Reply With QuoteА вот так выполняется :
Может в run-parts что то не то?run-parts /opt/etc/cron.1min
Member
To OlegaVB:
Сделал. Но сообщений в файл /tmp/crontest.txt не было.
Хотя при запуске вручную файла /opt/etc/cron.1min/test.sh сообщение в этом crontest записывалось.
Сообщения об отработке cron в логе присутствуют...
To Smi:
заменил строку на новую. То же самое: Сообщения об отработке cron в логе присутствуют, а о connections - нет.
При ручном запуске /opt/etc/cron.1min/test.sh - все нормально...
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
Senior Member
А вот так выполняется :
Может в run-parts что то не то?run-parts /opt/etc/cron.1min
Member
To Smi:
Донастроить cron - дело важное.
однако, скейчас там стоит только отслеживание connections
и их значение пока ни разу не преывысило 1000.
Вряд ли стоит тут ждать особо интересных новостей.
А вот что я заметил в логе - это наличие попыток взлома dropbear (точнее, подбора пароля).
и таких записей там - до 20 в минуту. При этом dropbear вполне конкретно грузит процессор.Code:Aug 5 05:23:11 dropbear[531]: login attempt for nonexistent user from ::ffff:66.147.164.211:34051 Aug 5 05:23:12 dropbear[531]: exit before auth: Disconnect received Aug 5 05:23:15 dropbear[532]: login attempt for nonexistent user from ::ffff:66.147.164.211:35910 Aug 5 05:23:16 dropbear[532]: exit before auth: Disconnect received Aug 5 05:23:18 dropbear[533]: login attempt for nonexistent user from ::ffff:66.147.164.211:37273 Aug 5 05:23:18 dropbear[533]: exit before auth: Disconnect received Aug 5 05:23:21 dropbear[534]: login attempt for nonexistent user from ::ffff:66.147.164.211:38346 Aug 5 05:23:22 dropbear[534]: exit before auth: Disconnect received
Вот тут вполне возможны проблемы - можно ли сделать так, чтобы доступ к dropbear был только из lan?
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
Member
To OlegaVB:
Попробовал. Получил вот такое сообщение
/bin/sh: Can't open
Открыл файл, перенабрал вручную 1-ю строку, РАЗАБОТАЛО!
Ура! и спасибо.Code:Aug 5 17:45:01 /opt/sbin/cron[1918]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 17:45:02 admin: connections=907 Aug 5 17:46:01 /opt/sbin/cron[1932]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 17:46:01 admin: connections=857
Осталось понять почему же падает рутер... Ибо значения connections там не вдохновляют на то, что именно по этой причине происходят падения. Они там ниже уровня 1000, а в настройках стоит 16384 соединения...
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
Senior Member
Ну убрать никогда не поздно, за то можно будет отмести одну из версийOriginally Posted by iDiver
Может вас периодически просто DoSят? Кроме dropbear еще наружу ч.л. открыто?
Я просто поднял dropbear на другом порту (> 1024) и с тех пор, в логе только мои соединения
Senior Member
Поздравляю, часть кривости уже убрали, а сколько ее там еще осталось, мы не знаем
Но он же еще не упал?
Member
случилось очередное зависание.
Ничего выдающегося на предмет большщого кол-ва connections не случилось...
В логе тоже ничего интересного - перед падением только сообщения о кол-ве соединенийCode:Aug 5 18:35:02 admin: connections=918 Aug 5 18:36:01 admin: connections=926 Aug 5 18:37:02 admin: connections=854 Aug 5 18:42:30 admin: connections=409 Aug 5 18:43:02 admin: connections=395
Т.е. за последние 20 минут перед падением никаких атак на тот же dropbear не было...Code:Aug 5 18:30:02 /opt/sbin/cron[2603]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:30:02 admin: connections=1089 Aug 5 18:31:01 /opt/sbin/cron[2617]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:31:02 admin: connections=1019 Aug 5 18:32:01 /opt/sbin/cron[2628]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:32:02 admin: connections=928 Aug 5 18:33:01 /opt/sbin/cron[2639]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:33:01 admin: connections=960 Aug 5 18:34:01 /opt/sbin/cron[2650]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:34:02 admin: connections=979 Aug 5 18:35:01 /opt/sbin/cron[2662]: (admin) CMD (run-parts /opt/etc/cron.5mins) Aug 5 18:35:01 /opt/sbin/cron[2663]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:35:02 admin: connections=918 Aug 5 18:36:01 /opt/sbin/cron[2677]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:36:01 admin: connections=926 Aug 5 18:37:01 /opt/sbin/cron[2688]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:37:02 admin: connections=854 Jan 1 03:00:05 syslogd started: BusyBox v1.1.3 Jan 1 03:00:05 kernel: klogd started: BusyBox v1.1.3 (2009.02.22-14:37+0000) Jan 1 03:00:05 kernel: CPU revision is: 00029006
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
Member
Так судя по логу, к нему и образаются по портам >10'000Я просто поднял dropbear на другом порту (> 1024) и с тех пор, в логе только мои соединения
а на каком порту обычно работает dropbear и как его перенастроить на более высокий?
И, собственно, как узнать что выставлено наружу.
Знаю про:
utorrent с компа и ноута
rtorrent, lighthttpd, ftp с рутера
samba, как я понимаю, наружу не торчит
Last edited by iDiver; 05-08-2009 at 15:59. Reason: доп. вопросы про то, что торчит наружу
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
Senior Member
Ну значит это отметаем.
А top в ssh сессии был запущен?
Member
К сожалению, нет. Прощелкал этот момент.
А нельзя там как-то грепать верхние 2-3 процесса и их также в лог выкидывать?
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
Senior Member
Нет, это не к нему по портам, а к нему с портов, это порты открытые на удаленной машине
Стандартный порт ssh = 22, туда обычно и ломятся т.ч. советую сменить. Кроме того, советую запретить, если сейчас разрешено, отвечать на пинги для WAN!
И вообще на закладке http://192.168.0.1/Advanced_BasicFirewall_Content.asp:
Enable Firewall? Yes
Enable DoS protection? No
Enable Web Access from WAN? No
Respond LPR Request from WAN? No
Respond Ping Request from WAN? No
Ну это уже совсем не прилично, поиском не воспользоваться? Вы какие темы прочитали? Как роутер вообще настраивали, copy/paste не думая?!
Senior Member
Воспльзоваться к.л. сканером выявляющим уязвимости системы с наружи, таких сайтов море, поищите в гугле.
Senior Member
Я не знаю, но наверняка можно, а искать в гугле лень
Senior Member
top |head -n 10 | tail -n 3Я не знаю, но наверняка можно, а искать в гугле лень
Получаются 1е 3 процесса из top... но:
Code:[admin@WL500w root]$ top |head -n 10 | tail -n 3 12004 admin 15 0 596 596 460 R 6.9 2.0 0:00.13 top 304 admin 12 0 8672 6792 5768 S 3.5 22.5 33:41.29 rtorrent 12006 admin 12 0 336 336 276 S 1.7 1.1 0:00.01 tail
Member
Спасибо!
Теперь как-то повеселее стало!
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
