukoli IP na interface (kde
> naslouchá syslog), pak se nic neodešle -
> > tcpdump nic nevidí.
>
> tcpdump poslouchajici na jakem interface ?
>
> > Když mu dám neexistující IP ze syslogu na interface, tak odesílá.
>
> Co je "IP ze syslogu" ?
>
>
> Nechces to prostredi popsat zcela konkretne - jake IP mas na jakych
> interfacech, s jakou IP a kam co zkousis poslat, kde posloucha tcpdump ...
>
> Bylo by to sice min blackmagicky, ale zase by bylo snazsi zkusit
> odpovedet ;-)
>
> Dan
>
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
More information about the Users-l
mailing list