lazy

klaster z definicji to nie jeden komputer w 1 tobie chyba chodzi o zrobienie z 2 plyt jednosocketowych odpowiednika jednej 2 socketowej co oczywiscie nie jest mozliwe nie podkrecisz w taki sposob swojego komputera, zostaje tylko azot ;P -- Lazy

mozliwe, a logowania czy pojawiaja sie jakies nieznane hosty ? last powinno tu pomoc

skany ssh czesto sa odpalane po zalogowaniu sie na serwer bota wlasnie przez ssh, w netstacie nie bylo zadnych wychodzacych polaczen ssh, wiec pewni juz sie skonczylo, pospradzaj kto sie logowal na ssh, przed sknem, i poszukaj dziwnych rzeczy w .bash_history, moze ktos ma ustawione słabe hasło ? (moze warto przejechac johnem) moze niedawno przeniosles ssh na port 5000 i zalogowali sie wczesniej ? -- Lazy

ten podejrzany apache to wrzuta jest wiec odpada masz jakies informacje jakie konkretnie ataki i co najwazniejsze kiedy, wtedy dobrze by przejrzec dokladnie acceslogi z tego okresu -- Lazy

hmm tcp6 0 0 :::5000 :::* LISTEN 21097/sshd tcp6 0 0 :::53 :::* LISTEN 6517/named tcp6 0 0 ::1:953 :::* LISTEN 6517/named tcp6 0 0 :::5000 :::* LISTEN 29319/sshd czyli to netstat z hardwarenode z jakims openvz vpsem z DA? a te 5000 to twoje ssh, wiec zostaje tylko apache laczacy sie z czyms na o2 pamietaj ze accesslogi w da sa podzielone o ile dobrze pamietam grep http /var/log/httpd/domains/*.log (czy jakos tak) powinno przesiac odpowiednich kandydatow na wlam -- Lazy

tcp 0 0 85.***.135.74:43347 193.17.41.93:80 ESTABLISHED20824/httpd uzywasz u siebie apache ? to ze apache laczy sie z jakims serwerem www wskazuje wlasnie na RFI, poszukaj w logach apache odwolan z http://costam w adresie ewentualnie strace -p 20824 (numerek moze sie zmieniac, pobierz aktualny z netstata) 2>&1 |less da jakis oglad co proces robi i powinny sie przewinac nazwy plikow przez ktore moze wchodzic wlamywacz kernel dosc stary, 53.5 jest chyba nawet podatne na splice choc na openvz standardowy exploit nie działa tcp6 0 5020 ::ffff:85.***.135.:5000 ::ffff:83.10.183.:58680 ESTABLISHED20930/0 to tez podejrzane a co masz w netstat -lpnt -- Lazy

poszukaj podejrzanych plikow w tmp (ls -lha /tmp /var/tmp) podejrzanych kont (less /etc/shadow) wszystko co ma ustawione haslo a nie jest ustawione przez ciebie jest bardzo podejrzane podejrzanych procesow (ps axu), podejrzane moga byc takze mocno zajete procesy apache jesli serwer www nie jest akurat obciazony netstat -pnt pokaze co i gdzie sie laczy, na serwerze nie powinno byc u ciebie prawdopodobnie zadnych polaczen wychodzacych poza np. mysql, poczta bardzo podejrzany bedzie proces laczacy sie na porty 6667 (irc) mozesz wyslac wyniki ps axu, ls -lha /tmp /var/tmp, uname -a, netstat -pnt, netstat -lpn wtedy moze uda sie cos wyłowic poszukaj tez dziwnych wywołan w accesslogu chodzi o wywolania z adresem url zamiast numeru strony itp. wiecej na http://en.wikipedia.org/wiki/Remote_File_Inclusion tak bym strzelal, ktos sie wlamal przez dziurawe php i postawil bota i sie bawi -- Lazy

ruch do twojego lokalnego as to twoj download in dla np. tpsa znaczy ruch przechodzacy przez ciebie a idacy do tpsy, out ruch wychodzacy od tpsy, w twoim przypadku download z tpsy dane sa usredniane, a tryb pokazywania transferu chwilowego zaniza 100 krotnie transfer, mam na to latke jesli bedziesz chcial monitorowac ruch na bierzaco, i radze nie uruchamiac w zwyklym trybie na dlozszy czas bo program zjada z czasem coraz wiecej ramu -- Lazy

http://s-tech.elsat.net.pl/bmtools/ a konkretnie stakasta z http://s-tech.elsat.net.pl/bmtools/stak-1.0b2.tar.gz plik z prefixami utworzysz przez make data jak stakasta uzywac jest w http://s-tech.elsat.net.pl/bmtools/docs/stakasta.html -- Lazy

ale głupi ten SUN serwery na tym szicie z nvidii serwery sklada od lat

to ze jest full mimo odrobiny wolnego miejsca to zapewne zarezerwowane dla roota 5% co do tego co moze zajmowac miejsce, a nie wyjsc w du to moze jest to jakis duzy plik ktory jest ciagle uzywany przez jakiegos daemona a ktory został skasowany, moze jakies logi itp. (lsof bedzie przydatny) -- Lazy

nigdzie w konfiguracji tego nie zmienisz, php ignoruje my.cnf, pozostaje 1) skompilowanie libmysqlclient z defaultem na latin2 2) magiczna latka (obecna o ile dobrze pamietam w gentoo) dodajaca dodatkowe opcje do php.ini ktore ustalaja domyslne kodowanie -- Lazy

fast cgi takze musi forkowac procesy w razie potrzeby, mod_php nie jest idealne, ale nie jest wolniejsze od fcgi

194 Temperature_Celsius 0x0022 100 100 000 Old_age Always - 30 (Lifetime Min/Max 16/43) max 43 obecnie 30 stopnie wiec nie jest zle z temperatura -- Lazy

imho to im powinno byc glupio a nie tobie

tak, 5 Reallocated_Sector_Ct 0x0033 100 100 050 Pre-fail Always - 10 196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 10 197 Current_Pending_Sector 0x0032 100 100 000 Old_age Always - 11 dysk sie sypie

sa jeszcze narzuty iscsi, wydajmosc samej macierzy i chyba jakic shaping do tego samo iscsi tez nie jest obojetne dla procesora

mozesz przytoczyc calosc ze smarta ? mozna tez dysk przetestowac komenda smartctl -d ata -t short /dev/sda dysk rzeczywiscie jakos wolno dziala

bo tyle wyciaga ichnie iSCSI po sieciowce 100MBit/s choc to i tak zbyt optymistyczne bo przeciez tam jest tylko jedna karta sieciowa wiec transfer mozna nawet podzielic na pol jesli pliki nie beda szly z cache

co pokazuje iostat -kx 5 ? moze jest cos w smarcie ? (smartctl -d ata -a /dev/sdX) w wyniku ps axu ktore procesy sa w stanie D ? jesli jest tam softraid to moze cos ciekawego jest w /proc/mdstat a moze cos w dmesg ?

w "pod folderze" moze byc tylko jeden katalog online ja bym to zrobil np. tak cd /glownyfolder find -maxdepth 2 -mindepth 2 -type d -name online|xargs -n 1 chmod 777 na poczatek proponuje zamienic chmod 777 na echo by sprawdzic czy aby to na pewno chmodowane sa tylko katalogi o ktore nam chodzi -- Lazy

chodzi Tobie o taki wynalazek http://www.embedos.com/pl/artykul/ethernus-2-795.html

cytacik "gdyby nie ślizga obudowa" niezłe, prawie jak bash.org ;P

w zwyklym qmailu tego raczej nie zrobisz, chyba ze beda to 2 niezalezne qmaile pierwszy był by odpalany przez xinetd w razie polaczenia z tego ipka a 2gi z usunietymi z rcpthosts domenami wysylal by poczte klientow mozna by dodac latke (dosc prosta) by ignorowala rcpthosts jesli ustawiona byla by jakas tam zmienna środowiskowa ustawiona czy to przez tcpserwer lub xinetd (jesli on nie ma takiej mozliwosci zawsze mozna sprawdzac ip podlaczonego hosta to jest juz z pewnoscia ustawiane przez xinetd) -- Lazy

jak to co dzwonisz do della/ibma i w ciagu kilku godzin masz działający sprzęt po to jest markowy sprzet by miec dobra gwarancje do niego w niedziele rano mało jest pierwszych lepszych sklepów otwartych, dla swietego spokoju dobrze jest miec po prostu jednego zapasowego pcta -- Lazy