Rätselhafte Logfile-Einträge

[bitbetrieb]

Hallo RootForum,

ich entdecke immer wieder in meinen Logfiles Einträge, das eine FTP-Verbindung geöffnet wird, und in der selben Sekunde wieder geschlossen. Hier mal ein Beispiel des letzten Eintrages:

Feb 27 19:18:29 p1510xxxx proftpd[5405]: p15105310.pureserver.info (batman.nextplatform.com[209.92.222.67]) - FTP session opened.
Feb 27 19:18:29 p1510xxxx proftpd[5405]: p15105310.pureserver.info (batman.nextplatform.com[209.92.222.67]) - FTP session closed.

Ich bin mir sicher, das dies keine "regulären" Benutzer sind, die sich am Server anmelden, da ich alle Benutzer persönlich kenne. Handelt es sich also um einen Angriff von aussen? Und was noch wichtiger ist, sind diese Angriffe erfolgreich? Wenn die Verbindung nichteimal eine Sekunde steht, kann ich mir nicht vorstellen, das da viel passieren kann. Warum wird eine geknackte FTP-Verbindung gleich wieder geschlossen, ohne sich im System umzusehen?

Gibt es übrigens ein Logfile, in dem alle FTP-Verbindungen protokolliert werden? /var/log/xferlog werte ich schon aus, da finden sich aber nur EInträge von regulären Benutzern (webx).

Gruß
Helmut Weber

[robertw]

Dies ist keine geknackte Session.

Da hat jemand mit einem Portscan auf Deinen Rechner nachgeschaut, welche Dienste laufen. Und da bei Dir ein FTP läuft, hat der FTP dann geantwortet und freudiger Erwartung eine Session geöffnet.

Da nach dem Scan aber sofort die Verbindung abgebrochen wurden, durfte Dein FTP enttäuscht gleich wieder seine Session schliessen.

Ist also nichts besonderes, sondern kommt häufiger vor.

Robert

[floschi]

Ist also nichts besonderes, sondern kommt häufiger vor.

Jo, das hab' ich andauernd... Variante ist noch, dass probiert wird, ob der User ANONYMOUS Zugang bekommt, also anon-ftp.

[bitbetrieb]

Da bin ich ja beruhig :lol:

Ichhabe nochmals andere Log-EInträge angesehen, bei denen wirklich ein Benutzer sich angemeldet hat, und dort sieht man dann auch welcher Benutzer sich erfolgreich seine Benutzername und Kennwort eingegeben hat.

Gruß
Helmut Weber

[bitbetrieb]

Wie ist es eigentlich wenn innerhalb einer halben Stunde ständig jemand versucht den FTP-Server zu knacken?
Ich habe festgestellt, das die dazugehörige IP-Adresse von der Telekom vergeben wurde. Bei der Whois-Abfrage bekomme ich auch folgende Bemerkung:

************************************************************
* ABUSE CONTACT: abuse@t-ipnet.de IN CASE OF HACK ATTACKS, *
* ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. * ************************************************************

Hei�?t das, ich soll an die oben genannte eMail-Adresse die Logfile-Einträge schicken? Bringt es überhaupt jemandem etwas (mir, Telekom oder irgendjemand anderes)?

Gruß
Helmut Weber

[crasline]

also meine erfahrungen sind, wenn der selbe User das immer wieder macht, dann schickt die T-Online Abuseabteilung einen Standard-"Abmarn"-Brief an den Betreffenden ... meist is das Abschreckung genug ...

[oxygen]

Aber der Brief kommt auch nur einmal, beim 2. wird der Vertrag gekündigt. Das bringt schon was, die Leute von der Telekom sind wenns um abuse geht recht kooperativ. Auch bei Spamming z.B.

[bitbetrieb]

Danke erstmal,

aber da geht es mit meiner Fragerei gleich weiter. Jetzt habe ich noch einen weiteren Rätselhaften eintrag:

Mar 1 00:15:04 p15105310 su: (to nobody) root on none
Mar 1 00:15:04 p15105310 PAM-unix2[29071]: session started for user nobody, service su
Mar 1 00:15:06 p15105310 PAM-unix2[29071]: session finished for user nobody, service su

Ist su nicht der Befehl um den Benutzer zu wechseln? Auch ier ist es wieder so. Au�?er mir hat niemand "offiziel" Zugfriff auf den Rot-Server.

Kann mir jemand diesen Eintrag erklären?

Gruß
Helmut Weber

[captaincrunch]

Guggst du hier : http://www.rootforum.org/forum/viewtopi ... 2746#22746