Einbruch oder normale Systemmeldung ?

F

FeierFreund

Jungspund
Ich habe in der /var/log/messages folgende zwei Einträge gefunden
Code:
Feb  7 14:18:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/xconsole
Feb  7 14:18:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/tty10

Was heisst das denn genau? Evtl. Einbruch versuch oder wie kommen diese Meldungen zustande?

mfg konrad
 
Das ist eigentlich nicht normal, außer man ändert diese Einstellungen selbst.
 
Solltest Du zu dem angegebenen Zeitpunkt nicht zufälligerweise ein update oder dergleichen vollzogen haben, sieht das nach einem Einbruch aus.
 
Zunächst einmal ist ein Einbruch überhaupt möglich?

Also ist das ein dedizierter Server mit fester IP oder ein Server in einem LAN mit privaten IPs. Ein paar mehr Infos wären nötig um überhaupt sinnvoll auf die zwei Zeilen aus den Logs was zu sagen.

Ist die Kiste direkt aus dem Internet erreichbar? Bei einem Fileserver ist das ja sinnfrei.
 
Ok.
Nein ein update habe ich nicht gefahren.
Also wahrscheinlich doch Einbruch?!
Aber müsste ich dann nicht auch in dem selbem Logfile sehen wer oder was von wo aus sich eingeloggt hat?

Diese zwei Zeilen finde ich mehrfach in meiner messages
Vor bzw. nach diesen zwei Zeilen habe ich noch diese hier gefunden.
Code:
Feb  7 17:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
Feb  7 17:00:03 fileserver syslog-ng[2631]: new configuration initialized

Ich gebe euch einfach mal einen Ausschnitt aus meiner messages, das hilft evtl weiter. Was mich auch wundert ist der Eintrag "Samba name server FILESERVER has stopped being a local master browser for workgroup RUSHZONE on subnet 192.168.0.55" nach dieser changing permission Geschichte. Und paar Zeilen weiter lese ich dann doch wieder "Samba name server FILESERVER is now a local master browser for workgroup RUSHZONE on subnet 192.168.0.55" Ist das auch ein Grund Angst zu haben?

Hier mal ein Ausschnitt aus meiner messages, hoffe die ist ein wenig aufschlussreicher als meine Angaben ;)

Code:
Feb  7 16:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
Feb  7 16:00:03 fileserver syslog-ng[2631]: new configuration initialized
Feb  7 16:01:01 fileserver /usr/sbin/cron[4904]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:02:01 fileserver /usr/sbin/cron[5188]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:03:01 fileserver /usr/sbin/cron[5472]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:26:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/xconsole
Feb  7 16:26:24 fileserver syslog-ng[2631]: Changing permissions on special file /dev/tty10
Feb  7 16:26:24 fileserver smbd[3313]: [2007/02/07 16:26:24, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 16:26:24 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 16:26:24 fileserver smbd[3313]: [2007/02/07 16:26:24, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 16:26:24 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 16:27:01 fileserver /usr/sbin/cron[12330]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:28:01 fileserver /usr/sbin/cron[12614]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:29:01 fileserver /usr/sbin/cron[12898]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:30:01 fileserver /usr/sbin/cron[13182]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:30:02 fileserver run-crons[13186]: rrdcron returned 1
Feb  7 16:31:01 fileserver /usr/sbin/cron[13732]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:32:01 fileserver /usr/sbin/cron[14016]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:33:01 fileserver /usr/sbin/cron[14300]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:33:57 fileserver nmbd[2723]: [2007/02/07 16:33:57, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(149)
Feb  7 16:33:57 fileserver nmbd[2723]:   *****
Feb  7 16:33:57 fileserver nmbd[2723]:
Feb  7 16:33:57 fileserver nmbd[2723]:   Samba name server FILESERVER has stopped being a local master browser for workgroup RUSHZONE on subnet 192.168.0.55
Feb  7 16:33:57 fileserver nmbd[2723]:
Feb  7 16:33:57 fileserver nmbd[2723]:   *****
Feb  7 16:34:01 fileserver /usr/sbin/cron[14586]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:35:01 fileserver /usr/sbin/cron[14870]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:36:01 fileserver /usr/sbin/cron[15154]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:37:01 fileserver /usr/sbin/cron[15438]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:38:01 fileserver /usr/sbin/cron[15722]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:38:28 fileserver nmbd[2723]: [2007/02/07 16:38:28, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
Feb  7 16:38:28 fileserver nmbd[2723]:   *****
Feb  7 16:38:28 fileserver nmbd[2723]:
Feb  7 16:38:28 fileserver nmbd[2723]:   Samba name server FILESERVER is now a local master browser for workgroup RUSHZONE on subnet 192.168.0.55
Feb  7 16:38:28 fileserver nmbd[2723]:
Feb  7 16:38:28 fileserver nmbd[2723]:   *****
.
.
.
.
.
Feb  7 16:39:01 fileserver /usr/sbin/cron[16007]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:39:31 fileserver smbd[16004]: [2007/02/07 16:39:31, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 16:39:31 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 16:39:31 fileserver smbd[16004]: [2007/02/07 16:39:31, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 16:39:31 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 16:40:01 fileserver /usr/sbin/cron[16297]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:41:01 fileserver /usr/sbin/cron[16587]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:41:15 fileserver nmbd[2723]: [2007/02/07 16:41:15, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(149)
Feb  7 16:41:15 fileserver nmbd[2723]:   *****
Feb  7 16:41:15 fileserver nmbd[2723]:
Feb  7 16:41:15 fileserver nmbd[2723]:   Samba name server FILESERVER has stopped being a local master browser for workgroup RUSHZONE on subnet 192.168.0.55
Feb  7 16:41:15 fileserver nmbd[2723]:
Feb  7 16:41:15 fileserver nmbd[2723]:   *****
Feb  7 16:41:15 fileserver smbd[3313]: [2007/02/07 16:41:15, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 16:41:15 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 16:41:15 fileserver smbd[3313]: [2007/02/07 16:41:15, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 16:41:15 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 16:42:01 fileserver /usr/sbin/cron[16878]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:43:01 fileserver /usr/sbin/cron[17168]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:44:01 fileserver /usr/sbin/cron[17458]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:45:01 fileserver /usr/sbin/cron[17748]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:45:12 fileserver smbd[18058]: [2007/02/07 16:45:12, 0] smbd/service.c:make_connection(853)
Feb  7 16:45:12 fileserver smbd[18058]:   firewall (192.168.0.50) couldn't find service inetcontent2005
Feb  7 16:46:01 fileserver /usr/sbin/cron[18063]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:47:01 fileserver /usr/sbin/cron[18353]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:48:01 fileserver /usr/sbin/cron[18643]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:49:01 fileserver /usr/sbin/cron[18934]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:50:01 fileserver /usr/sbin/cron[19224]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:51:01 fileserver /usr/sbin/cron[19514]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:52:01 fileserver /usr/sbin/cron[19804]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:52:04 fileserver smbd[16004]: [2007/02/07 16:52:04, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 16:52:04 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 16:52:04 fileserver smbd[16004]: [2007/02/07 16:52:04, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 16:52:04 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 16:53:01 fileserver /usr/sbin/cron[20094]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:54:01 fileserver /usr/sbin/cron[20384]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:55:01 fileserver /usr/sbin/cron[20674]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:56:01 fileserver /usr/sbin/cron[20964]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:57:01 fileserver /usr/sbin/cron[21254]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:58:01 fileserver /usr/sbin/cron[21544]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 16:58:26 fileserver smbd[3313]: [2007/02/07 16:58:26, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 16:58:26 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 16:58:26 fileserver smbd[3313]: [2007/02/07 16:58:26, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 16:58:26 fileserver smbd[3313]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 16:59:02 fileserver /usr/sbin/cron[21835]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:00:01 fileserver /usr/sbin/cron[22125]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:00:01 fileserver /usr/sbin/cron[22129]: (root) CMD (/etc/webmin/bandwidth/rotate.pl)
Feb  7 17:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
Feb  7 17:00:03 fileserver syslog-ng[2631]: new configuration initialized
Feb  7 17:01:01 fileserver /usr/sbin/cron[22444]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:02:01 fileserver /usr/sbin/cron[22734]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:03:01 fileserver /usr/sbin/cron[23024]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:04:01 fileserver /usr/sbin/cron[23315]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:04:44 fileserver syslog-ng[2631]: Changing permissions on special file /dev/xconsole
Feb  7 17:04:44 fileserver syslog-ng[2631]: Changing permissions on special file /dev/tty10
Feb  7 17:04:44 fileserver smbd[16004]: [2007/02/07 17:04:44, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 17:04:44 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 17:04:44 fileserver smbd[16004]: [2007/02/07 17:04:44, 0] printing/print_cups.c:cups_cache_reload(85)
Feb  7 17:04:44 fileserver smbd[16004]:   Unable to connect to CUPS server localhost - Connection refused
Feb  7 17:05:01 fileserver /usr/sbin/cron[23607]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:06:01 fileserver /usr/sbin/cron[23897]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:07:01 fileserver /usr/sbin/cron[24187]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:08:01 fileserver /usr/sbin/cron[24477]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:09:01 fileserver /usr/sbin/cron[24767]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:10:01 fileserver /usr/sbin/cron[25057]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
Feb  7 17:11:01 fileserver /usr/sbin/cron[25347]: (root) CMD (/usr/local/rrdstats/rrdstats&>/dev/null)
 
Moin
welches OS hast du?
Hast du eine /var/log/auth.log Datei?
Normalerweise kann man dort sehen,
wer sich wann von wo eingeloggt hat.
Natürlich nur wenn die logs nicht frisiert
wurden.:devil:

gruss diirch
 
Code:
Feb  7 17:00:01 fileserver /usr/sbin/cron[22129]: (root) CMD (/etc/webmin/bandwidth/rotate.pl)
Feb  7 17:00:02 fileserver syslog-ng[2631]: SIGHUP received, restarting syslog-ng
Feb  7 17:00:03 fileserver syslog-ng[2631]: new configuration initialized
Wenn ich richtig vermute, läuft da ein Script ähnlich Logrotate. Und wenn mich nicht alles täuscht, wird der syslog ausgeschalten, solange logrotate läuft (um Streit zwischen beiden zu vermeiden). Sobald der syslog wieder startet ließt er seine Config ein und arbeitet die ab (change perm).

Wie immer sind das nur Gedanken und keine 100%igen Tatsachen.
 
Das mit dem logrotate hört sich für mich auch irgendwo logisch an. Aber jede Stunde?? Um 16:00 Uhr wenn ihr mal in der Log schaut hat der syslog-ng ja auch neugestartet.

@Diirch
Ich hab SuSe 10.2 am Laufen
Und ich hab keine auth.log
Was muss ich denn machen damit diese erstellt bzw. auch gefüllt wird?
 
Zuletzt bearbeitet:
In meiner crontab stehen diese zwei Einträge:

Code:
-*/15 * * * *   root  test -x /usr/lib/cron/run-crons && /usr/lib/cron/run-crons >/dev/null 2>&1

* * * * * root /usr/local/rrdstats/rrdstats&>/dev/null

Welcher von denen macht denn was?

mfg, Konrad
 
Welcher von denen macht denn was?
Hallo,

lies doch mal die Doku zu "cron". Es gibt auch Tools wie "kcron" (unter KDE - wenn du was anderes hast, mußt du mal schauen...), mit denen du ganz schnell sehen wirst, daß da mehr los ist als diese beiden Einträge...

Ach, und noch was...

[size=+2]Magst du mal webmin deinstallieren und dann nochmal schauen?!?[/size]
 

Ähnliche Themen

JBidWatcher: Problem bei loading Auctions in Verbindung mit mySQL

Windows clients können nicht mehr auf lange laufendes System zugreifen

iptables Problem auf Linux vServer

Mysteriöser 11.4 Absturz - Maschine läuft, SSH und vor Ort Login unmöglich

NagiosGrapher 1.7.1 funktioniert nicht

Zurück
Oben