Frage zum Log

[sysLINK]

Ich hab mal eine Frage in meiner Logdatei auth.log stehen in regelmäßigen abständen

Jan 21 06:30:01 ded84 CRON[31353]: (pam_unix) session opened for user root by (uid=0)
Jan 21 06:30:01 ded84 CRON[31353]: (pam_unix) session closed for user root
Jan 21 06:35:01 ded84 CRON[31360]: (pam_unix) session opened for user root by (uid=0)
Jan 21 06:35:01 ded84 CRON[31360]: (pam_unix) session closed for user root
Jan 21 06:39:01 ded84 CRON[31368]: (pam_unix) session opened for user root by (uid=0)
Jan 21 06:39:01 ded84 CRON[31368]: (pam_unix) session closed for user root
Jan 21 06:40:01 ded84 CRON[31378]: (pam_unix) session opened for user root by (uid=0)
Jan 21 06:40:01 ded84 CRON[31378]: (pam_unix) session closed for user root
Jan 21 06:45:01 ded84 CRON[31385]: (pam_unix) session opened for user root by (uid=0)
Jan 21 06:45:01 ded84 CRON[31385]: (pam_unix) session closed for user root

nun frage ich mich ob diese Anfragen aus dem Internet kommen.
Denn ich hab die vermutung das mann versucht mich zu häcken.
Da ich auch

Jan 21 03:26:47 ded84 sshd[28869]: Illegal user admin from 61.92.163.115
Jan 21 03:27:28 ded84 sshd[28873]: Illegal user webmaster from 61.92.163.115
Jan 21 03:27:33 ded84 sshd[28875]: Illegal user webmaster from 61.92.163.115
Jan 21 03:27:38 ded84 sshd[28877]: Illegal user webmaster from 61.92.163.115
Jan 21 03:27:46 ded84 sshd[28879]: Illegal user webmaster from 61.92.163.115
Jan 21 03:27:54 ded84 sshd[28882]: Illegal user webmaster from 61.92.163.115
Jan 21 03:27:59 ded84 sshd[28884]: Illegal user webmaster from 61.92.163.115

in der Log stehen habe.
Kann ich irgendwie ereichen dass die IP 61.92.163.115 nicht mehr auf den Server conecten darf?
Könnte mir bitte helfen!
Danke

sysLINK

 

[Giglio]

hi,

/etc/hosts.deny kannst du das eintragen.

Mfg

Sebi

 

[codc]

Ich hab mal eine Frage in meiner Logdatei auth.log stehen in regelmäßigen abständen

Jan 21 06:30:01 ded84 CRON[31353]: (pam_unix) session opened for user root by (uid=0)
Jan 21 06:30:01 ded84 CRON[31353]: (pam_unix) session closed for user root
Jan 21 06:35:01 ded84 CRON[31360]: (pam_unix) session opened for user root by (uid=0)
Jan 21 06:35:01 ded84 CRON[31360]: (pam_unix) session closed for user root
Jan 21 06:39:01 ded84 CRON[31368]: (pam_unix) session opened for user root by (uid=0)
Jan 21 06:39:01 ded84 CRON[31368]: (pam_unix) session closed for user root
Jan 21 06:40:01 ded84 CRON[31378]: (pam_unix) session opened for user root by (uid=0)
Jan 21 06:40:01 ded84 CRON[31378]: (pam_unix) session closed for user root
Jan 21 06:45:01 ded84 CRON[31385]: (pam_unix) session opened for user root by (uid=0)
Jan 21 06:45:01 ded84 CRON[31385]: (pam_unix) session closed for user root

nun frage ich mich ob diese Anfragen aus dem Internet kommen.

Nein - das kommt vom crond

CRON[31385]

der Scripte mit root-rechten ablaufen lässt.

Denn ich hab die vermutung das mann versucht mich zu häcken.
Da ich auch

Jan 21 03:26:47 ded84 sshd[28869]: Illegal user admin from 61.92.163.115
Jan 21 03:27:28 ded84 sshd[28873]: Illegal user webmaster from 61.92.163.115
Jan 21 03:27:33 ded84 sshd[28875]: Illegal user webmaster from 61.92.163.115
Jan 21 03:27:38 ded84 sshd[28877]: Illegal user webmaster from 61.92.163.115
Jan 21 03:27:46 ded84 sshd[28879]: Illegal user webmaster from 61.92.163.115
Jan 21 03:27:54 ded84 sshd[28882]: Illegal user webmaster from 61.92.163.115
Jan 21 03:27:59 ded84 sshd[28884]: Illegal user webmaster from 61.92.163.115

in der Log stehen habe.
Kann ich irgendwie ereichen dass die IP 61.92.163.115 nicht mehr auf den Server conecten darf?
Könnte mir bitte helfen!
Danke

sysLINK

Die üblichen Brute-Force Seuche - gewöhn dich dran und wenn du Keys benutzt und root den login verbietest ist das harmlos. Du wirst beobachten dass das immer wieder von verschiedenen IPs kommt. Also absichern und zurücklehnen.

Jan 23 11:22:52 localhost sshd[19388]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.uni-ulm.de  user=root
Jan 23 11:22:54 localhost sshd[19388]: error: PAM: Authentication failure for root from xxx.xxx.uni-ulm.de
Jan 23 11:22:59 localhost sshd[19388]: error: PAM: Authentication failure for root from xxx.xxx.uni-ulm.de
Jan 23 11:23:05 localhost sshd[19388]: error: PAM: Have exhasted maximum number of retries for service. for root from xxx.xxx.uni-ulm.de

So sieht ein erfolgloser DAU-Angriffsversuch aus.

 

[sysLINK]

Ok danke
aber wenn das von crond kommt.
Warum tut es dies alle 5 Minuten.
Das interesiert mich.
Da wird ja mein log ganz voll wenn er alle 5 Minuten 2 Einträge macht.


sysLINK

 

[Jabo]

Crontab & logrotate, fail2ban

Warum tut es dies alle 5 Minuten.

Hallo,

das tut er, weil der CROND genau das tut: Irgend etwas zu regelmäßigen Zeiten immer wieder ausführen (z.B. alle 5 Minuten, wenn das für irgend einen Vorgang eingestellt ist).

Da wird ja mein log ganz voll wenn er alle 5 Minuten 2 Einträge macht.

Man kann auch irgend wie an den Syslogleveln rumschrauben, aber ich würde erst mal sehen wollen, was das für ein Eintrag in der Crontab ist und ob der überhaupt nötig ist.

Zu wachsenden Logs: Ich empfehle dir das Programm "logrotate" (vermutlich bei der Distri dabei - muß evtl. nachinstalliert werden). Das archiviert deine Logs in konfigurierbaren Abständen in gezipte Dateien und startet sie neu. Diese Zipdateien kannst du dann sammeln oder löschen, wie du magst oder es der Platz zuläßt.

[EDIT]
Ergänzend zum SSH: Wenn du eigentlich nie von außen SSH-Zugriff brauchst, einfach per iptables den Port zumachen, dann ist der Spuk vorbei.

Er ist auch vorbei, wenn du für SSH einen "Portknocker" installierst (z.B. knockd), aber dann brauchst du von außen immer erst die Knock-Sequenz, um den SSH-Port für dich zu öffnen. Dafür gibt es aber sogar Windows-Clients.

Was *ich* an der Stelle einsetze ist fail2ban - das blockt einfach nach sagen wir 5 fehlerhaften Zugriffen (einstellbar) die IP für sagen wir 10 Minuten (auch einstellbar) und gibt sie dann wieder frei. Vorteil: Du kannst den sshd an lassen, den Port offenhalten, brauchst für reguläre Logins keinen Zauberkram und bist das ganze Bruteforce-Gerümpel los - auch aus den Logfiles.

 

[sysLINK]

Danke
logrotate war schon installiert werde es aber mal unter die Lupe nehmen.
Und schauen wie es lauft.
Aber danke für die Information.

sysLINK

 

[codc]

Ergänzend zum SSH: Wenn du eigentlich nie von außen SSH-Zugriff brauchst, einfach per iptables den Port zumachen, dann ist der Spuk vorbei.

Den sshd kann man auch an ein Interface binden also nur LAN aber nicht WAN

 

[Jabo]

Den sshd kann man auch an ein Interface binden also nur LAN aber nicht WAN

Ok, das auch. Aber ich benutze z.B. SSH öfters zwischen dem Host und VMs, auf dem Host aber selten von außen, aber manchmal eben doch.

Ich habe mir halt angewöhnt, sshd nicht dauernd hin und her zu konfigurieren, sondern entweder ist er an oder aus und wenn er an ist, ist entweder der Port auf oder zu zum externen Netz - nach innen ist er immer auf.

Und wenn er auf ist und der Dienst an, ist fail2ban recht wirksam...

Aber schon richtig, wenn man ein Device hat, das nach draußen zeigt und da braucht man ssh nicht, sollte man da ohnehin machen. Wobei wir aber noch gar nicht wissen, ob sshd hier nach außen gebraucht wird.

 

[Wolfgang]

Hallo
Eine sehr wirksame Methode ist es, den ssh für dein Login auf einen anderen Port zu legen, da die Script-Kiddies meist nur Standardscripte verwenden, die auf den allgemein üblichen Port zugreifen.
Schieb das irgendwohin und du hast meist Ruhe.
Wenn du selbst daruf zugreifen willst, kennst du den Port ja, und hast keine Probleme.
Gruß Wolfgang