Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
-
blan
- Beiträge: 242
- Registriert: 20.01.2006 20:05:56
Beitrag
von blan » 06.06.2006 13:46:16
hi, gestern als ich schon geschlafen habe hat mein webserver ziehmlich viel gearbeitet und als ich mir die logs angeschaut habe finde ich mehrere hundert logins auf meim
ftp-server und auf irgendeinem
CRON daemon...
Code: Alles auswählen
Jun 6 05:17:01 web-server CRON[3897]: (pam_unix) session opened for user root by (uid=0)
Jun 6 05:17:01 web-server CRON[3897]: (pam_unix) session closed for user root
Jun 6 06:17:01 web-server CRON[3901]: (pam_unix) session opened for user root by (uid=0)
Jun 6 06:17:01 web-server CRON[3901]: (pam_unix) session closed for user root
Jun 6 06:25:01 web-server CRON[3904]: (pam_unix) session opened for user root by (uid=0)
Jun 6 06:25:09 web-server su[3945]: + ??? root:nobody
Jun 6 06:25:09 web-server su[3945]: (pam_unix) session opened for user nobody by (uid=0)
nun ist des ja net ungewöhnlich, wie ich hier gesehn habe, aber ich hab wenn das hier der ssh-daemon sein soll netmal bei meim router den port 22 forwarded und könnt ihr mit die letzten 3 zeilen erklären?
edit:
Code: Alles auswählen
Jun 6 11:47:38 web-server proftpd[4059]: web-server (dau.chg.ru[193.233.9.196]) - FTP session opened.
Jun 6 11:47:38 web-server proftpd[4059]: web-server (dau.chg.ru[193.233.9.196]) - mod_delay/0.5: delaying for 10 usecs
Jun 6 11:47:38 web-server proftpd[4059]: web-server (dau.chg.ru[193.233.9.196]) - no such user 'anonymous'
Jun 6 11:47:49 web-server proftpd[4061]: web-server (dau.chg.ru[193.233.9.196]) - FTP session opened.
Jun 6 11:47:49 web-server proftpd[4061]: web-server (dau.chg.ru[193.233.9.196]) - mod_delay/0.5: delaying for 61 usecs
Jun 6 11:47:49 web-server proftpd[4061]: web-server (dau.chg.ru[193.233.9.196]) - no such user 'anonymous'
Jun 6 11:48:50 web-server proftpd[4064]: web-server (dau.chg.ru[193.233.9.196]) - FTP session opened.
Jun 6 11:48:50 web-server proftpd[4064]: web-server (dau.chg.ru[193.233.9.196]) - mod_delay/0.5: delaying for 2 usecs
Jun 6 11:48:50 web-server proftpd[4064]: web-server (dau.chg.ru[193.233.9.196]) - no such user 'anonymous'
Jun 6 13:15:56 web-server proftpd[1851]: web-server - ProFTPD killed (signal 15)
Jun 6 13:15:56 web-server proftpd[1851]: web-server - ProFTPD 1.3.0 standalone mode SHUTDOWN
Jun 6 13:16:34 web-server proftpd[4129]: web-server - ProFTPD 1.3.0 (stable) (built Do Mai 11 15:41:51 CEST 2006) standalone mode STARTUP
hat es tatsächlich jemand geschafft mein proftpd zu killen und woran liegt des bzw. was kann ich dagegen tun (was bedeutet SIGNAL 15) ?
mfg blan
-
NachbarsLumpi
- Beiträge: 66
- Registriert: 30.05.2006 17:28:37
- Wohnort: Italien - Österreich - Pendler
-
Kontaktdaten:
Beitrag
von NachbarsLumpi » 06.06.2006 15:55:24
SIGTERM (15) zum terminieren des Prozesses
für mich schaut das so aus, als hätt jemand proftp überlastet und proftp hat sich dann selbst neu gestartet .. auf jeden fall hat jemand versucht über proftp in deinen server einzusteigen
schon ein nsloopup / portscan / usw. auf die ip gemacht?
PS: das waren nur liebesgrüße aus moskau
void foo(void* bar) {
printf("%", bar);
}
-
blan
- Beiträge: 242
- Registriert: 20.01.2006 20:05:56
Beitrag
von blan » 06.06.2006 16:13:02
okay und was sind diese root-logins bei dem Cron-Daemon, was haben die zu bedeuten, vorallem die letzten 3 zeilen?
edit: mir ist schon vollkommen klar das mein ftp-server von "außen" zugänglich ist - da gibts nix zu lachen
mfg blan
-
NachbarsLumpi
- Beiträge: 66
- Registriert: 30.05.2006 17:28:37
- Wohnort: Italien - Österreich - Pendler
-
Kontaktdaten:
Beitrag
von NachbarsLumpi » 06.06.2006 16:58:15
naja .. das cron zeugs hat mal auf den ersten blick nix mit dem andren zu tun!
zum cron:
imho wurde da lediglich a cronjob angestossen
zum zweiten:
dau.chg.ru[193.233.9.196] hat hier mehrfach versucht verbindungen über den ftp client aufzumachen und sich dabei als anonymous einloggen (nix ungewöhnliches und bei einer einigermaßen normalen konfiguration kein problem weil anonymous so gut wie keine rechte besitzt)
eineinhalb stunden später, um 13:16 hat sich dann proftpd neu gestartet .. wiederum hat dies nicht notwendig mit den andren sachen zu tun ..
void foo(void* bar) {
printf("%", bar);
}
-
deadeye
- Beiträge: 561
- Registriert: 14.04.2004 15:32:18
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Ukio, rechts hinterm Feld
-
Kontaktdaten:
Beitrag
von deadeye » 06.06.2006 17:07:49
@blan: aufgrund der Zeitunterschiede würde ich auch mal annehmen, dass die Login-Versuche unabhängig von dem proftp-Neustart sind.
Warst Du zu der Zeit, als er sich neugestartet hat evtl. auf dem System eingeloggt und hast ein apt-get update oder so gemacht? Kam evtl. ein update von proftp rein und beim Installieren hat dpkg ihm Signal 15 geschickt? Nur so eine Idee.
Gruß
deadeye
-
blan
- Beiträge: 242
- Registriert: 20.01.2006 20:05:56
Beitrag
von blan » 06.06.2006 18:05:08
joa, könnte vll mein auto apt-get update skript gewesen sein... okay wenn wie Crons nichts zusagen habem bin ich mal beruhigt.. danke!
mfg blan
-
blan
- Beiträge: 242
- Registriert: 20.01.2006 20:05:56
Beitrag
von blan » 06.06.2006 20:46:18
achso: gibt es eine möglichkeit die logs vom ssh daemon in einer mysql datenbank zu speichern - hat das schonmal jemand gemacht?
mfg blan
-
NachbarsLumpi
- Beiträge: 66
- Registriert: 30.05.2006 17:28:37
- Wohnort: Italien - Österreich - Pendler
-
Kontaktdaten:
Beitrag
von NachbarsLumpi » 06.06.2006 21:44:40
zu welchem zweck? macht ja herzlich wenig sinn .. aber du könntest natürlich einen cronjob machn, der täglich die logfile rotiert und zeile für zeile in eine mysql datenbank schreibt .. in jedem fall empfehle ich dir gründlich die manpage zu sshd zu studieren um herauszufinden, ob du das log vielleicht an einen anderen prozess pipen könntest, welcher als daemon läuft und das log in die datenbank und in die logfile speichert .. ich bezweifle nämlich, dass sshd das kann
void foo(void* bar) {
printf("%", bar);
}
-
blan
- Beiträge: 242
- Registriert: 20.01.2006 20:05:56
Beitrag
von blan » 07.06.2006 14:30:58
NachbarsLumpi hat geschrieben:zu welchem zweck? macht ja herzlich wenig sinn ..
naja ich hab schon meine ftpserver logs inner mysql-db und dann hät ich alles in einer db und könnte die logs mit meinem kleine tool abfragen - find ich besser als in soner textdatei rumzusuchen..
mfg blan
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
Beitrag
von herrchen » 07.06.2006 14:42:12
blan hat geschrieben:achso: gibt es eine möglichkeit die logs vom ssh daemon in einer mysql datenbank zu speichern
du könntest auf "syslog-ng" umstellen, dann kannst du alles in eine DB loggen.
herrchen
-
init 0
- Beiträge: 673
- Registriert: 21.10.2003 19:40:28
Beitrag
von init 0 » 07.06.2006 15:14:20
@blan
Jun 6 06:25:09 web-server su[3945]: + ??? root:nobody
Jun 6 06:25:09 web-server su[3945]: (pam_unix) session opened for user nobody by (uid=0)
Falls dich diese Einträge beunruhigen solltest du deine Logs genauer durchschauen.
Diese Einträge sollten jeden Tag um die gleiche Uhrzeit auftauchen. Ausgelöst werden sie durch einen cronjob, nachzuschauen unter /etc/crontab und /etc/cron.daily. Also keine Gefahr.
Ach ja, und nix schrotten.
Ich habe einen schlechten Stil, ich weiss, Danke, wurde mir bereits gesagt.
-
NachbarsLumpi
- Beiträge: 66
- Registriert: 30.05.2006 17:28:37
- Wohnort: Italien - Österreich - Pendler
-
Kontaktdaten:
Beitrag
von NachbarsLumpi » 07.06.2006 17:30:46
blan hat geschrieben:NachbarsLumpi hat geschrieben:zu welchem zweck? macht ja herzlich wenig sinn ..
dann hät ich alles in einer db und könnte die logs mit meinem kleine tool abfragen - find ich besser als in soner textdatei rumzusuchen..
mfg blan
kommt imo aufs selbe .. einmal eine regex überlegen und du kannst dir ein shell script schreiben, das dir die logs durchforstet und entsprechend ausgibt .. google hilft da weiter
void foo(void* bar) {
printf("%", bar);
}
