RootForum Community

In log habe ich gefunden:
Aug 5 13:16:46 confixxlight sshd[4147]: Accepted password for ROOT from
::ffff:1.2.3.4 port 4585 ssh2
Das ist laut http://www.webhits.de/visualroute/
eine IP der Telekom p508662....

Nun habe ich die Uhrzeit und IP, an wen wende ich mich?

Der Besucher hat ca. 10 popper Aufrufe, ich nehme an, der hat die mails durchgesucht. Oder was bedeutet popper?

Gibt es ein Suchtool mit dem ich alle alle alten messages nach der IP Nummer durchwühlen kann?
Danke, Astrid

Gegenfrage : bist du vielleicht selbst T-Offline-Kundin ? Könnte es sein, dass du dich auf der Kiste eingeloggt hast ?

Desweiteren : root-Logins per ssh sollten grundsätzlich nicht zugelassen werden.

Gibt es ein Suchtool mit dem ich alle alle alten messages nach der IP Nummer durchwühlen kann?

grep, bzw. zgrep für bereits gezippte Logfiles.

Ob ich es selbst war?
Die Uhrzeit spricht dafür.
Lässt sich nicht mehr klären. Ich wechsele sowieso gerade den Server und möchte den neuen sauber beziehen.

Solche Einträge haben mich verrückt gemacht:
[1.2.3.4]) - FTP session opened.
[1.2.3.4]) - SECURITY VIOLATION: root login attempted.
[1.2.3.4]) - FTP session closed.
Mit t-online Nummer sowie IP.
Soll aber nicht strafbar sein - habe ich hier gelesen.
Danke, Astrid

Lässt sich nicht mehr klären. Ich wechsele sowieso gerade den Server und möchte den neuen sauber beziehen.

In dem Fall solltest du ohnehin einen komplett neuen Satz Passwörter anlegen.

Solche Einträge haben mich verrückt gemacht:
[1.2.3.4]) - FTP session opened.
[1.2.3.4]) - SECURITY VIOLATION: root login attempted.
[1.2.3.4]) - FTP session closed.
Mit t-online Nummer sowie IP.

Ist das die gleiche IP wie die, die sich als root eingeloggt hat ? Der Versuch aus dem Eintrag ist ohnehin gescheitert, machen wirst du da kaum was können.

Hm, das können auch ganz einfach Versuche von Sonstwem sein, ob der Admin (die Admine) so nachlässig war und den User root ein Login per FTP erlaubt hat - und dann natürlich das durchprobieren.

Davon habe ich tausende in meinen Logs, lauter nervige Skriptkiddies ;)

CaptainCrunch wrote:Desweiteren : root-Logins per ssh sollten grundsätzlich nicht zugelassen werden.

Das sehe ich anders: RSA Public-Key Authentifizierung (mit 2048 Bit Schlüsseln) kann als sicher angesehen werden. Aber auch schon ein gutes Passwort schützt i.d.R. vor unerwünschtem Besuch.

OK, dann lass mich die Aussage erweitern : root-Zugang sollte grundsätzlich nicht erlaubt sein, und der Zugang des Users sollte ausschleißlich per PubKey-Auth zugelassen werden ... ;)

CaptainCrunch wrote:OK, dann lass mich die Aussage erweitern : root-Zugang sollte grundsätzlich nicht erlaubt sein, und der Zugang des Users sollte ausschleißlich per PubKey-Auth zugelassen werden ... ;)

Prinzipiell ACK, aber das bedingt dann dass Du immer von Deiner eigenen EDV aus zugreifst. Oder übersehe ich was?

Selbst auf die billigsten USB-Sticks passen heutzutage schon ziemlich viele SSH-Keys drauf ... selbst dann sollte für Putty und / oder WinSCP (wer denn unbedingt Windoof nutzen muss) noch mehr als genug Platz sein. ;)

Selbst auf die billigsten USB-Sticks passen heutzutage schon ziemlich viele SSH-Keys drauf

Also eine altmodische Diskette tuts dafür sicher auch.

CaptainCrunch wrote:Selbst auf die billigsten USB-Sticks passen heutzutage schon ziemlich viele SSH-Keys drauf ... selbst dann sollte für Putty und / oder WinSCP (wer denn unbedingt Windoof nutzen muss) noch mehr als genug Platz sein. ;)

Und damit ab ins nächste Internetcafe? Ich hätte da meine Zweifel ob die einen damit ranlassen.

Und damit ab ins nächste Internetcafe?

Ich würde mich von einem Internetcaffee nie auf irgendeinem meiner Rechner einloggen. Solche Rechner sind prinzipiell als nicht vertrauenswürdig einzustufen, oder kannst du sicher ausschließen, dass dein Vorgänger nicht einen Keylogger installiert hat, der fleißig alles an ihn mailt?

SSH und andere sensitive Dinge sollte man nur von vertrauenswürdigen Rechnern aus nutzen.

dodolin wrote:

Und damit ab ins nächste Internetcafe?

Ich würde mich von einem Internetcaffee nie auf irgendeinem meiner Rechner einloggen. Solche Rechner sind prinzipiell als nicht vertrauenswürdig einzustufen, oder kannst du sicher ausschließen, dass dein Vorgänger nicht einen Keylogger installiert hat, der fleißig alles an ihn mailt?

SSH und andere sensitive Dinge sollte man nur von vertrauenswürdigen Rechnern aus nutzen.

Das ist sicher richtig, und auch war ich noch nie darauf angewiesen. Aber verrate mir doch mal was Du an meiner Stelle machen würdest, wenn Du ab Anfang September zwei Wochen in Ã?gypten bist und mal ran musst?

mstuebner wrote: Das ist sicher richtig, und auch war ich noch nie darauf angewiesen. Aber verrate mir doch mal was Du an meiner Stelle machen würdest, wenn Du ab Anfang September zwei Wochen in Ã?gypten bist und mal ran musst?

einmalpasswörter ;)

http://www.cl.cam.ac.uk/~mgk25/otpw.html

"back to the roots"