2009-02-05

Шинэ залуу ба хуучнаа дурсахуй №4

Үргэлжлэл. Өмнөхийг http://www.dulmandakh.com/2009/01/1.html, http://www.dulmandakh.com/2009/02/2.html бас http://www.dulmandakh.com/2009/02/3.html уншина уу.

Системийн администратор гэдэг ажлыг хийгээд дөнгөж хагас жил гаран болж буй надад үнэхээр хүндхэн даалгавар ноогдох нь энэ. Үнэндээ захирал маань намайг "системийн администратор" болоогүй, биш гэдэг байв. Ажил нь, мэргэжил нь тэр болохоос миний мэдлэг, чадвар, туршлага үнэхээр дутаж байсан юм. Миний хувьд анхны аюулгүй байдлын талаар асуудал байв. Бас өдийг хүртэл чухал системийг өөрийн гараар суулгаж, ажилд оруулж байсангүй харин хүний бэлдсэн дээр л ажиллаж байсан болохоор их санаа амар явдаг байсан шиг байгаа юм.

Халдлагыг илрүүлэх ажлыг логуудаа бүр нарийн шалгах ажлаас эхэллээ. Системийн хэрэглэгч нэвтэрсэн (auth), ssh бас ерөнхий системийн логийг бүгдийг нь нэлээн сайн үзсэн боловч энэ гэхээр юм олж чадсангүй. Дараа нь систем дээр ямар үйлчилгээнүүд (service, daemon) ажиллаад, ямар порт нээлттэй байгааг үзвэл нэлээн өндөр хэд хэдэн порт нээлттэй байв. Ингээд интернэт сервер дээр ажиллаж байгаа үйлчилгээнүүд тус бүр ямар үүрэг зорилготой, ямар порт ашигладаг талаар судлав. Эцэст нь нөгөө өндөр портуудын учир нэг л олддоггүй. telnet ашиглаад холбогдож үзсэн боловч хариу өгдөггүй. Интернэтээс дугаарыг нь бичээд хайлаа бас л байдаггүй (тухайн үед lsof ашиглаж үзсэн эсэхээ сайн санахгүй байна). Энэ арга мухардсан тул дараагийн аргыг хэрэглэж эхлэв. Ер нь систем дээр маань ямар процессууд, програмууд ажиллаж байгааг ps-ийн тусламжтай гаргаж ирээд дахин нэгд нэгэнгүй шалгав. Харин энэ зуур сонин зүйл анзаарагдсан нь ./file буюу хаанаас дуудагдаж ажиллаад байгаа нь мэдэгдэхгүй процесс гараад ирэв. Юникс дээр . хавтас нь одоо байрлаж буй хавтсыг заадаг, гэвч энэ нь хаанаас эх аваад ингэж гараад байна вэ, бас ийм юм байж болдог юм байх даа гээд их гайхаад хэсэг бодож суух нь тэр. Мэдээж ийм юм өмнө харж байгаагүй, мэддэггүй болохоор бодоод юу ч олж чадсангүй. Харин энийн хаанаас дуудагдаж байгааг нь олох ажилд оров.

Миний санахын тэр үед find тушаалыг ашиглаж чаддаггүй байсан болохоор бараг бүх хавтас руу орж шалгаж баахан цаг алдсан санагдаж байна. Нэлээн хайж байгаад олдохгүй болохоор нь kill тушаалын тусламжтайгаар тухайн процессыг зогсоочихов. Санаа амарч хэсэг сууж байгаад эргээд ороод хартал ахиад л шинээр үүссэн ажиллаж байх юм. Бүр гайхаж байгаад ер нь унтраагаад асаавал ажиллаж байх эсэхийг шалгахаар туршиж үзэв. Ассаны дараа шалгавал алгаа, харин 10 минутын дараа үзвэл байна. Хэд хэд туршиж үзэхэд яг ийм шинж тэмдэг илрэв. Ингээд FreeBSD эхлэхдээ хаанаас ямар замаар үйлчилгээнүүдийг эхлүүлдэг, бас хэрхэн ажилладаг талаар судлах шаардлага гарав. Ахиад л интернэт ухаж гарав. Энэ замдаа байж болох, өөрийн олж мэдсэн бүх зүйлсийг шалгасан боловч бас л олигтой зүйл олдсонгүй. Арга тасарч эхлэв.

Нэлээн бодож байгаад эцсийн арга бол файлыг олж үзэх юм байна гэж шийдэв. Яг яаж олсноо санахгүй байгаа ч их л бүдүүлэг аргаар овоо удаан ноцолдож байж нэг юм олоход манай дээр байрлаж байсан нэгэн байгууллагын вэб хавтсанад байв. Нэгэнт хоёртын файл байсан тул доторхийг нь үзэх боломж байсангүй. Бас бөөн баяр болоод устгаж орхид серверээ дахин эхлүүлээд нэг хэсэг амар тайван суулаа. Сервер эхлэхэд нөгөө процесс алга, хэсэг хугацааны дараа ч алга. Гэвч хаанаас ийм файл орж ирээд, бас яаж ажиллаад байгаа талаар бодол миний толгойноос гарахгүй л байлаа...

1 comment:

Victor said...

daraagiin angi hurdan garaasai...:D