Einbruch oder normale Systemmeldung ?

Dieses Thema: "Einbruch oder normale Systemmeldung ?" im Forum "Security Talk" wurde erstellt von FeierFreund, 07.02.2007.

  1. #1 FeierFreund, 07.02.2007
    FeierFreund

    FeierFreund Jungspund

    Dabei seit:
    08.08.2006
    Beiträge:
    22
    Zustimmungen:
    0
    Ich habe in der /var/log/messages folgende zwei Einträge gefunden
    Code:
    Feb  7 14:18:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/xconsole
    Feb  7 14:18:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/tty10
    
    Was heisst das denn genau? Evtl. Einbruch versuch oder wie kommen diese Meldungen zustande?

    mfg konrad
     
  2. Anzeige

    schau mal hier --> (hier klicken). Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Keruskerfürst, 07.02.2007
    Keruskerfürst

    Keruskerfürst Kaiser

    Dabei seit:
    12.02.2006
    Beiträge:
    1.366
    Zustimmungen:
    0
    Das ist eigentlich nicht normal, außer man ändert diese Einstellungen selbst.
     
  4. #3 gropiuskalle, 07.02.2007
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Solltest Du zu dem angegebenen Zeitpunkt nicht zufälligerweise ein update oder dergleichen vollzogen haben, sieht das nach einem Einbruch aus.
     
  5. codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    Zunächst einmal ist ein Einbruch überhaupt möglich?

    Also ist das ein dedizierter Server mit fester IP oder ein Server in einem LAN mit privaten IPs. Ein paar mehr Infos wären nötig um überhaupt sinnvoll auf die zwei Zeilen aus den Logs was zu sagen.

    Ist die Kiste direkt aus dem Internet erreichbar? Bei einem Fileserver ist das ja sinnfrei.
     
  6. #5 FeierFreund, 07.02.2007
    FeierFreund

    FeierFreund Jungspund

    Dabei seit:
    08.08.2006
    Beiträge:
    22
    Zustimmungen:
    0
    Ok.
    Nein ein update habe ich nicht gefahren.
    Also wahrscheinlich doch Einbruch?!
    Aber müsste ich dann nicht auch in dem selbem Logfile sehen wer oder was von wo aus sich eingeloggt hat?

    Diese zwei Zeilen finde ich mehrfach in meiner messages
    Vor bzw. nach diesen zwei Zeilen habe ich noch diese hier gefunden.
    Code:
    Feb  7 17:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
    Feb  7 17:00:03 fileserver syslog-ng[2631]: new configuration initialized
    
    Ich gebe euch einfach mal einen Ausschnitt aus meiner messages, das hilft evtl weiter. Was mich auch wundert ist der Eintrag "Samba name server FILESERVER has stopped being a local master browser for workgroup RUSHZONE on subnet 192.168.0.55" nach dieser changing permission Geschichte. Und paar Zeilen weiter lese ich dann doch wieder "Samba name server FILESERVER is now a local master browser for workgroup RUSHZONE on subnet 192.168.0.55" Ist das auch ein Grund Angst zu haben?

    Hier mal ein Ausschnitt aus meiner messages, hoffe die ist ein wenig aufschlussreicher als meine Angaben ;)

    Code:
    Feb  7 16:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
    Feb  7 16:00:03 fileserver syslog-ng[2631]: new configuration initialized
    Feb  7 16:01:01 fileserver /usr/sbin/cron[4904]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:02:01 fileserver /usr/sbin/cron[5188]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:03:01 fileserver /usr/sbin/cron[5472]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:26:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/xconsole
    Feb  7 16:26:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/tty10
    Feb  7 16:26:24 fileserver smbd[3313]: [2007/02/07 16:26:24, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 16:26:24 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 16:26:24 fileserver smbd[3313]: [2007/02/07 16:26:24, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 16:26:24 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 16:27:01 fileserver /usr/sbin/cron[12330]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:28:01 fileserver /usr/sbin/cron[12614]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:29:01 fileserver /usr/sbin/cron[12898]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:30:01 fileserver /usr/sbin/cron[13182]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:30:02 fileserver run-crons[13186]: rrdcron returned 1
    Feb  7 16:31:01 fileserver /usr/sbin/cron[13732]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:32:01 fileserver /usr/sbin/cron[14016]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:33:01 fileserver /usr/sbin/cron[14300]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:33:57 fileserver nmbd[2723]: [2007/02/07 16:33:57, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(149)
    Feb  7 16:33:57 fileserver nmbd[2723]:   *****
    Feb  7 16:33:57 fileserver nmbd[2723]:
    Feb  7 16:33:57 fileserver nmbd[2723]:   Samba name server FILESERVER has stopped being a local master browser for workgroup RUSHZONE on subnet 192.168.0.55
    Feb  7 16:33:57 fileserver nmbd[2723]:
    Feb  7 16:33:57 fileserver nmbd[2723]:   *****
    Feb  7 16:34:01 fileserver /usr/sbin/cron[14586]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:35:01 fileserver /usr/sbin/cron[14870]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:36:01 fileserver /usr/sbin/cron[15154]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:37:01 fileserver /usr/sbin/cron[15438]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:38:01 fileserver /usr/sbin/cron[15722]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:38:28 fileserver nmbd[2723]: [2007/02/07 16:38:28, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
    Feb  7 16:38:28 fileserver nmbd[2723]:   *****
    Feb  7 16:38:28 fileserver nmbd[2723]:
    Feb  7 16:38:28 fileserver nmbd[2723]:   Samba name server FILESERVER is now a local master browser for workgroup RUSHZONE on subnet 192.168.0.55
    Feb  7 16:38:28 fileserver nmbd[2723]:
    Feb  7 16:38:28 fileserver nmbd[2723]:   *****
    .
    .
    .
    .
    .
    Feb  7 16:39:01 fileserver /usr/sbin/cron[16007]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:39:31 fileserver smbd[16004]: [2007/02/07 16:39:31, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 16:39:31 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 16:39:31 fileserver smbd[16004]: [2007/02/07 16:39:31, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 16:39:31 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 16:40:01 fileserver /usr/sbin/cron[16297]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:41:01 fileserver /usr/sbin/cron[16587]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:41:15 fileserver nmbd[2723]: [2007/02/07 16:41:15, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(149)
    Feb  7 16:41:15 fileserver nmbd[2723]:   *****
    Feb  7 16:41:15 fileserver nmbd[2723]:
    Feb  7 16:41:15 fileserver nmbd[2723]:   Samba name server FILESERVER has stopped being a local master browser for workgroup RUSHZONE on subnet 192.168.0.55
    Feb  7 16:41:15 fileserver nmbd[2723]:
    Feb  7 16:41:15 fileserver nmbd[2723]:   *****
    Feb  7 16:41:15 fileserver smbd[3313]: [2007/02/07 16:41:15, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 16:41:15 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 16:41:15 fileserver smbd[3313]: [2007/02/07 16:41:15, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 16:41:15 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 16:42:01 fileserver /usr/sbin/cron[16878]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:43:01 fileserver /usr/sbin/cron[17168]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:44:01 fileserver /usr/sbin/cron[17458]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:45:01 fileserver /usr/sbin/cron[17748]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:45:12 fileserver smbd[18058]: [2007/02/07 16:45:12, 0] smbd/service.c:make_connection(853)
    Feb  7 16:45:12 fileserver smbd[18058]:   firewall (192.168.0.50) couldn't find service inetcontent2005
    Feb  7 16:46:01 fileserver /usr/sbin/cron[18063]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:47:01 fileserver /usr/sbin/cron[18353]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:48:01 fileserver /usr/sbin/cron[18643]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:49:01 fileserver /usr/sbin/cron[18934]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:50:01 fileserver /usr/sbin/cron[19224]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:51:01 fileserver /usr/sbin/cron[19514]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:52:01 fileserver /usr/sbin/cron[19804]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:52:04 fileserver smbd[16004]: [2007/02/07 16:52:04, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 16:52:04 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 16:52:04 fileserver smbd[16004]: [2007/02/07 16:52:04, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 16:52:04 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 16:53:01 fileserver /usr/sbin/cron[20094]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:54:01 fileserver /usr/sbin/cron[20384]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:55:01 fileserver /usr/sbin/cron[20674]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:56:01 fileserver /usr/sbin/cron[20964]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:57:01 fileserver /usr/sbin/cron[21254]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:58:01 fileserver /usr/sbin/cron[21544]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 16:58:26 fileserver smbd[3313]: [2007/02/07 16:58:26, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 16:58:26 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 16:58:26 fileserver smbd[3313]: [2007/02/07 16:58:26, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 16:58:26 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 16:59:02 fileserver /usr/sbin/cron[21835]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:00:01 fileserver /usr/sbin/cron[22125]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:00:01 fileserver /usr/sbin/cron[22129]: (root) CMD (/etc/webmin/bandwidth/rotate.pl)
    Feb  7 17:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
    Feb  7 17:00:03 fileserver syslog-ng[2631]: new configuration initialized
    Feb  7 17:01:01 fileserver /usr/sbin/cron[22444]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:02:01 fileserver /usr/sbin/cron[22734]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:03:01 fileserver /usr/sbin/cron[23024]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:04:01 fileserver /usr/sbin/cron[23315]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:04:44 fileserver syslog-ng[2631]: Changing permissions on special file /dev/xconsole
    Feb  7 17:04:44 fileserver syslog-ng[2631]: Changing permissions on special file /dev/tty10
    Feb  7 17:04:44 fileserver smbd[16004]: [2007/02/07 17:04:44, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 17:04:44 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 17:04:44 fileserver smbd[16004]: [2007/02/07 17:04:44, 0] printing/print_cups.c:cups_cache_reload(85)
    Feb  7 17:04:44 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
    Feb  7 17:05:01 fileserver /usr/sbin/cron[23607]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:06:01 fileserver /usr/sbin/cron[23897]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:07:01 fileserver /usr/sbin/cron[24187]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:08:01 fileserver /usr/sbin/cron[24477]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:09:01 fileserver /usr/sbin/cron[24767]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:10:01 fileserver /usr/sbin/cron[25057]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    Feb  7 17:11:01 fileserver /usr/sbin/cron[25347]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
    
    
     
  7. diirch

    diirch Mit Glied

    Dabei seit:
    17.06.2006
    Beiträge:
    121
    Zustimmungen:
    0
    Ort:
    Hamburg
    Moin
    welches OS hast du?
    Hast du eine /var/log/auth.log Datei?
    Normalerweise kann man dort sehen,
    wer sich wann von wo eingeloggt hat.
    Natürlich nur wenn die logs nicht frisiert
    wurden.:devil:

    gruss diirch
     
  8. grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Code:
    Feb  7 17:00:01 fileserver /usr/sbin/cron[22129]: (root) CMD (/etc/webmin/bandwidth/rotate.pl)
    Feb  7 17:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
    Feb  7 17:00:03 fileserver syslog-ng[2631]: new configuration initialized
    Wenn ich richtig vermute, läuft da ein Script ähnlich Logrotate. Und wenn mich nicht alles täuscht, wird der syslog ausgeschalten, solange logrotate läuft (um Streit zwischen beiden zu vermeiden). Sobald der syslog wieder startet ließt er seine Config ein und arbeitet die ab (change perm).

    Wie immer sind das nur Gedanken und keine 100%igen Tatsachen.
     
  9. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Ich schließe mich an.
     
  10. #9 FeierFreund, 08.02.2007
    Zuletzt bearbeitet: 08.02.2007
    FeierFreund

    FeierFreund Jungspund

    Dabei seit:
    08.08.2006
    Beiträge:
    22
    Zustimmungen:
    0
    Das mit dem logrotate hört sich für mich auch irgendwo logisch an. Aber jede Stunde?? Um 16:00 Uhr wenn ihr mal in der Log schaut hat der syslog-ng ja auch neugestartet.

    @Diirch
    Ich hab SuSe 10.2 am Laufen
    Und ich hab keine auth.log
    Was muss ich denn machen damit diese erstellt bzw. auch gefüllt wird?
     
  11. #10 Jabo, 08.02.2007
    Zuletzt bearbeitet: 08.02.2007
    Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Magst du mal Webmin deinstallieren und dann noch mal schauen?

    [add...]
    da es ein Cron-Job ist, was ist denn in der Crontab los? Wenn es stört, mache doch den Job mal aus....
     
  12. #11 FeierFreund, 09.02.2007
    FeierFreund

    FeierFreund Jungspund

    Dabei seit:
    08.08.2006
    Beiträge:
    22
    Zustimmungen:
    0
    In meiner crontab stehen diese zwei Einträge:

    Code:
    -*/15 * * * *   root  test -x /usr/lib/cron/run-crons && /usr/lib/cron/run-crons >/dev/null 2>&1
    
    * * * * * root /usr/local/rrdstats/rrdstats&>/dev/null
    
    Welcher von denen macht denn was?

    mfg, Konrad
     
  13. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Hallo,

    lies doch mal die Doku zu "cron". Es gibt auch Tools wie "kcron" (unter KDE - wenn du was anderes hast, mußt du mal schauen...), mit denen du ganz schnell sehen wirst, daß da mehr los ist als diese beiden Einträge...

    Ach, und noch was...

    [size=+2]Magst du mal webmin deinstallieren und dann nochmal schauen?!?[/size]
     
Thema:

Einbruch oder normale Systemmeldung ?

Die Seite wird geladen...

Einbruch oder normale Systemmeldung ? - Ähnliche Themen

  1. Raspbian überwachen (Systemeinbrüche)

    Raspbian überwachen (Systemeinbrüche): Hallo, ich betreibe auf einem Raspberry Pi (Model 1B) mit Raspbian (Debian) einen kleinen DL-Server. Darauf habe ich nzbget, sabnzbd und pyload...
  2. Servereinbruch bei Ceph

    Servereinbruch bei Ceph: Wie Red Hat meldet, wurden die Server der von Red Hat übernommenen Firma Inktank und deren Projekt Ceph kompromittiert. Benutzer, die in letzter...
  3. Artikel: Suricata: Einbruchserkennung mit dem Erdmännchen

    Artikel: Suricata: Einbruchserkennung mit dem Erdmännchen: Systeme zur Erkennung und Abwehr von Angriffen auf eine IT-Infrastruktur können auf Netzwerkebene den ein- und ausgehenden Datenverkehr auf...
  4. Server-Einbruch bei phpBB

    Server-Einbruch bei phpBB: Nach einen Einbruch in die Server des phpBB-Projektes ist das Projekt derzeit nicht erreichbar. Der Einbruch wurde durch einen kompromittierten...
  5. Einbruch bei php.net

    Einbruch bei php.net: Das PHP-Projekt hat einen Einbruch in zwei seiner Server entdeckt. Die Dienste wurden schnell neu aufgesetzt, weitere Maßnahmen laufen noch....