1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

auth.log, was bedeuten die Einträge?

Dieses Thema im Forum "Root / Vserver Server Sicherheit" wurde erstellt von Gigigaga, 21. Januar 2013.

  1. Gigigaga
    Offline

    Gigigaga Hacker

    Registriert:
    13. Mai 2009
    Beiträge:
    449
    Zustimmungen:
    37
    Punkte für Erfolge:
    28
    Servus Jungs,

    mal ne Frage, habe mir mal den auth.log angeschaut.

    Code:
    Jan 17 04:14:01 Igel CRON[28990]: pam_unix(cron:session): session opened for user root by (uid=0)
    Jan 17 04:14:01 Igel CRON[28989]: pam_unix(cron:session): session opened for user root by (uid=0)
    Jan 17 04:14:01 Igel CRON[28989]: pam_unix(cron:session): session closed for user root
    Jan 17 04:14:01 Igel CRON[28990]: pam_unix(cron:session): session closed for user root
    Jan 17 04:15:01 Igel CRON[29156]: pam_unix(cron:session): session opened for user root by (uid=0)
    Jan 17 04:15:01 Igel CRON[29155]: pam_unix(cron:session): session opened for user root by (uid=0)
    Jan 17 04:15:02 Igel CRON[29155]: pam_unix(cron:session): session closed for user root
    Jan 17 04:15:02 Igel CRON[29156]: pam_unix(cron:session): session closed for user root
    Jan 17 04:16:01 Igel CRON[29318]: pam_unix(cron:session): session opened for user root by (uid=0)
    Jan 17 04:16:01 Igel CRON[29317]: pam_unix(cron:session): session opened for user root by (uid=0)
    Jan 17 04:16:01 Igel CRON[29317]: pam_unix(cron:session): session closed for user root
    Jan 17 04:16:01 Igel CRON[29318]: pam_unix(cron:session): session closed for user root
    Jan 17 04:17:01 Igel CRON[29482]: pam_unix(cron:session): session opened for user root by (uid=0)
    Jan 17 04:17:01 Igel CRON[29481]: pam_unix(cron:session): session opened for user root by (uid=0)
    Jan 17 04:17:01 Igel CRON[29480]: pam_unix(cron:session): session opened for user root by (uid=0)
    
    
    so geht das über den ganzen Tag....

    Was bedeutet das? Warum öffnet cron jede Minute und schließt direkt wieder?

    mit
    sehe ich den Einträge, leider keiner vorhanden, der dafür verantworltich sein könnte ;-)

    Beste Grüße
    und DANKE
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. axfa77
    Offline

    axfa77 Moderator Digital Eliteboard Team

    Registriert:
    9. September 2011
    Beiträge:
    5.874
    Zustimmungen:
    8.332
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Ruhrpott
    AW: auth.log, was bedeuten die Einträge?

    Hi,

    da versucht jemand per Bruteforce Deinen Server zu hacken...

    Einfach in der sshd.config: "permit root login = no" setzen.

    Anderen User erstellen "adduser" und sich erst mit diesem User einloggen. Dann "su -" um sich als root einzuloggen.

    Danach hast Du Ruhe.

    Schau Dir auch mal "fail2ban" an.

    Gruß
     
    #2
  4. Gigigaga
    Offline

    Gigigaga Hacker

    Registriert:
    13. Mai 2009
    Beiträge:
    449
    Zustimmungen:
    37
    Punkte für Erfolge:
    28
    AW: auth.log, was bedeuten die Einträge?

    mmmmmmh, bist du dir sicher, dass das so ist?

    Ich habe schon der Standard-Port gewechselt, und warum steht denn da keine Ip... wie in diesem Beispiel?

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Ich verstehs nicht ganz
     
    #3
  5. axfa77
    Offline

    axfa77 Moderator Digital Eliteboard Team

    Registriert:
    9. September 2011
    Beiträge:
    5.874
    Zustimmungen:
    8.332
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Ruhrpott
    AW: auth.log, was bedeuten die Einträge?

    Hi,

    Du hast Recht, IP fehlt.

    Oder rennt etwas via Crontab über User root?
     
    #4
  6. Gigigaga
    Offline

    Gigigaga Hacker

    Registriert:
    13. Mai 2009
    Beiträge:
    449
    Zustimmungen:
    37
    Punkte für Erfolge:
    28
    AW: auth.log, was bedeuten die Einträge?

    ja das habe ich mir ja auch schon gedacht....

    aber wie gesagt im crontab steht nix drin...

    komisch...

    vielleicht ein IPC Skript?

    Greetz
     
    #5
  7. elute
    Offline

    elute Meister

    Registriert:
    17. März 2009
    Beiträge:
    873
    Zustimmungen:
    273
    Punkte für Erfolge:
    63
    AW: auth.log, was bedeuten die Einträge?

    Ein watchdog guck mal mit i jobs nach welcher prozess jede Minute ausgeführt wird
     
    #6
  8. aragorn
    Offline

    aragorn Guest

    AW: auth.log, was bedeuten die Einträge?

    erm nein, ganz bestimmt nicht :D



    "crontab -l" zeigt nur die benutzer crontab von "root". es gibt aber weitaus mehr crontab files wie zum beispiel /etc/crontab oder /etc/cron.* also:
    Code:
    /etc/cron.d/       /etc/cron.daily/   /etc/cron.hourly/  /etc/cron.monthly/ /etc/cron.weekly/ 
    es wird aber vermutlich schon irgendein Script von IPC sein also ein watchdog

    ich hab zum beispiel auf einem server für einen eggdrop bot das "botchk" script laufen, was prüft ob der prozess läuft - also ein watchdog.. dadurch werden auch solche logeinträge verursacht

    auf einem anderen system hab ich kein ipc aber einen selbstgebauten watchdog der ebenfals prüft ob ein prozess läuft und hab dort ebenfals solche einträge -- der grund dafür könnte sein das nur ein "angemeldeter" benutzer auch die prozess liste (ps) abrufen kann

    solange du aber tmp2ram.sh sowie logrotate installiert hast, kann dir das egal sein :)
     
    #7
  9. Gigigaga
    Offline

    Gigigaga Hacker

    Registriert:
    13. Mai 2009
    Beiträge:
    449
    Zustimmungen:
    37
    Punkte für Erfolge:
    28
    AW: auth.log, was bedeuten die Einträge?

    aaahhhhhh

    okay, da liegt der Braten versteckt.
    Yes da sind schon zwei, drei Prozesse, die immer laufen ;-)

    Die überwachen wichtige Sachen. Ist okay, so lange, da ja keine Ip im auth.log auftaucht ist ja alles gut.

    Abschließend noch eine Frage:

    Wie kann man denn das hier verwirklichen?
    Wie funzt das?


    @Aragon:
    Servus, da bin ich wieder und du auch Antwortender natürlich auch ;-)

    Was meinst du damit:
    Ich kann mich irgendwie dunkel, sehr dunkel erinner, dass diese beiden Sachen die Logs überwachen und wenn zu voll dann löschen, richtig?

    Wenn ich bei mir in /var/log/ gehe, dann sehe ich: auth.log und auth.log.1, bedeutet das, dass die beiden Sachen schon laufen?
    Greetz
     
    #8
  10. aragorn
    Offline

    aragorn Guest

    AW: auth.log, was bedeuten die Einträge?

    :eek:fftopic:
    shell benutzer adden: useradd -m <benutzer>
    also zum beispiel: useradd -m gaga

    password für benutzer setzen: passwd <benutzer>
    also zum beispiel: passwd gaga

    benutzer wechseln: su - <benuter>
    also zum beispiel: su - root
    (es ginge auch nur " su root " aber mit dem - ist es sauberer da man dann auch im homedir des benutzers landet usw)
     
    #9
  11. Gigigaga
    Offline

    Gigigaga Hacker

    Registriert:
    13. Mai 2009
    Beiträge:
    449
    Zustimmungen:
    37
    Punkte für Erfolge:
    28
    AW: auth.log, was bedeuten die Einträge?

    Du bist ne richtige Rakete, geil!

    Kannst du mir auch noch die andere Frage beantworten :emoticon-0142-happy

    - tmp2ram.sh und logrotate -


    Greetz
     
    #10
  12. aragorn
    Offline

    aragorn Guest

    AW: auth.log, was bedeuten die Einträge?

    :eek:fftopic:
    tmp2ram.sh überwacht nichts - tmp2ram ist nur dafür zuständig ua. /var/log/ als "tmpfs" (also im ram) anzulegen und bei system hoch sowie runterfahren die dateien zu sichern bzw zurück zu kopieren..

    <log>.1 usw ist eine sicherheitskopie eines alten logs in das nicht mehr geschrieben wird.. in den logrotate konfigurations files ist eingestellt das von auth.log ein backup behalten werden soll damit man auch bereits vergangenes nachvollziehen kann - standardmässig wären es bei linux aber 5, das ist in den meisten fällen (homeserver) aber unnötig..

    sobald die maximale log grösse von zum beispiel 5MB erreicht und logrotate so eingestellt ist dass solche files einmal jede stunde (logmini.sh) überprüft werden, wird das alte *.1 file gelöscht, das aktuelle auth.log in auth.log.1 umbenannt und ein neues auth.log mit entsprechenden rechten/owner angelegt...


    ich meinte damit also das dich diese log einträge nicht weiter stören sollten
     
    #11
  13. jensebub
    Offline

    jensebub Stamm User

    Registriert:
    8. Mai 2010
    Beiträge:
    1.059
    Zustimmungen:
    1.717
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Beruf:
    hab ich
    Ort:
    abvomweltlichen
    AW: auth.log, was bedeuten die Einträge?

    Schau mal mit dem Befehl i i selber nach.

    Gruß
    jensebub
     
    #12

Diese Seite empfehlen