Dies ist eine mobil optimierte Seite, die schnell lädt. Wenn Sie die Seite ohne Optimierung laden möchten, dann klicken Sie auf diesen Text.

auth.log, was bedeuten die Einträge?

    Nobody is reading this thread right now.
G

Gigigaga

Hacker
Registriert
13. Mai 2009
Beiträge
454
Reaktionspunkte
32
Punkte
88
Servus Jungs,

mal ne Frage, habe mir mal den auth.log angeschaut.

Code: 
Jan 17 04:14:01 Igel CRON[28990]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:14:01 Igel CRON[28989]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:14:01 Igel CRON[28989]: pam_unix(cron:session): session closed for user root
Jan 17 04:14:01 Igel CRON[28990]: pam_unix(cron:session): session closed for user root
Jan 17 04:15:01 Igel CRON[29156]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:15:01 Igel CRON[29155]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:15:02 Igel CRON[29155]: pam_unix(cron:session): session closed for user root
Jan 17 04:15:02 Igel CRON[29156]: pam_unix(cron:session): session closed for user root
Jan 17 04:16:01 Igel CRON[29318]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:16:01 Igel CRON[29317]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:16:01 Igel CRON[29317]: pam_unix(cron:session): session closed for user root
Jan 17 04:16:01 Igel CRON[29318]: pam_unix(cron:session): session closed for user root
Jan 17 04:17:01 Igel CRON[29482]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:17:01 Igel CRON[29481]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:17:01 Igel CRON[29480]: pam_unix(cron:session): session opened for user root by (uid=0)

so geht das über den ganzen Tag....

Was bedeutet das? Warum öffnet cron jede Minute und schließt direkt wieder?

mit
crontab -e
Zum Vergrößern anklicken....

sehe ich den Einträge, leider keiner vorhanden, der dafür verantworltich sein könnte ;-)

Beste Grüße
und DANKE
 
AW: auth.log, was bedeuten die Einträge?

Hi,

da versucht jemand per Bruteforce Deinen Server zu hacken...

Einfach in der sshd.config: "permit root login = no" setzen.

Anderen User erstellen "adduser" und sich erst mit diesem User einloggen. Dann "su -" um sich als root einzuloggen.

Danach hast Du Ruhe.

Schau Dir auch mal "fail2ban" an.

Gruß
 
AW: auth.log, was bedeuten die Einträge?

Hi,

Du hast Recht, IP fehlt.

Oder rennt etwas via Crontab über User root?
 
AW: auth.log, was bedeuten die Einträge?

ja das habe ich mir ja auch schon gedacht....

aber wie gesagt im crontab steht nix drin...

komisch...

vielleicht ein IPC Skript?

Greetz
 
AW: auth.log, was bedeuten die Einträge?

Ein watchdog guck mal mit i jobs nach welcher prozess jede Minute ausgeführt wird
 
AW: auth.log, was bedeuten die Einträge?

axfa77 schrieb:
da versucht jemand per Bruteforce Deinen Server zu hacken...
Zum Vergrößern anklicken....
erm nein, ganz bestimmt nicht



"crontab -l" zeigt nur die benutzer crontab von "root". es gibt aber weitaus mehr crontab files wie zum beispiel /etc/crontab oder /etc/cron.* also:
Code: 
/etc/cron.d/       /etc/cron.daily/   /etc/cron.hourly/  /etc/cron.monthly/ /etc/cron.weekly/

es wird aber vermutlich schon irgendein Script von IPC sein also ein watchdog

ich hab zum beispiel auf einem server für einen eggdrop bot das "botchk" script laufen, was prüft ob der prozess läuft - also ein watchdog.. dadurch werden auch solche logeinträge verursacht

auf einem anderen system hab ich kein ipc aber einen selbstgebauten watchdog der ebenfals prüft ob ein prozess läuft und hab dort ebenfals solche einträge -- der grund dafür könnte sein das nur ein "angemeldeter" benutzer auch die prozess liste (ps) abrufen kann

solange du aber tmp2ram.sh sowie logrotate installiert hast, kann dir das egal sein
 
AW: auth.log, was bedeuten die Einträge?

aaahhhhhh

okay, da liegt der Braten versteckt.
Yes da sind schon zwei, drei Prozesse, die immer laufen ;-)

Die überwachen wichtige Sachen. Ist okay, so lange, da ja keine Ip im auth.log auftaucht ist ja alles gut.

Abschließend noch eine Frage:

Wie kann man denn das hier verwirklichen?
erstellst du einen user der keine rechte hat
wenn du dich dann einloggst loggst du dich erst mit user ein der keine rechte hat und switcht dann auf root
Zum Vergrößern anklicken....

Wie funzt das?


@Aragon:
Servus, da bin ich wieder und du auch Antwortender natürlich auch ;-)

Was meinst du damit:
solange du aber tmp2ram.sh sowie logrotate installiert hast, kann dir das egal sein
Zum Vergrößern anklicken....

Ich kann mich irgendwie dunkel, sehr dunkel erinner, dass diese beiden Sachen die Logs überwachen und wenn zu voll dann löschen, richtig?

Wenn ich bei mir in /var/log/ gehe, dann sehe ich: auth.log und auth.log.1, bedeutet das, dass die beiden Sachen schon laufen?
Greetz
 
AW: auth.log, was bedeuten die Einträge?

fftopic:
shell benutzer adden: useradd -m <benutzer>
also zum beispiel: useradd -m gaga

password für benutzer setzen: passwd <benutzer>
also zum beispiel: passwd gaga

benutzer wechseln: su - <benuter>
also zum beispiel: su - root
(es ginge auch nur " su root " aber mit dem - ist es sauberer da man dann auch im homedir des benutzers landet usw)
 
AW: auth.log, was bedeuten die Einträge?

Du bist ne richtige Rakete, geil!

Kannst du mir auch noch die andere Frage beantworten :emoticon-0142-happy

- tmp2ram.sh und logrotate -


Greetz
 
AW: auth.log, was bedeuten die Einträge?

fftopic:
Gigigaga schrieb:
Ich kann mich irgendwie dunkel, sehr dunkel erinner, dass diese beiden Sachen die Logs überwachen und wenn zu voll dann löschen, richtig?
Zum Vergrößern anklicken....
tmp2ram.sh überwacht nichts - tmp2ram ist nur dafür zuständig ua. /var/log/ als "tmpfs" (also im ram) anzulegen und bei system hoch sowie runterfahren die dateien zu sichern bzw zurück zu kopieren..

Gigigaga schrieb:
Wenn ich bei mir in /var/log/ gehe, dann sehe ich: auth.log und auth.log.1, bedeutet das, dass die beiden Sachen schon laufen?
Greetz
Zum Vergrößern anklicken....
<log>.1 usw ist eine sicherheitskopie eines alten logs in das nicht mehr geschrieben wird.. in den logrotate konfigurations files ist eingestellt das von auth.log ein backup behalten werden soll damit man auch bereits vergangenes nachvollziehen kann - standardmässig wären es bei linux aber 5, das ist in den meisten fällen (homeserver) aber unnötig..

sobald die maximale log grösse von zum beispiel 5MB erreicht und logrotate so eingestellt ist dass solche files einmal jede stunde (logmini.sh) überprüft werden, wird das alte *.1 file gelöscht, das aktuelle auth.log in auth.log.1 umbenannt und ein neues auth.log mit entsprechenden rechten/owner angelegt...


ich meinte damit also das dich diese log einträge nicht weiter stören sollten
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
gelöst Hilfe bei der Konfiguration von OScam für ORF Karten
2
Antworten
16
Aufrufe
858
ghost0815
T
gelöst ATV,ATV2 und ServusTV werden nach ca.10 min finster
2
Antworten
23
Aufrufe
793
turbo16v
T
R
gelöst seit gestern kein ORF mehr, Servus TV, ATV, HD geht alles.
2 3 4
Antworten
46
Aufrufe
2K
telecomic
T
gelöst HD02 Dunkel - weil angeblich abgelaufen?
2
Antworten
16
Aufrufe
685
bubbl
S
Support Probleme Installation ISTA 4.22
Antworten
2
Aufrufe
194
Iphone3
I
Menü
Anmelden
Registrieren
Für die Nutzung dieser Website sind Cookies erforderlich. Du musst diese akzeptieren, um die Website weiter nutzen zu können. Erfahre mehr…