Quantcast
Aktuelles
Von:
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

auth.log, was bedeuten die Einträge?

G

Gigigaga

Hacker
Registriert
13. Mai 2009
Beiträge
454
Reaktionspunkte
32
Punkte
88
Servus Jungs,

mal ne Frage, habe mir mal den auth.log angeschaut.

Code: 
Jan 17 04:14:01 Igel CRON[28990]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:14:01 Igel CRON[28989]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:14:01 Igel CRON[28989]: pam_unix(cron:session): session closed for user root
Jan 17 04:14:01 Igel CRON[28990]: pam_unix(cron:session): session closed for user root
Jan 17 04:15:01 Igel CRON[29156]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:15:01 Igel CRON[29155]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:15:02 Igel CRON[29155]: pam_unix(cron:session): session closed for user root
Jan 17 04:15:02 Igel CRON[29156]: pam_unix(cron:session): session closed for user root
Jan 17 04:16:01 Igel CRON[29318]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:16:01 Igel CRON[29317]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:16:01 Igel CRON[29317]: pam_unix(cron:session): session closed for user root
Jan 17 04:16:01 Igel CRON[29318]: pam_unix(cron:session): session closed for user root
Jan 17 04:17:01 Igel CRON[29482]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:17:01 Igel CRON[29481]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 17 04:17:01 Igel CRON[29480]: pam_unix(cron:session): session opened for user root by (uid=0)

so geht das über den ganzen Tag....

Was bedeutet das? Warum öffnet cron jede Minute und schließt direkt wieder?

mit
crontab -e
Zum Vergrößern anklicken....

sehe ich den Einträge, leider keiner vorhanden, der dafür verantworltich sein könnte ;-)

Beste Grüße
und DANKE
 
AW: auth.log, was bedeuten die Einträge?

Hi,

da versucht jemand per Bruteforce Deinen Server zu hacken...

Einfach in der sshd.config: "permit root login = no" setzen.

Anderen User erstellen "adduser" und sich erst mit diesem User einloggen. Dann "su -" um sich als root einzuloggen.

Danach hast Du Ruhe.

Schau Dir auch mal "fail2ban" an.

Gruß
 
AW: auth.log, was bedeuten die Einträge?

Hi,

Du hast Recht, IP fehlt.

Oder rennt etwas via Crontab über User root?
 
AW: auth.log, was bedeuten die Einträge?

ja das habe ich mir ja auch schon gedacht....

aber wie gesagt im crontab steht nix drin...

komisch...

vielleicht ein IPC Skript?

Greetz
 
AW: auth.log, was bedeuten die Einträge?

Ein watchdog guck mal mit i jobs nach welcher prozess jede Minute ausgeführt wird
 
AW: auth.log, was bedeuten die Einträge?

axfa77 schrieb:
da versucht jemand per Bruteforce Deinen Server zu hacken...
Zum Vergrößern anklicken....
erm nein, ganz bestimmt nicht :D



"crontab -l" zeigt nur die benutzer crontab von "root". es gibt aber weitaus mehr crontab files wie zum beispiel /etc/crontab oder /etc/cron.* also:
Code: 
/etc/cron.d/       /etc/cron.daily/   /etc/cron.hourly/  /etc/cron.monthly/ /etc/cron.weekly/

es wird aber vermutlich schon irgendein Script von IPC sein also ein watchdog

ich hab zum beispiel auf einem server für einen eggdrop bot das "botchk" script laufen, was prüft ob der prozess läuft - also ein watchdog.. dadurch werden auch solche logeinträge verursacht

auf einem anderen system hab ich kein ipc aber einen selbstgebauten watchdog der ebenfals prüft ob ein prozess läuft und hab dort ebenfals solche einträge -- der grund dafür könnte sein das nur ein "angemeldeter" benutzer auch die prozess liste (ps) abrufen kann

solange du aber tmp2ram.sh sowie logrotate installiert hast, kann dir das egal sein :)
 
AW: auth.log, was bedeuten die Einträge?

aaahhhhhh

okay, da liegt der Braten versteckt.
Yes da sind schon zwei, drei Prozesse, die immer laufen ;-)

Die überwachen wichtige Sachen. Ist okay, so lange, da ja keine Ip im auth.log auftaucht ist ja alles gut.

Abschließend noch eine Frage:

Wie kann man denn das hier verwirklichen?
erstellst du einen user der keine rechte hat
wenn du dich dann einloggst loggst du dich erst mit user ein der keine rechte hat und switcht dann auf root ;)
Zum Vergrößern anklicken....

Wie funzt das?


@Aragon:
Servus, da bin ich wieder und du auch Antwortender natürlich auch ;-)

Was meinst du damit:
solange du aber tmp2ram.sh sowie logrotate installiert hast, kann dir das egal sein
Zum Vergrößern anklicken....

Ich kann mich irgendwie dunkel, sehr dunkel erinner, dass diese beiden Sachen die Logs überwachen und wenn zu voll dann löschen, richtig?

Wenn ich bei mir in /var/log/ gehe, dann sehe ich: auth.log und auth.log.1, bedeutet das, dass die beiden Sachen schon laufen?
Greetz
 
AW: auth.log, was bedeuten die Einträge?

:offtopic:
shell benutzer adden: useradd -m <benutzer>
also zum beispiel: useradd -m gaga

password für benutzer setzen: passwd <benutzer>
also zum beispiel: passwd gaga

benutzer wechseln: su - <benuter>
also zum beispiel: su - root
(es ginge auch nur " su root " aber mit dem - ist es sauberer da man dann auch im homedir des benutzers landet usw)
 
AW: auth.log, was bedeuten die Einträge?

Du bist ne richtige Rakete, geil!

Kannst du mir auch noch die andere Frage beantworten :emoticon-0142-happy

- tmp2ram.sh und logrotate -


Greetz
 
AW: auth.log, was bedeuten die Einträge?

:offtopic:
Gigigaga schrieb:
Ich kann mich irgendwie dunkel, sehr dunkel erinner, dass diese beiden Sachen die Logs überwachen und wenn zu voll dann löschen, richtig?
Zum Vergrößern anklicken....
tmp2ram.sh überwacht nichts - tmp2ram ist nur dafür zuständig ua. /var/log/ als "tmpfs" (also im ram) anzulegen und bei system hoch sowie runterfahren die dateien zu sichern bzw zurück zu kopieren..

Gigigaga schrieb:
Wenn ich bei mir in /var/log/ gehe, dann sehe ich: auth.log und auth.log.1, bedeutet das, dass die beiden Sachen schon laufen?
Greetz
Zum Vergrößern anklicken....
<log>.1 usw ist eine sicherheitskopie eines alten logs in das nicht mehr geschrieben wird.. in den logrotate konfigurations files ist eingestellt das von auth.log ein backup behalten werden soll damit man auch bereits vergangenes nachvollziehen kann - standardmässig wären es bei linux aber 5, das ist in den meisten fällen (homeserver) aber unnötig..

sobald die maximale log grösse von zum beispiel 5MB erreicht und logrotate so eingestellt ist dass solche files einmal jede stunde (logmini.sh) überprüft werden, wird das alte *.1 file gelöscht, das aktuelle auth.log in auth.log.1 umbenannt und ein neues auth.log mit entsprechenden rechten/owner angelegt...


ich meinte damit also das dich diese log einträge nicht weiter stören sollten
 

Ähnliche Themen

T
Plötzliche Fehler im Oscam Log
2 3
Antworten
34
Aufrufe
3K
torty85
T
Derek Buegel
gelöst ORF (0D98) lwird nicht hell?
3 4 5
Antworten
72
Aufrufe
3K
leyla38
leyla38
bizcode
gelöst HD+02 wird nicht mehr erkannt
Antworten
5
Aufrufe
544
bizcode
bizcode
Simple Mind
gelöst SRG 5.0 endgültig abgemeldet?
Antworten
10
Aufrufe
652
RuckZuck
RuckZuck
A
Die OSCAM gibt immer den Fehler aus
2
Antworten
24
Aufrufe
856
Derek Buegel
Derek Buegel
Zurück
Oben