Ad Widget

Collapse

Реверс zabbix агента.

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • bjornskau
    Junior Member
    • Apr 2018
    • 17
    #1

    Реверс zabbix агента.

    Есть задача, подробности которой по определенным причинам раскрыть не могу. Имеется zabbix агент, который мониторит какие-то параметры, какие неизвестно. В конфиге в качестве юзер параметра отдается что то похожее на лицензионный ключ. Все проверки судя по всему осуществляются с сервера, на который доступа нет. Как можно проследить параметры которые мониторятся.
    Оговрка: поставить tcpdump нельзя, отмиррорить порт на свитче и прослушать трафик тоже.
    Last edited by bjornskau; 30-05-2018, 10:33.
    Tags: None
    • Semiadmin
      Senior Member
      • Oct 2014
      • 1625
      #2
      Указать DebugLevel=4 в конфиге агента и перезапустить его, потом смотреть лог агента.
      Если это действие кажется слишком заметным, можно просто набрать команду zabbix_agentd -R log_level_increase, уровень логирования поднимется на 1 (дефолтный 3).

        Comment

        • bjornskau
          Junior Member
          • Apr 2018
          • 17
          #3
          Originally posted by Semiadmin
          Указать DebugLevel=4 в конфиге агента и перезапустить его, потом смотреть лог агента.
          Если это действие кажется слишком заметным, можно просто набрать команду zabbix_agentd -R log_level_increase, уровень логирования поднимется на 1 (дефолтный 3).
          Спасибо. )) Сделал. ) Изучаю логи..)

            Comment

            • Semiadmin
              Senior Member
              • Oct 2014
              • 1625
              #4
              Только интуиция мне подсказывает, что лицензионный ключ проверяется не часто, может, раз в сутки...
              Если этот userparameter, сорри за каламбур, без параметров, можно просто проверить его через zabbix_agentd -t <key>, а если с параметрами, то тут уж в лог...
              Last edited by Semiadmin; 30-05-2018, 14:04.

                Comment

                • bjornskau
                  Junior Member
                  • Apr 2018
                  • 17
                  #5
                  Originally posted by Semiadmin
                  Только интуиция мне подсказывает, что лицензионный ключ проверяется не часто, может, раз в сутки...
                  Если этот userparameter, сорри за каламбур, без параметров, можно просто проверить его через zabbix_agentd -t <key>, а если с параметрами, то тут уж в лог...
                  Хм. Говорит что unsupported item key...(. Да, быть может забыл сказать, агент виндовый.

                    Comment

                    • Semiadmin
                      Senior Member
                      • Oct 2014
                      • 1625
                      #6
                      Originally posted by bjornskau

                      Хм. Говорит что unsupported item key...(. Да, быть может забыл сказать, агент виндовый.
                      А как выглядит ключ в юзерпараметре? Если сильно секретно, буквы можете заменить на другие, интересна форма

                        Comment

                        • bjornskau
                          Junior Member
                          • Apr 2018
                          • 17
                          #7
                          Originally posted by Semiadmin

                          А как выглядит ключ в юзерпараметре? Если сильно секретно, буквы можете заменить на другие, интересна форма
                          UserParameter=param.name, echo Windows.Pass.XXX.XXX.XXX
                          Last edited by bjornskau; 30-05-2018, 16:13.

                            Comment

                            • Semiadmin
                              Senior Member
                              • Oct 2014
                              • 1625
                              #8
                              Ну тут все просто, копируете в cmd это echo Windows.Pass.XXX.XXX.XXX и смотрите результат.

                                Comment

                                • bjornskau
                                  Junior Member
                                  • Apr 2018
                                  • 17
                                  #9
                                  Originally posted by Semiadmin
                                  Ну тут все просто, копируете в cmd это echo Windows.Pass.XXX.XXX.XXX и смотрите результат.
                                  Делал. echo отрабатывает как echo. просто выводит ту самую строку. Тут ничего примечательного.(

                                    Comment

                                    • Semiadmin
                                      Senior Member
                                      • Oct 2014
                                      • 1625
                                      #10
                                      Ну, если там действительно UserParameter=param.name, echo Windows.Pass.XXX.XXX.XXX а не, скажем, UserParameter=param.name[*], echo Windows.Pass.XXX.XXX.XXX $1, то ничего другого Zabbix и не получит.

                                        Comment

                                        • bjornskau
                                          Junior Member
                                          • Apr 2018
                                          • 17
                                          #11
                                          Originally posted by Semiadmin
                                          Ну, если там действительно UserParameter=param.name, echo Windows.Pass.XXX.XXX.XXX а не, скажем, UserParameter=param.name[*], echo Windows.Pass.XXX.XXX.XXX $1, то ничего другого Zabbix и не получит.
                                          Да, именно UserParameter=param.name, echo Windows.Pass.XXX.XXX.XXX .

                                            Comment

                                            Previous template Next
                                            Working...