Eindringling?

Rund um die Sicherheit des Systems und die Applikationen
Post Reply
g4m813r
Posts: 16
Joined: 2004-11-11 23:09

Eindringling?

Post by g4m813r »

Morgen allerseits,

seit gestern habe ich irgendwie in Logwatch komische Einträge und kann mir keinen wirklich Reim drauß machen. Vielleicht hat hier ja jemand ne Idee. Das einzige was ich rausgefunden habe, dass es eine Art exploit für klogd gibt um Meldungen abzufangen. Alle Einträge hier sind neu in der Logwatch und kamen vorher nicht. Am Server wurde die letzten Tage nichts gemacht. Es läuft Suse 9.3 mit einer LAMP Umgebung, die komplett auf dem aktuellsten Stand ist. Vor 3 Tagen habe ich von ssh1 auf ssh2 umgestellt und das PW ist ellenlang also kaum zu knacken denke ich.


--------------------- Kernel Begin ------------------------


1 Time(s): Adding 530136k swap on devsda2. Priority:42 extents:1
1 Time(s): Disabled Privacy Extensions on device c037e760(lo)
1 Time(s): Disabled Privacy Extensions on device f76d7000(sit0)
1 Time(s): IPv6 over IPv4 tunneling driver
1 Time(s): Kernel log daemon terminating.
1 Time(s): Kernel logging (proc) stopped.
1 Time(s): NET: Registered protocol family 10
1 Time(s): eth0: link up, 100Mbps, full-duplex, lpa 0x41E1
1 Time(s): eth0: no IPv6 routers present
1 Time(s): klogd 1.4.1, log source = prockmsg started.
1 Time(s): powernow: This module only works with AMD K7 CPUs

---------------------- Kernel End -------------------------


--------------------- Named Begin ------------------------

Named started: 2 Time(s)
Named shutdown: 2 Time(s)

Loaded Zones:
0.0.127.in-addr.arpa/IN: 1 Time(s)
xxx.de/IN: 1 Time(s)
localhost/IN: 1 Time(s)
xxx.de/IN: 1 Time(s)
xxx.de/IN: 1 Time(s)

Can't add command channel:
127.0.0.1#953:
address in use: 1 Time(s)
::1#953:
address in use: 1 Time(s)

**Unmatched Entries**
binding TCP socket: address in use: 3 Time(s)
couldn't open pid file '/var/run/named/named.pid': File exists: 1 Time(s)
found 1 CPU, using 1 worker thread: 1 Time(s)
found 2 CPUs, using 2 worker threads: 1 Time(s)
stopping command channel on ::1#953: 2 Time(s)

---------------------- Named End -------------------------


--------------------- SSHD Begin ------------------------


SSHD Killed: 1 Time(s)

SSHD Started: 1 Time(s)

Users logging in through sshd:
root:
213.61.48.5 (xxxxxxx.de): 3 times
84.58.162.146 (xxxx.pools.arcor-ip.net): 2 times
84.58.100.168 (xxxx.pools.arcor-ip.net): 1 time
84.58.192.47 (xxxxx.pools.arcor-ip.net): 1 time

---------------------- SSHD End -------------------------
Top
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Eindringling?

Post by lord_pinhead »

Tja, dann würde ich mich einfach mal bei dem Hoster melden dem die IP gehört wenn die 213.61.48.5 nichts auf deiner Kiste zu suchen hatte. Schau ob was verändert wurde und melde dich beim Hoster, mehr kannst du mit deinen Infos im moment nicht machen.
Top
Post Reply

Return to “Security”