Кстати ещё кто беспокоится за сохранность приватности, рекомендую зайти на сайт history.qip.ru/ — я там обнаружил историю, сохранённую на сервере.
К тому же почему-то хранение истории было по умолчанию включено.
Лично я в основном из-за метаконтактов и мультипротокольности + некоторых плюшек, как например этот сервис от квипа.
зы. Раньше сидел на QIP 2005 — проблем с антиспамом не было.
Почему бы не юзать такую конструкцию?
tail -F $icelog --pid=$workpid 2>/dev/null| killscript
killscript()
{
while read line; do
ip=`echo -n "$line"|grep -v ".m3u" | grep -E «GET (/sourc......`
…
done < /dev/stdin
}
было бы в реалтайме.
Так же имхо надо как можно меньше использовать подобные
"> $TXTFILE2" конструкции, либо хранить эти файлы в /dev/shm/file.txt, поскольку иначе — это перегрузка харда бесполезными действиями.
Кстати интересно, а что будет если бота редирекнуть на кластер серваков, на которых чтонить такое крутиться, что друг на друга редиректит? У них сработает счётчик редиректов?
Нечто подобное делал на своём icecast сервере, чтоб никто не смог ретранслировать мой поток. Для этого просто банил всех с юзерагентом icecast. Самое простое решение, но сложность в том, что юзерагент можно увидеть только в логах (хотя потом я подправил код, но сейчас не об этом).
Долго думал как сделать, в итоге сделал нечто типа:
tail -F $icelog --pid=$workpid 2>/dev/null| $killscript
где в скрипте $killscript было:
while read line; do
ip=`echo -n "$line"|grep -v ".m3u" | grep -E «GET (/sourc......`
…
done < /dev/stdin
Не надо парсить каждый раз лог — всё делается на лету. В итоге с найденным ip-ом можно делать всё что угодно =)
зы. Кстати, интересная особенность была замечена моим знакомым в ботнетах — они как правило поддерживают редирект =) Можно редиректить ботов…
— зызы. кстати насчёт дисков — имхо надо стараться делать сайты, работающие по максимому в оперативке, тогда — оптимизация защиты от Ddos + неплохой канал в сочетании с сайтом в оперативке и любой ddos не страшен. Ну почти =)
Интересный обзор! А есть информация о операционной системе? Как я понимаю — скорее всего линукс? Можно ли его поднять на стороннем железе, давно хотел найти хорошую платформу для медиа-центра…
Ну на нокии n82 — две сплошные стрелочки =) Означает как раз наличие соединения (когда его нет — на месте буквы E — просто антенка, а в процессе подключения появляется E и мигающие стрелочки, потом они становятся пунктирными, а потом сплошными). Как и при закачке, так и после её отмены — состояние соединения, судя по значку, не менялось.
Что-то я не понял. Это был ответ? =)
Вот только что проверил с nokia n82. Установил gprs (точне edge)-соединение. Начал качать jpg 4 метра. В процессе закачки — позвонил с другого телефона в ответ «аппарат абонента выключен...». Прервал закачку (но gprs-соединение осталось висеть) и тут же позвонил — звонок успешно прошёл. Вопрос как раз в том, почему это происходит.
Я наверное не совсем правильно выразился.
Допустим есть телефон с подключенным GPRS (активна PDP-сессия) но при этом ничего не качается. (ни одного байта не летает) в таком случае до абонента можно дозвониться.
Если же есть тот же самый телефон, но который что-то активно качает с инета — то до такого абонента дозвониться нельзя никак.
Что это означает? При неактивной сессии — звонок идёт напрямую на коммутатор?
Неплохо было бы автору в топике собрать всё полезное, что написали в комментах. Особенно названия программ.
От себя так же поделюсь некоторым опытом и названиями программ, которые использую.
Недавно как раз удалял вирь, который просил что-то отправить. В первую очередь, что я заметил, доступ в интернет и сеть почему-то с этого компьютера пропал, но при этом как ни странно на этот компьютер можно было зайти удалённо (через расшару). Естественно этим сразу воспользовался и залил нужный софт.
В первую очередь с пристрастием изучил список процессов через far (в нём удобно библиотечки загруженные смотреть и путь, откуда процесс запущен).
Так же неплоха программа starter — она умеет дескрипшны к библиотекам считывать. Часто вирусописатели не заморачиваются с составлением дескрипшна, а все честные библиотеки как правило подписаны.
В итоге найти через список процессов ничего не удалось — отдельный процесс не использовался, а была подгрузка в качестве библиотеки в один из системных процессов. Это был winlogon, поскольку в списке процесса была посторонняя библиотека, но я решил убедиться. Убедился я это путём «нагрузки» приложения -вируса, которая неплохо реагировала на неадекватные действия и грузила процессор, а это легко было заметить в списке процессов. Далее я поставил Process Explorer, там есть прикольная фича — можно убивать треды. Проверил ещё раз, погрузив проц, действительно тред с этой штукой грузил проц. Убил тред с вируснёй, но так и не выяснил откуда она подгружалась. Почему-то везде (в списках процессов) был указан сетевой адрес загрузки. То есть адрес вида \\82.123.22.11\woehfowe.exe что это? подмена адреса загрузки? Расшара через инет сработать никак не могла…
Жаль эти приложения нельзя натравливать на удалённый комп. Поскольку в моём случае — у меня было небольшое количество рабочей области, на которой я мог что-то запускать, остальную занимал вирь.
В иных случаях нужно заходить по сети (это кстати не всегда можно сделать) или загружать лайв сд, но в этом случае невозможно понять, что же происходит на заражённом компьютере.
Так же можно понять где зарыт вирь по тому, как грузится комп, на каком этапе появляется окошко — так можно узнать как именно загружается вирь.
Варианты зарытия вирей:
1) тупо стандартная автозагрузка (нужная ветка в реестре легко находится) либо через папку автозагрузка, но это в последнее время мало используется.
2) загрузка в виде библиотеки, обычно в explorer.exe но бывает и winlogon.exe. Обнаружить можно через far, starter — убить через process explorer
3) загрузка в виде сервиса или драйвера — обнаружить можно через sc query, стандартный список сервисов и ещё через servconf — удобная утилита для работы с сервисами и драйверами.
4) подмена какого-нить системного процесса. ну тут всё просто =)
Если процесс скрытый и обнаружить его не удаётся — можно попробовать поискать с помощью rootkit revealer. Так же можно попробовать проследить за тем что за вызовы бегают в системе с помощью Process Monitor от Sysinternals.
Ещё, бывает, хочется удалить файл, а он не удаляется — типо занят. Грузиться в безопасный режим или юзать лайвсд влом — тогда помогает небольшая утилитка unlocker. Разблокирует файлы и папки и можно легко удалить что угодно.
Кстати по поводу дозвона при подключенном GPRS/EDGE. Эта проблема довольно старая. Что заметил — если идёт какая-то активная закачка, то дозвониться до этого человека нереально, говорят абонент не абонент. Если же активной закачки — нет, то вполне спокойно можно до такого абонента дозвониться. Почему так происходит?
В 3G такого нет, во время 3G сессии можно одновременно разговаривать и качать данные, правда я такое видел только за бугром.
К тому же почему-то хранение истории было по умолчанию включено.
зы. Раньше сидел на QIP 2005 — проблем с антиспамом не было.
tail -F $icelog --pid=$workpid 2>/dev/null| killscript
killscript()
{
while read line; do
ip=`echo -n "$line"|grep -v ".m3u" | grep -E «GET (/sourc......`
…
done < /dev/stdin
}
было бы в реалтайме.
Так же имхо надо как можно меньше использовать подобные
"> $TXTFILE2" конструкции, либо хранить эти файлы в /dev/shm/file.txt, поскольку иначе — это перегрузка харда бесполезными действиями.
Долго думал как сделать, в итоге сделал нечто типа:
tail -F $icelog --pid=$workpid 2>/dev/null| $killscript
где в скрипте $killscript было:
while read line; do
ip=`echo -n "$line"|grep -v ".m3u" | grep -E «GET (/sourc......`
…
done < /dev/stdin
Не надо парсить каждый раз лог — всё делается на лету. В итоге с найденным ip-ом можно делать всё что угодно =)
зы. Кстати, интересная особенность была замечена моим знакомым в ботнетах — они как правило поддерживают редирект =) Можно редиректить ботов…
— зызы. кстати насчёт дисков — имхо надо стараться делать сайты, работающие по максимому в оперативке, тогда — оптимизация защиты от Ddos + неплохой канал в сочетании с сайтом в оперативке и любой ddos не страшен. Ну почти =)
Вот только что проверил с nokia n82. Установил gprs (точне edge)-соединение. Начал качать jpg 4 метра. В процессе закачки — позвонил с другого телефона в ответ «аппарат абонента выключен...». Прервал закачку (но gprs-соединение осталось висеть) и тут же позвонил — звонок успешно прошёл. Вопрос как раз в том, почему это происходит.
Допустим есть телефон с подключенным GPRS (активна PDP-сессия) но при этом ничего не качается. (ни одного байта не летает) в таком случае до абонента можно дозвониться.
Если же есть тот же самый телефон, но который что-то активно качает с инета — то до такого абонента дозвониться нельзя никак.
Что это означает? При неактивной сессии — звонок идёт напрямую на коммутатор?
От себя так же поделюсь некоторым опытом и названиями программ, которые использую.
Недавно как раз удалял вирь, который просил что-то отправить. В первую очередь, что я заметил, доступ в интернет и сеть почему-то с этого компьютера пропал, но при этом как ни странно на этот компьютер можно было зайти удалённо (через расшару). Естественно этим сразу воспользовался и залил нужный софт.
В первую очередь с пристрастием изучил список процессов через far (в нём удобно библиотечки загруженные смотреть и путь, откуда процесс запущен).
Так же неплоха программа starter — она умеет дескрипшны к библиотекам считывать. Часто вирусописатели не заморачиваются с составлением дескрипшна, а все честные библиотеки как правило подписаны.
В итоге найти через список процессов ничего не удалось — отдельный процесс не использовался, а была подгрузка в качестве библиотеки в один из системных процессов. Это был winlogon, поскольку в списке процесса была посторонняя библиотека, но я решил убедиться. Убедился я это путём «нагрузки» приложения -вируса, которая неплохо реагировала на неадекватные действия и грузила процессор, а это легко было заметить в списке процессов. Далее я поставил Process Explorer, там есть прикольная фича — можно убивать треды. Проверил ещё раз, погрузив проц, действительно тред с этой штукой грузил проц. Убил тред с вируснёй, но так и не выяснил откуда она подгружалась. Почему-то везде (в списках процессов) был указан сетевой адрес загрузки. То есть адрес вида \\82.123.22.11\woehfowe.exe что это? подмена адреса загрузки? Расшара через инет сработать никак не могла…
Жаль эти приложения нельзя натравливать на удалённый комп. Поскольку в моём случае — у меня было небольшое количество рабочей области, на которой я мог что-то запускать, остальную занимал вирь.
В иных случаях нужно заходить по сети (это кстати не всегда можно сделать) или загружать лайв сд, но в этом случае невозможно понять, что же происходит на заражённом компьютере.
Так же можно понять где зарыт вирь по тому, как грузится комп, на каком этапе появляется окошко — так можно узнать как именно загружается вирь.
Варианты зарытия вирей:
1) тупо стандартная автозагрузка (нужная ветка в реестре легко находится) либо через папку автозагрузка, но это в последнее время мало используется.
2) загрузка в виде библиотеки, обычно в explorer.exe но бывает и winlogon.exe. Обнаружить можно через far, starter — убить через process explorer
3) загрузка в виде сервиса или драйвера — обнаружить можно через sc query, стандартный список сервисов и ещё через servconf — удобная утилита для работы с сервисами и драйверами.
4) подмена какого-нить системного процесса. ну тут всё просто =)
Если процесс скрытый и обнаружить его не удаётся — можно попробовать поискать с помощью rootkit revealer. Так же можно попробовать проследить за тем что за вызовы бегают в системе с помощью Process Monitor от Sysinternals.
Ещё, бывает, хочется удалить файл, а он не удаляется — типо занят. Грузиться в безопасный режим или юзать лайвсд влом — тогда помогает небольшая утилитка unlocker. Разблокирует файлы и папки и можно легко удалить что угодно.
Надеюсь сей текст будет кому-нибудь полезен =)
В 3G такого нет, во время 3G сессии можно одновременно разговаривать и качать данные, правда я такое видел только за бугром.