JASONT

記得之前 YouTube 推出繁體中文版時，Yahoo 跑出來說他們是深耕台灣，用心在做，不是只有把介面中文化而以。不過為啥這個關鍵字連結會是出現東加而不是屏東啊.. 搞不太懂這是為啥，有屏東兩字的新聞應該也不少吧 -_-!

Sebek 是 Client / Server 架構，Client 本身內含功能將記錄以 UDP 方式丟給 Server，可以確保安全性。

抓下來 Sebek Client，./configure 完再 make，make完不需要下 make install，這時在目錄下會有一個 sebek-linux-3.0.3-bin.tar，把他搬去你要放的地方，tar 開裡面就是 sebek client了，主要設定和啟動檔是同一個 sbk_install.sh，照著裡面的說明編輯需要的參數，編輯完就 client 就 ok 了，再來裝 Server。

再另一台機器上抓 Sebek Server，一樣解開，./configure ; make ; make install 完，Server 安裝就是這麼簡單，裝完以後，就可以來測試了。

啟動 Server：（由於我只是要抓鍵盤輸入）

./sbk_extract -i eth0 -p 54068 | ./sbk_ks_log.pl

表示 Server Listen eth0 介面的 54068 Port ，再把 Packet 丟給 sbk_ks_log 這支 perl output 出來 。

啟動 Client：

./sbk_install.sh

沒問題的話就會順利啟動了，這時你在 Client 端鍵盤輸入的東西都會傳到 Server 去。Server 端目錄下還有幾支 Perl 也是用來處理收到的 Packet Content，像是 sebekd.pl 還可以幫你塞到 Mysql 去。

測試結果，Sebek 能夠抓到你上到 Client 再連到別台主機上打的任何東西，就算再由第二台再跳到別台都一樣抓的到，但因為他是用 read 的 system call 抓，所以如果像我用 bash，我打了一個目錄的第一個字按 Tab，後面出現的完整檔名並不會記錄到，這可能在完整性上會有點缺乏，另外就是不知為什麼我 sebek module 我 load/unload 第一次是可以正常沒問題，但第二次 load 之後要再 unload，就一定會 kernel panic 當掉。不過大致上因為是廣為人用的 Honeypot Project 相關的東西，因此覺得用起來就比 vlogger 有完整一點。

裝在公司機器上，OS 是 RedHat AS 3，Kernel 版本是 2.4.21-47，解開 source 後，先修改 Makefile.gen，把 -malign-loops=2 -malign-jumps=2 -malign-functions=2 改為 -falign-loops=2 -falign-jumps=2 -falign-functions=2，然後再把 vlogger.c 裡 1152~1157 Mark 掉，因為這邊的 ip_route_output 在這個版本的 kernel 裡還沒有（有的話會宣告在 route.h裡），網路上看是至少 2.4.23 這版裡面才會有，不過因為這只是檢查 route，Mark掉應該是不會太痛（反正我也沒有要試 log 傳到遠端.. XD）

這樣子 configure 完再 make ，然後執行 vlogconfig 產生啟動 Script vlogctrl，執行 vlogctrl 就行了，看是要 load 還是 unload。

如果沒有把 vlogger.c 裡的 ip_route_uotput Mark 掉，在 load vlogger module 時其實是會產生 unresolved symbol ip_route_output 這錯誤訊息，只是因為啟動 script 使用的是 insmod -q，所以錯誤訊息是不會顯示，script還是會顯示已載入模組，可是其實是沒成功的。

裝完會動就可以收工，不太符合需求，因為最多只能記錄到 ssh 到別台 host 在打帳密的部份，登入後，就沒有用了，另外測試 vi 編輯內容時是會記錄的到， 但寫到記錄時會是在你退出 vi 有一會才會寫入，這一點是有點奇怪的。

雖然查的有 13 個，不過從頭到尾會真的有用的只有這 9 個…

cbl.abuseat.org
dnsbl.sorbs.net
dnsbl.njabl.org
bl.spamcop.net
list.dsbl.org
dnsbl.ahbl.org
sbl.csma.biz
blackholes.five-ten-sg.com
spamsources.fabel.dk

會有感而發寫這麼兩篇，主要是因為寫信詢問軟體維護廠商關於其軟體所提供查詢介面獲得之結果，希望能對其結果說明更具有實際解釋，而不是只有代碼，提款機出錯好歹也會旁邊都有對應表給你看是為啥出錯吧…

結果廠商回信給我只寫了 “Confidential Data”，真是非常的簡潔再有力不過。

如果說這些代碼的意義是機密，那就不要秀在介面上不是更簡單，秀出來客戶不懂詢問了竟回答客戶是機密？這樣不是很扯嗎？真不曉得簽維護約是什麼意義，廠商大家都來你問我就回機密，多好做… 這種時候就該多學學手機還有個工程模式，開 Debug..

其實這主要還顯露出了一個問題，我買了一套系統，一開始簽了維護約，但期間問廠商問題都是沒辦法給予滿意的解答，如果有一天公司決定省錢不簽維護約，因為完全沒人實際了解這套系統，萬一系統有了問題的話，就沒有人可以處理，一定還是又要找廠商來，但不想花錢要換掉又感覺這和砍掉重練，當初買就跟白買一樣。這樣對公司購買一個產品來使用或提供服務，但沒有辦法長遠使用來講，實在是一大問題。

真是廠商要慎選，當然，站在公司立場當然也不能就這樣被廠商吃死死的囉.. 續集是一定會有的啦….