Teleport Ultra扒站备忘

太久没有用这个东西了。

要求：被扒的整站以及第一层外站链接。

一开始被“不多于”迷惑了，填了1，感觉明显不对。

被黑之后笨办法检查远程登录记录

• 首先开启对登陆事件的记录（服务器版的Windows默认是开的）：
  "Admin Tools" - "Local Security Settings" - then in MMC Uunder "Local Policies", "Audit Policy" then on the right "Audit account logon events"
• 然后去"事件查看器" - "Windows 日志" - "安全"里面筛选任务类别为“登录"的，导出为txt
• 将此txt上传到linux……用csplit切开：
  csplit -k log.txt 49 {1000000}
  这里不明白为什么明明是每48行一段的，参数需要写49才正确
• 然后找出登录的：
  find  ./  -name "xx*" | xargs -n50 grep 'winlogon.exe' > file
  "xx"是csplit切分的默认前缀
• 稍微处理一下列表，得到包含文件名为其中一整行的新文件：
  tr -s ":" "\n" <file >file.txt
•  写个脚本用于把这些日志挪别处去：
  cat file.txt | while read line
  do
  mv $line {path}
  done
• 然后继续从这些日志中删掉自己登陆的，先找出来：
  find  ./  -name "xx*" | xargs -n50 grep '{常用ip}' > file
  由于之前没有过滤登录类型，所以记得首先排除127.0.0.1
• 再把上述脚本改改，把自己登陆的log删掉
• 然后看看剩下的，黑我的人是从哪里登录用了什么用户名之类……

其他额外获得的知识：

• Windows用户登录的类型代码
• grep与正则，如需要grep <tab>：
  grep $'tab'

WZR-HP-G450H使用官方DD-WRT固件配合autoddvpn实操

首先从Buffalo官网下载pro版本的固件（即DD-WRT）升级

然后按照官方教程所讲的进行配置，注意事项有：

1. 文中提到的dnsmasq配置的样例文件，在我这里需要把等号前后各加上空格才能生效
2. 官方的vpnup.sh只包含了由gfwlist包含的域名nslookup而来的ip，且很多非www的二级域名对应的ip将不会支持，加之gfwlist更新缓慢，所以需要自行将遇到的访问受限的站点如为min.us等多个网站提供CDN服务的cloudfront.net等查到ip段：
   nslookup domain.name 8.8.8.8
   加到dnsmasq option：
   server = /domain.name/8.8.8.8
   和vpnup_custom：
   route add -net aaa.bbb.ccc.0/24 gw $VPNGW
3. 因为采用的是gracemode并手动执行openvpn，所以参考这篇教程。有点过时了，比如comp-lzo一定后面要加参数了，还有script-security 3 system也是一定要有的……具体可以自己看log
   值得注意的是因为default GW不是VPN的，服务器端openvpn的server.conf也要记得去掉
   push "gateway def1"
   而保留
   push "bypass-dhcp"
4. 因为是用dnsmasq的，所以在内网机器ping任何站点都没问题（会按照设置用指定的dns server去查询并返回结果）；不要去路由器上直接ping受限站点，因为默认是用ISP的dns server的…这样会造成人为的污染并缓存下来，然后内网各机器就都上不去了…