Re: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Cejka Rudolf
Milan Cizek wrote (2016/11/24): > Ha trefa. Tady to vidět je... > ... > Proč to ale neukázal tcpdump bez specifikovaného interface jen s omezením > portu? Protože jednak tcpdump sleduje jen síťová rozhraní a nikoli proces směrování, a jednak poslouchá jen na jednom rozhraní, přičemž implicitně bez

RE: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Milan Cizek
Tak vyřešeno, už loguje do souboru. Nastavil jsem jinak konstanty MESSAGE_FAC MESSAGE_PRI Díky všem za pomoc. Milan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l

RE: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Milan Cizek
> ještě je možné nastavit, že i zdrojový port musí být 514. > > Tímto přijímáš zprávy ze všech zdrojových portů: > -a 192.168.0.0/16:* -a 10.0.0.0/8:* Mám tam *. Zapnul jsem syslog s -d, celkem pěkně to vypisuje... a ta zpráva se do něj dostane. validate: dgram from IP 10.0.254.1, port 514, name

Re: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Ivo Hazmuk
Ahoj, jsem si to po sobě nepřečetl. Ve výchozím nastavení jsou akceptovány pouze datagramy z portu 514. Jinak platí, co jsem napsal. I. On 11/24/16 14:48, Ivo Hazmuk wrote: On 11/24/16 14:41, Milan Cizek wrote: Ha trefa. Tady to vidět je... 1.1.1.1.5 > bsd.syslog: [no cksum] S

Re: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Ivo Hazmuk
On 11/24/16 14:41, Milan Cizek wrote: Ha trefa. Tady to vidět je... 1.1.1.1.5 > bsd.syslog: [no cksum] SYSLOG, length: 58 Facility daemon (3), Severity info (6) Msg: telnetd[4489]: connection from f...@hell.org.universe\0x0a 0x: 3c33 303e 7465 6c6e 6574 645b 3434

RE: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Milan Cizek
Ha trefa. Tady to vidět je... 1.1.1.1.5 > bsd.syslog: [no cksum] SYSLOG, length: 58 Facility daemon (3), Severity info (6) Msg: telnetd[4489]: connection from f...@hell.org.universe\0x0a 0x: 3c33 303e 7465 6c6e 6574 645b 3434 3839 0x0010: 5d3a 2063 6f6e 6e

Re: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Cejka Rudolf
Milan Cizek wrote (2016/11/24): > IP adresa stroje 10.0.254.78 (žádná jiná) > ./syslog_deluxe 1.1.1.1 10.0.254.78 > {tcpdump nic, v syslogu nic} tcpdump -i lo0? -- Rudolf Cejka http://www.fit.vutbr.cz/~cejkar Brno University of Technology, Faculty of Information Technology Bozetechova 2, 612 66

RE: Syslog a podvržená zpráva

2016-11-23 Tema obsahu Milan Cizek
ailto:users-l-boun...@freebsd.cz] On Behalf Of Dan Lukes > Sent: Thursday, November 24, 2016 12:42 AM > To: FreeBSD mailing list > Subject: Re: Syslog a podvržená zpráva > > Milan Cizek wrote: > > Ještě si dovolím malý poznatek a otázku, třeba někoho něco napadne. > na syslog ser

Re: Syslog a podvržená zpráva

2016-11-23 Tema obsahu Dan Lukes
Milan Cizek wrote: Ještě si dovolím malý poznatek a otázku, třeba někoho něco napadne. na syslog server. V tcpdumpu jej vidím, že "odchází" z fake IP na nějakou jinou IP včetně syslog zprávy. Syslog mám nastaven aby přijímal zprávy ze všech IP 0.0.0.0/0. Az sem se chytam. Nicméně když na l

RE: Syslog a podvržená zpráva

2016-11-23 Tema obsahu Milan Cizek
Ještě si dovolím malý poznatek a otázku, třeba někoho něco napadne. Dostal jsem to do funkčního stavu. Tedy jsem schopen odeslat UDP paket na syslog server. V tcpdumpu jej vidím, že "odchází" z fake IP na nějakou jinou IP včetně syslog zprávy. Syslog mám nastaven aby přijímal zprávy ze všech IP

Re: Syslog a podvržená zpráva

2016-11-22 Tema obsahu Cizek Milan
Ahoj, metody typu logger, nc, socat mi fungují. syslog normálně na UDP žije ukládám do něj už nějaký rok zprávy ze sítě. Milan -- Původní zpráva -- Od: Vilem Kebrt Komu: users-l@freebsd.cz Datum: 22. 11. 2016 10:32:39 Předmět: Re: Syslog a podvržená zpráva "Jinak o

Re: Syslog a podvržená zpráva

2016-11-22 Tema obsahu Vilem Kebrt
ropíše. :( >> >> >> Asi tedy není jiný důvod než přímo chyba někde v kódu? >> >> >> >> >> Milan >> >> >> >> >> ------ Původní zpráva -- >> Od: Cizek Milan >> Komu: FreeBSD mailing list >&g

Re: Syslog a podvržená zpráva

2016-11-22 Tema obsahu Vilem Kebrt
ani z povolené nebo localhost IP se mi do syslogu stejně nic > nepropíše. :( > > > Asi tedy není jiný důvod než přímo chyba někde v kódu? > > > > > Milan > > > > > -- Původní zpráva -- > Od: Cizek Milan > Komu: FreeBSD mailing list &g

Re: Syslog a podvržená zpráva

2016-11-22 Tema obsahu Cizek Milan
Zkouším a ani z povolené nebo localhost IP se mi do syslogu stejně nic nepropíše. :( Asi tedy není jiný důvod než přímo chyba někde v kódu? Milan -- Původní zpráva -- Od: Cizek Milan Komu: FreeBSD mailing list Datum: 22. 11. 2016 9:56:45 Předmět: Re: Syslog a

Re: Syslog a podvržená zpráva

2016-11-22 Tema obsahu Cizek Milan
freebsd.cz Datum: 22. 11. 2016 8:47:52 Předmět: Re: Syslog a podvržená zpráva pokud ve FreeBSD pouštíš syslogd bez jakýchkoliv úprav nastavení. T.j. když nenastavíš proměnnou syslogd_flags, běží syslogd s parametrem -s (secure). V tomto módu syslogd nezaznamenává zprávy ze vzdálených stroj

Re: Syslog a podvržená zpráva

2016-11-21 Tema obsahu Ivo Hazmuk
Ahoj, On 11/22/16 04:22, Milan Cizek wrote: ve své seminárce o syslogu bych rád demonstroval zaznamenání zprávy podvrženým UDP paketem (s falešnou source IP která projde). Vyšel jsem z tohoto ukázkového kódu, který jsem upravil na aktuální struktury dle ip.h a udp.h. http://insecure.org/sploits/