PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Einbruch oder normale Systemmeldung ?



FeierFreund
07.02.2007, 18:28
Ich habe in der /var/log/messages folgende zwei Einträge gefunden

Feb 7 14:18:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/xconsole
Feb 7 14:18:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/tty10


Was heisst das denn genau? Evtl. Einbruch versuch oder wie kommen diese Meldungen zustande?

mfg konrad

Keruskerfürst
07.02.2007, 18:30
Das ist eigentlich nicht normal, außer man ändert diese Einstellungen selbst.

gropiuskalle
07.02.2007, 18:33
Solltest Du zu dem angegebenen Zeitpunkt nicht zufälligerweise ein update oder dergleichen vollzogen haben, sieht das nach einem Einbruch aus.

codc
07.02.2007, 18:42
Zunächst einmal ist ein Einbruch überhaupt möglich?

Also ist das ein dedizierter Server mit fester IP oder ein Server in einem LAN mit privaten IPs. Ein paar mehr Infos wären nötig um überhaupt sinnvoll auf die zwei Zeilen aus den Logs was zu sagen.

Ist die Kiste direkt aus dem Internet erreichbar? Bei einem Fileserver ist das ja sinnfrei.

FeierFreund
07.02.2007, 18:47
Ok.
Nein ein update habe ich nicht gefahren.
Also wahrscheinlich doch Einbruch?!
Aber müsste ich dann nicht auch in dem selbem Logfile sehen wer oder was von wo aus sich eingeloggt hat?

Diese zwei Zeilen finde ich mehrfach in meiner messages
Vor bzw. nach diesen zwei Zeilen habe ich noch diese hier gefunden.

Feb 7 17:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
Feb 7 17:00:03 fileserver syslog-ng[2631]: new configuration initialized


Ich gebe euch einfach mal einen Ausschnitt aus meiner messages, das hilft evtl weiter. Was mich auch wundert ist der Eintrag "Samba name server FILESERVER has stopped being a local master browser for workgroup RUSHZONE on subnet 192.168.0.55" nach dieser changing permission Geschichte. Und paar Zeilen weiter lese ich dann doch wieder "Samba name server FILESERVER is now a local master browser for workgroup RUSHZONE on subnet 192.168.0.55" Ist das auch ein Grund Angst zu haben?

Hier mal ein Ausschnitt aus meiner messages, hoffe die ist ein wenig aufschlussreicher als meine Angaben ;)



Feb 7 16:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
Feb 7 16:00:03 fileserver syslog-ng[2631]: new configuration initialized
Feb 7 16:01:01 fileserver /usr/sbin/cron[4904]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:02:01 fileserver /usr/sbin/cron[5188]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:03:01 fileserver /usr/sbin/cron[5472]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:26:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/xconsole
Feb 7 16:26:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/tty10
Feb 7 16:26:24 fileserver smbd[3313]: [2007/02/07 16:26:24, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 16:26:24 fileserver smbd[3313]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 16:26:24 fileserver smbd[3313]: [2007/02/07 16:26:24, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 16:26:24 fileserver smbd[3313]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 16:27:01 fileserver /usr/sbin/cron[12330]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:28:01 fileserver /usr/sbin/cron[12614]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:29:01 fileserver /usr/sbin/cron[12898]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:30:01 fileserver /usr/sbin/cron[13182]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:30:02 fileserver run-crons[13186]: rrdcron returned 1
Feb 7 16:31:01 fileserver /usr/sbin/cron[13732]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:32:01 fileserver /usr/sbin/cron[14016]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:33:01 fileserver /usr/sbin/cron[14300]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:33:57 fileserver nmbd[2723]: [2007/02/07 16:33:57, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(14 9)
Feb 7 16:33:57 fileserver nmbd[2723]: *****
Feb 7 16:33:57 fileserver nmbd[2723]:
Feb 7 16:33:57 fileserver nmbd[2723]: Samba name server FILESERVER has stopped being a local master browser for workgroup RUSHZONE on subnet 192.168.0.55
Feb 7 16:33:57 fileserver nmbd[2723]:
Feb 7 16:33:57 fileserver nmbd[2723]: *****
Feb 7 16:34:01 fileserver /usr/sbin/cron[14586]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:35:01 fileserver /usr/sbin/cron[14870]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:36:01 fileserver /usr/sbin/cron[15154]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:37:01 fileserver /usr/sbin/cron[15438]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:38:01 fileserver /usr/sbin/cron[15722]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:38:28 fileserver nmbd[2723]: [2007/02/07 16:38:28, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
Feb 7 16:38:28 fileserver nmbd[2723]: *****
Feb 7 16:38:28 fileserver nmbd[2723]:
Feb 7 16:38:28 fileserver nmbd[2723]: Samba name server FILESERVER is now a local master browser for workgroup RUSHZONE on subnet 192.168.0.55
Feb 7 16:38:28 fileserver nmbd[2723]:
Feb 7 16:38:28 fileserver nmbd[2723]: *****
.
.
.
.
.
Feb 7 16:39:01 fileserver /usr/sbin/cron[16007]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:39:31 fileserver smbd[16004]: [2007/02/07 16:39:31, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 16:39:31 fileserver smbd[16004]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 16:39:31 fileserver smbd[16004]: [2007/02/07 16:39:31, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 16:39:31 fileserver smbd[16004]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 16:40:01 fileserver /usr/sbin/cron[16297]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:41:01 fileserver /usr/sbin/cron[16587]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:41:15 fileserver nmbd[2723]: [2007/02/07 16:41:15, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(14 9)
Feb 7 16:41:15 fileserver nmbd[2723]: *****
Feb 7 16:41:15 fileserver nmbd[2723]:
Feb 7 16:41:15 fileserver nmbd[2723]: Samba name server FILESERVER has stopped being a local master browser for workgroup RUSHZONE on subnet 192.168.0.55
Feb 7 16:41:15 fileserver nmbd[2723]:
Feb 7 16:41:15 fileserver nmbd[2723]: *****
Feb 7 16:41:15 fileserver smbd[3313]: [2007/02/07 16:41:15, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 16:41:15 fileserver smbd[3313]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 16:41:15 fileserver smbd[3313]: [2007/02/07 16:41:15, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 16:41:15 fileserver smbd[3313]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 16:42:01 fileserver /usr/sbin/cron[16878]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:43:01 fileserver /usr/sbin/cron[17168]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:44:01 fileserver /usr/sbin/cron[17458]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:45:01 fileserver /usr/sbin/cron[17748]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:45:12 fileserver smbd[18058]: [2007/02/07 16:45:12, 0] smbd/service.c:make_connection(853)
Feb 7 16:45:12 fileserver smbd[18058]: firewall (192.168.0.50) couldn't find service inetcontent2005
Feb 7 16:46:01 fileserver /usr/sbin/cron[18063]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:47:01 fileserver /usr/sbin/cron[18353]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:48:01 fileserver /usr/sbin/cron[18643]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:49:01 fileserver /usr/sbin/cron[18934]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:50:01 fileserver /usr/sbin/cron[19224]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:51:01 fileserver /usr/sbin/cron[19514]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:52:01 fileserver /usr/sbin/cron[19804]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:52:04 fileserver smbd[16004]: [2007/02/07 16:52:04, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 16:52:04 fileserver smbd[16004]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 16:52:04 fileserver smbd[16004]: [2007/02/07 16:52:04, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 16:52:04 fileserver smbd[16004]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 16:53:01 fileserver /usr/sbin/cron[20094]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:54:01 fileserver /usr/sbin/cron[20384]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:55:01 fileserver /usr/sbin/cron[20674]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:56:01 fileserver /usr/sbin/cron[20964]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:57:01 fileserver /usr/sbin/cron[21254]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:58:01 fileserver /usr/sbin/cron[21544]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 16:58:26 fileserver smbd[3313]: [2007/02/07 16:58:26, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 16:58:26 fileserver smbd[3313]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 16:58:26 fileserver smbd[3313]: [2007/02/07 16:58:26, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 16:58:26 fileserver smbd[3313]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 16:59:02 fileserver /usr/sbin/cron[21835]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:00:01 fileserver /usr/sbin/cron[22125]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:00:01 fileserver /usr/sbin/cron[22129]: (root) CMD (/etc/webmin/bandwidth/rotate.pl)
Feb 7 17:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
Feb 7 17:00:03 fileserver syslog-ng[2631]: new configuration initialized
Feb 7 17:01:01 fileserver /usr/sbin/cron[22444]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:02:01 fileserver /usr/sbin/cron[22734]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:03:01 fileserver /usr/sbin/cron[23024]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:04:01 fileserver /usr/sbin/cron[23315]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:04:44 fileserver syslog-ng[2631]: Changing permissions on special file /dev/xconsole
Feb 7 17:04:44 fileserver syslog-ng[2631]: Changing permissions on special file /dev/tty10
Feb 7 17:04:44 fileserver smbd[16004]: [2007/02/07 17:04:44, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 17:04:44 fileserver smbd[16004]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 17:04:44 fileserver smbd[16004]: [2007/02/07 17:04:44, 0] printing/print_cups.c:cups_cache_reload(85)
Feb 7 17:04:44 fileserver smbd[16004]: Unable to connect to CUPS server localhost - Connection refused
Feb 7 17:05:01 fileserver /usr/sbin/cron[23607]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:06:01 fileserver /usr/sbin/cron[23897]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:07:01 fileserver /usr/sbin/cron[24187]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:08:01 fileserver /usr/sbin/cron[24477]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:09:01 fileserver /usr/sbin/cron[24767]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:10:01 fileserver /usr/sbin/cron[25057]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb 7 17:11:01 fileserver /usr/sbin/cron[25347]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)

diirch
07.02.2007, 21:10
Moin
welches OS hast du?
Hast du eine /var/log/auth.log Datei?
Normalerweise kann man dort sehen,
wer sich wann von wo eingeloggt hat.
Natürlich nur wenn die logs nicht frisiert
wurden.:devil:

gruss diirch

grey
07.02.2007, 22:25
Feb 7 17:00:01 fileserver /usr/sbin/cron[22129]: (root) CMD (/etc/webmin/bandwidth/rotate.pl)
Feb 7 17:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
Feb 7 17:00:03 fileserver syslog-ng[2631]: new configuration initialized
Wenn ich richtig vermute, läuft da ein Script ähnlich Logrotate. Und wenn mich nicht alles täuscht, wird der syslog ausgeschalten, solange logrotate läuft (um Streit zwischen beiden zu vermeiden). Sobald der syslog wieder startet ließt er seine Config ein und arbeitet die ab (change perm).

Wie immer sind das nur Gedanken und keine 100%igen Tatsachen.

Jabo
07.02.2007, 23:58
(/etc/webmin/bandwidth/rotate.pl)
Wie immer sind das nur Gedanken und keine 100%igen Tatsachen.
Ich schließe mich an.

FeierFreund
08.02.2007, 00:15
Das mit dem logrotate hört sich für mich auch irgendwo logisch an. Aber jede Stunde?? Um 16:00 Uhr wenn ihr mal in der Log schaut hat der syslog-ng ja auch neugestartet.

@Diirch
Ich hab SuSe 10.2 am Laufen
Und ich hab keine auth.log
Was muss ich denn machen damit diese erstellt bzw. auch gefüllt wird?

Jabo
08.02.2007, 00:40
Aber jede Stunde??
Magst du mal Webmin deinstallieren und dann noch mal schauen?

[add...]
da es ein Cron-Job ist, was ist denn in der Crontab los? Wenn es stört, mache doch den Job mal aus....

FeierFreund
08.02.2007, 23:56
In meiner crontab stehen diese zwei Einträge:


-*/15 * * * * root test -x /usr/lib/cron/run-crons && /usr/lib/cron/run-crons >/dev/null 2>&1

* * * * * root /usr/local/rrdstats/rrdstats&>/dev/null


Welcher von denen macht denn was?

mfg, Konrad

Jabo
09.02.2007, 04:18
Welcher von denen macht denn was?

Hallo,

lies doch mal die Doku zu "cron". Es gibt auch Tools wie "kcron" (unter KDE - wenn du was anderes hast, mußt du mal schauen...), mit denen du ganz schnell sehen wirst, daß da mehr los ist als diese beiden Einträge...

Ach, und noch was...

Magst du mal webmin deinstallieren und dann nochmal schauen?!?