Frage zum Log

Dieses Thema im Forum "Debian/Ubuntu/Knoppix" wurde erstellt von sysLINK, 24.01.2007.

  1. #1 sysLINK, 24.01.2007
    sysLINK

    sysLINK Jungspund

    Dabei seit:
    23.12.2006
    Beiträge:
    23
    Zustimmungen:
    0
    Ort:
    Bergneustadt
    Ich hab mal eine Frage in meiner Logdatei auth.log stehen in regelmäßigen abständen
    Code:
    Jan 21 06:30:01 ded84 CRON[31353]: (pam_unix) session opened for user root by (uid=0)
    Jan 21 06:30:01 ded84 CRON[31353]: (pam_unix) session closed for user root
    Jan 21 06:35:01 ded84 CRON[31360]: (pam_unix) session opened for user root by (uid=0)
    Jan 21 06:35:01 ded84 CRON[31360]: (pam_unix) session closed for user root
    Jan 21 06:39:01 ded84 CRON[31368]: (pam_unix) session opened for user root by (uid=0)
    Jan 21 06:39:01 ded84 CRON[31368]: (pam_unix) session closed for user root
    Jan 21 06:40:01 ded84 CRON[31378]: (pam_unix) session opened for user root by (uid=0)
    Jan 21 06:40:01 ded84 CRON[31378]: (pam_unix) session closed for user root
    Jan 21 06:45:01 ded84 CRON[31385]: (pam_unix) session opened for user root by (uid=0)
    Jan 21 06:45:01 ded84 CRON[31385]: (pam_unix) session closed for user root
    nun frage ich mich ob diese Anfragen aus dem Internet kommen.
    Denn ich hab die vermutung das mann versucht mich zu häcken.
    Da ich auch
    Code:
    Jan 21 03:26:47 ded84 sshd[28869]: Illegal user admin from 61.92.163.115
    Jan 21 03:27:28 ded84 sshd[28873]: Illegal user webmaster from 61.92.163.115
    Jan 21 03:27:33 ded84 sshd[28875]: Illegal user webmaster from 61.92.163.115
    Jan 21 03:27:38 ded84 sshd[28877]: Illegal user webmaster from 61.92.163.115
    Jan 21 03:27:46 ded84 sshd[28879]: Illegal user webmaster from 61.92.163.115
    Jan 21 03:27:54 ded84 sshd[28882]: Illegal user webmaster from 61.92.163.115
    Jan 21 03:27:59 ded84 sshd[28884]: Illegal user webmaster from 61.92.163.115
    in der Log stehen habe.
    Kann ich irgendwie ereichen dass die IP 61.92.163.115 nicht mehr auf den Server conecten darf?
    Könnte mir bitte helfen!
    Danke

    sysLINK
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Giglio

    Giglio Doppel-As

    Dabei seit:
    21.12.2006
    Beiträge:
    140
    Zustimmungen:
    0
    hi,

    /etc/hosts.deny kannst du das eintragen.

    Mfg

    Sebi
     
  4. #3 codc, 24.01.2007
    Zuletzt bearbeitet: 24.01.2007
    codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    Nein - das kommt vom crond
    der Scripte mit root-rechten ablaufen lässt.
    Die üblichen Brute-Force Seuche - gewöhn dich dran und wenn du Keys benutzt und root den login verbietest ist das harmlos. Du wirst beobachten dass das immer wieder von verschiedenen IPs kommt. Also absichern und zurücklehnen.

    Code:
    Jan 23 11:22:52 localhost sshd[19388]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.uni-ulm.de  user=root
    Jan 23 11:22:54 localhost sshd[19388]: error: PAM: Authentication failure for root from xxx.xxx.uni-ulm.de
    Jan 23 11:22:59 localhost sshd[19388]: error: PAM: Authentication failure for root from xxx.xxx.uni-ulm.de
    Jan 23 11:23:05 localhost sshd[19388]: error: PAM: Have exhasted maximum number of retries for service. for root from xxx.xxx.uni-ulm.de
    
    So sieht ein erfolgloser DAU-Angriffsversuch aus.
     
  5. #4 sysLINK, 24.01.2007
    sysLINK

    sysLINK Jungspund

    Dabei seit:
    23.12.2006
    Beiträge:
    23
    Zustimmungen:
    0
    Ort:
    Bergneustadt
    Ok danke
    aber wenn das von crond kommt.
    Warum tut es dies alle 5 Minuten.
    Das interesiert mich.
    Da wird ja mein log ganz voll wenn er alle 5 Minuten 2 Einträge macht.


    sysLINK
     
  6. #5 Jabo, 24.01.2007
    Zuletzt bearbeitet: 24.01.2007
    Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Crontab & logrotate, fail2ban

    Hallo,

    das tut er, weil der CROND genau das tut: Irgend etwas zu regelmäßigen Zeiten immer wieder ausführen (z.B. alle 5 Minuten, wenn das für irgend einen Vorgang eingestellt ist).

    Man kann auch irgend wie an den Syslogleveln rumschrauben, aber ich würde erst mal sehen wollen, was das für ein Eintrag in der Crontab ist und ob der überhaupt nötig ist.

    Zu wachsenden Logs: Ich empfehle dir das Programm "logrotate" (vermutlich bei der Distri dabei - muß evtl. nachinstalliert werden). Das archiviert deine Logs in konfigurierbaren Abständen in gezipte Dateien und startet sie neu. Diese Zipdateien kannst du dann sammeln oder löschen, wie du magst oder es der Platz zuläßt.

    [EDIT]
    Ergänzend zum SSH: Wenn du eigentlich nie von außen SSH-Zugriff brauchst, einfach per iptables den Port zumachen, dann ist der Spuk vorbei.

    Er ist auch vorbei, wenn du für SSH einen "Portknocker" installierst (z.B. knockd), aber dann brauchst du von außen immer erst die Knock-Sequenz, um den SSH-Port für dich zu öffnen. Dafür gibt es aber sogar Windows-Clients.

    Was *ich* an der Stelle einsetze ist fail2ban - das blockt einfach nach sagen wir 5 fehlerhaften Zugriffen (einstellbar) die IP für sagen wir 10 Minuten (auch einstellbar) und gibt sie dann wieder frei. Vorteil: Du kannst den sshd an lassen, den Port offenhalten, brauchst für reguläre Logins keinen Zauberkram und bist das ganze Bruteforce-Gerümpel los - auch aus den Logfiles.
     
  7. #6 sysLINK, 24.01.2007
    sysLINK

    sysLINK Jungspund

    Dabei seit:
    23.12.2006
    Beiträge:
    23
    Zustimmungen:
    0
    Ort:
    Bergneustadt
    Danke
    logrotate war schon installiert werde es aber mal unter die Lupe nehmen.
    Und schauen wie es lauft.
    Aber danke für die Information.

    sysLINK
     
  8. codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    Den sshd kann man auch an ein Interface binden also nur LAN aber nicht WAN
     
  9. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  10. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Ok, das auch. Aber ich benutze z.B. SSH öfters zwischen dem Host und VMs, auf dem Host aber selten von außen, aber manchmal eben doch.

    Ich habe mir halt angewöhnt, sshd nicht dauernd hin und her zu konfigurieren, sondern entweder ist er an oder aus und wenn er an ist, ist entweder der Port auf oder zu zum externen Netz - nach innen ist er immer auf.

    Und wenn er auf ist und der Dienst an, ist fail2ban recht wirksam...

    Aber schon richtig, wenn man ein Device hat, das nach draußen zeigt und da braucht man ssh nicht, sollte man da ohnehin machen. Wobei wir aber noch gar nicht wissen, ob sshd hier nach außen gebraucht wird.
     
  11. #9 Wolfgang, 25.01.2007
    Wolfgang

    Wolfgang Foren Gott

    Dabei seit:
    24.04.2005
    Beiträge:
    3.978
    Zustimmungen:
    0
    Ort:
    Erfurt
    Hallo
    Eine sehr wirksame Methode ist es, den ssh für dein Login auf einen anderen Port zu legen, da die Script-Kiddies meist nur Standardscripte verwenden, die auf den allgemein üblichen Port zugreifen.
    Schieb das irgendwohin und du hast meist Ruhe.
    Wenn du selbst daruf zugreifen willst, kennst du den Port ja, und hast keine Probleme.
    Gruß Wolfgang
     
Thema:

Frage zum Log

Die Seite wird geladen...

Frage zum Log - Ähnliche Themen

  1. Anfänger Frage: Welchen Standard wählen

    Anfänger Frage: Welchen Standard wählen: Hallo, früher wußte ich nie wie ich anfangen muß. Heute weiß ich einfach anfangen und mir alles selbst beibringen. Was ich mich aber noch...
  2. Sicherheitsfragen zu PHP-Anwendungen auf der Webseite

    Sicherheitsfragen zu PHP-Anwendungen auf der Webseite: Hallo miteinander, habe eine kleine Webseite (4 Jahre statisch, keine Sicherheitsprobleme bisher) und ich frage mich, wie sicher die Verwendung...
  3. Fragen zu find

    Fragen zu find: Hallo an alle, Ich bin ziemlich neu in der Linux Welt und habe paar frage Ich soll alle Datein im system finden die vor weniger als drei Tagen...
  4. Frage zu QNX - habe login nie gefunden

    Frage zu QNX - habe login nie gefunden: ′
  5. Kleine Frage (Solaris ein Cloud Betriebsystem?)

    Kleine Frage (Solaris ein Cloud Betriebsystem?): ′