fehlerhafte Sessions auf ttyS0

DarkEvil · Beitrag von **DarkEvil** » 15.10.2005 07:30:51

Hallo,

bei einem "who -q" sehe ich ca 350 Sessions von einem User an ttyS0. Bei einem "ps -ef" kann ich diese Sessions aber nicht nachvollziehen. Das Proggi "whowatch" meint zu den Sessions "can't access".

Wie bekomme ich die Session wech? Warum hängen die auf ttyS0 rum?
Ich habe die wage vermutung das da ein Script Ammok rennt.

Danke für die Hilfe

DarkEvil · Beitrag von **DarkEvil** » 15.10.2005 08:26:59

ich habe etwas gefunden...die ausgabe von "who" kommt aus der Datei "/var/run/utmp".Der User versuchte per Perl Script eine telnet Session aufzubauen, doch das Script hat scheinbar ein falsches PW als login. Das kann man schön in "auth.log" sehen.

Aber warum werden die ganzen fehlerhaften Logins dort aufgeführt?
Es gibt dazu doch keine noch laufenden Prozess mehr....????

Ich kann dieses File löschen und neu anlegen, damit bekommt man wieder eine saubere Ausgabe. Ich möchte das aber nicht auf Windows Art fixen...hat jemand eine saubere Idee?

Savar · Beitrag von **Savar** » 15.10.2005 08:48:20

ist der User auf deinem Rechner und will nach draußen oder will einer von draußen nach drinnen?

DarkEvil · Beitrag von **DarkEvil** » 15.10.2005 09:07:30

Er will von seinem Server aus eine SNMP-Abfrage über den Server in meinem Netz machen.
Also von draußen -> drinnen...

Savar · Beitrag von **Savar** » 15.10.2005 09:11:04

hast du SNMP laufen? sonst würd ich den Port sperren.. bzw. das Zugreifen von externen Netzen verbieten.

Ansonsten ist die Frage ob es ein Angriff ist?

DarkEvil · Beitrag von **DarkEvil** » 15.10.2005 09:27:14

Das besagte Script versucht ein SNMP Gerät abzufragen, nicht den Server. Das Problem ist das der Rechner, auf dem das Script läuft das SNMP Gerät nicht direkt erreichen kann...(Firewall).

Ein Angriff ist auszuschliessen, da es sich um ein gesichertes Netz handelt.

Das Script ist soweit auch OK. Es muss blos mal angepasst werden, bzw. das Passwort.

Ich glaube es handelt sich um eine Default-Einstellung von "umtp", die bei who auch die "Access denied" anzeigt. Daher kommen die vielen "Sessions" unter "who". Nun ist die Frage ... cleart er die Einträge irgentwann von allein, oder muss ich das machen?

Savar · Beitrag von **Savar** » 15.10.2005 09:30:49

es sollte eigentlich von alleine weggehen...

DarkEvil · Beitrag von **DarkEvil** » 15.10.2005 09:32:29

was meinste ... erledigt das ein cronjob? Vielleicht logrotate ?!

Savar · Beitrag von **Savar** » 15.10.2005 09:34:20

ich bin mir nicht sicher wer das jetzt wie genau macht.. aber meine "wtmp" gibt es auch in der Form "wtmp.1" aber es scheint irgendeinen eigenständigen mechanismus zu geben... aber sind die denn wirklich noch alle angemeldet? oder was zeigt dir "who" bzw "who -a" an?

DarkEvil · Beitrag von **DarkEvil** » 15.10.2005 09:40:09

"who -a" zeigt ja alles an...auch fertig beendete Sessions....da habe ich tausende...

"who" zeigt ca. 350 Sessions... wobei davon ca 340 so aussehen.

Code: Alles auswählen

user ttyS0        Sep 22 16:58 (xxx.lan.xx)

Bloss ttyS0 würde ja heissen er "sitzt" auf dem Consolen-Port. Kann nicht sein da das Gerät nur per SSH & Telnet (gesichert) erreichbar ist.

Savar · Beitrag von **Savar** » 15.10.2005 09:47:57

telnet gesichert? brrrrr ... nich gut.. aber naja..

die Frage ist wie kann er sich mit falschen Passwort einloggen? Er dürfte nicht drauf sein.

Aber mit dem Seriellen Port ists schon komisch... was gibt dir denn das:

Code: Alles auswählen

ls -l /dev/ttyS0

?

Schonmal nach Rootkits gesucht?

DarkEvil · Beitrag von **DarkEvil** » 15.10.2005 10:03:29

"ls -l /dev/ttyS0" meint

Code: Alles auswählen

crw-rw----  1 root dialout 4, 64 Nov 14  2003 /dev/ttyS0

Ja ich weiss telnet ist nicht toll, aber leider in diesen Netzwerk nicht zu vermeiden. Wie gesagt es ist alles nur im Lan, eigentlich "ohne richtige" Verbindung ins Internet.

Wegen dem falschen PW vermute ich mal das es geändert worden ist...also das auf meinem Server...aber das Script arbeitet mit dem alten.