Einbruchsversuche über den SSHD Melden.

Bash, Shell, PHP, Python, Perl, CGI
bmp
Posts: 116
Joined: 2003-03-13 16:30

Einbruchsversuche über den SSHD Melden.

Post by bmp »

Hallo,

ich habe mir ein kleines Script gebastelt, mit dem ich mir Fehlerhafte Usernamen und Passwortanmeldungen beim sshd zumailen lassen.
Ich denke mal das ist auch für andere Interessant ist.

Code: Select all

#/bin/sh
find . -name "messages" -exec grep "Failed password for" '{}' ; -print > 1
find . -name "messages" -exec grep "Illegal user" '{}' ; -print >> 1 
diff 1 2 > fan
find . -name "fan" -size 0 -exec rm {} ;
MS=`cat fan`
if ls fan > /dev/null 2>&1; then
    echo "$MS" | mail -s "Da hat einer sein PW Vergessen" MAIL@Provider.tld 
fi
rm 2
cp 1 2
rm fan
Bitte nicht schlagen, es ist mein erstes Script auf Linux.

Das ganze liegt bei mir als FA im Ordner /var/log/ und wird per Cronejob alle 30 Minuten aufgerufen.


mfg

Marcus Berger
dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Einbruchsversuche über den SSHD Melden.

Post by dodolin »

Ich will dich ja nicht enttäuschen, aber logcheck tut das hier alles automatisch und schickt mir auch noch viele andere auffällige Logmeldungen per Mail. :)
bmp
Posts: 116
Joined: 2003-03-13 16:30

Re: Einbruchsversuche über den SSHD Melden.

Post by bmp »

dodolin wrote:Ich will dich ja nicht enttäuschen, aber logcheck tut das hier alles automatisch und schickt mir auch noch viele andere auffällige Logmeldungen per Mail. :)
GGrrrrr,

und wieso sagt mir das keiner :roll:
Warscheinlich weil ich nicht gefragt habe 8O
bmp
Posts: 116
Joined: 2003-03-13 16:30

Re: Einbruchsversuche über den SSHD Melden.

Post by bmp »

dodolin wrote:Ich will dich ja nicht enttäuschen, aber logcheck tut das hier alles automatisch und schickt mir auch noch viele andere auffällige Logmeldungen per Mail. :)
Kennt einer eine schöne Erklärung dazu ?
Weder Google, man, whatis, --h oder Readme bring mir eine erklärung zu dem Logsentry Tools.....

Das einzigste was ich gefunden habe ist dieses hier :http://linux.atlink.it/linuxfocus/Deuts ... e274.shtml

Was aber anscheinend nicht mehr so ganz past.
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Einbruchsversuche über den SSHD Melden.

Post by captaincrunch »

Es geht auch nicht um LogSentry, sondern um logcheck
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
bmp
Posts: 116
Joined: 2003-03-13 16:30

Re: Einbruchsversuche über den SSHD Melden.

Post by bmp »

CaptainCrunch wrote:Es geht auch nicht um LogSentry, sondern um logcheck
Hmm, dann habe ich das Falsche gefunden.

Wenn ich LOGCHECK im Google suchen lasse, finde ich nur das RPM LOGSENTRY welches dann aber das Script LOGCHECK beinhaltet.

Sprechen wir jetzt von einem anderen LOGCHECK hier ?
Und wenn ja wo finde ich es ?
dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Einbruchsversuche über den SSHD Melden.

Post by dodolin »

Code: Select all

dominik@cheffe:~/own-files/debhowto/html/nglayout$ apt-cache show logcheck
Package: logcheck
Priority: optional
Section: admin
Installed-Size: 168
Maintainer: Steve Kemp <skx@debian.org>
Architecture: all
Version: 1.2.14
Depends: exim | mail-transport-agent, cron (>=3.0pl1-68), sysklogd | system-log-daemon, mailx, logtail (= 1.2.14), logcheck-database (= 1.2.14), debianutils (>= 1.16.9), lockfile-progs, debconf (>= 0.5)
Pre-Depends: logtail (>= 1.1.9.1)
Filename: pool/main/l/logcheck/logcheck_1.2.14_all.deb
Size: 29476
MD5sum: 3a62b31c6808c72ab1ac5d2a47d2c263
Description: Mails anomalies in the system logfiles to the administrator
 Logcheck was part of the Abacus Project of security tools, but this
 version has been rewritten.
 .
 Logcheck helps spot problems and security violations in your logfiles
 automatically and will send the results to you in e-mail.

Package: logcheck
Priority: optional
Section: admin
Installed-Size: 176
Maintainer: Rene Mayrhofer <rmayr@debian.org>
Architecture: all
Version: 1.1.1-13.1
Depends: debconf, exim | mail-transport-agent, cron (>=3.0pl1-68), sysklogd | system-log-daemon, mailx, logtail, logcheck-database
Filename: pool/main/l/logcheck/logcheck_1.1.1-13.1_all.deb
Size: 24846
MD5sum: 440ddaaee521b8527d0f50d7b4819292
Description: Mails anomalies in the system logfiles to the administrator
 Logcheck is part of the Abacus Project of security tools. It is a program
 created to help in the processing of UNIX system logfiles generated by the
 various Abacus Project tools, system daemons, Wietse Venema's TCP Wrapper
 and Log Daemon packages, and the Firewall Toolkit© by Trusted Information
 Systems Inc.(TIS).
 .
 Logcheck helps spot problems and security violations in your logfiles
 automatically and will send the results to you in e-mail. This program is
 free to use at any site. Please read the disclaimer before you use any of
 this software.

impulz
Posts: 22
Joined: 2002-10-22 17:08
Location: Paderborn

Re: Einbruchsversuche über den SSHD Melden.

Post by impulz »

Schau auch mal unter
http://www.pl-berichte.de/work/firewall/fire4.html

bei Punk 6.4.2


Gruss
Michael
bmp
Posts: 116
Joined: 2003-03-13 16:30

Re: Einbruchsversuche über den SSHD Melden.

Post by bmp »

Impulz wrote:Schau auch mal unter
http://www.pl-berichte.de/work/firewall/fire4.html

bei Punk 6.4.2


Gruss
Michael
Danke dir. Bin mir jetzt fast sicher das ich eine "alte" Version von Logcheck im RPMSEEK bekommen habe. Nur leider funktioniert der Link zur neuen nicht.
http://www.psionic.com/abacus/logcheck/

Weiß noch einer wo man das herbekommen kann.
impulz
Posts: 22
Joined: 2002-10-22 17:08
Location: Paderborn

Re: Einbruchsversuche über den SSHD Melden.

Post by impulz »

Schau mal hier:
http://www.linux-sxs.org/pipermail/linu ... 17100.html

da is nen Link auf nen Mirror der Sachen und jemand entwickelt das auch weiter, allerdings hab ich das weiterentwickelte nicht getestet.

Grund dass es das Ding nicht mehr auf der offiziellen Seite gibt, is dass Cisco die Firma aufgekauft hat.

Gruss
Michael
bmp
Posts: 116
Joined: 2003-03-13 16:30

Re: Einbruchsversuche über den SSHD Melden.

Post by bmp »

Impulz wrote:Schau mal hier:
http://www.linux-sxs.org/pipermail/linu ... 17100.html

da is nen Link auf nen Mirror der Sachen und jemand entwickelt das auch weiter, allerdings hab ich das weiterentwickelte nicht getestet.

Grund dass es das Ding nicht mehr auf der offiziellen Seite gibt, is dass Cisco die Firma aufgekauft hat.

Gruss
Michael
Herzlichen Dank !!!!
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Einbruchsversuche über den SSHD Melden.

Post by adjustman »

dodolin wrote:Ich will dich ja nicht enttäuschen, aber logcheck tut das hier alles automatisch ..
Heisst das, dass logcheck mit apt-get install installiert wird und dann alles "automatisch" tut?
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Einbruchsversuche über den SSHD Melden.

Post by captaincrunch »

Heisst das, dass logcheck mit apt-get install installiert wird und dann alles "automatisch" tut?
Jein. logcheck kommt in einer Standardkonfiguration, die du noch deinen Bedürfnissen anpassen solltest.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Einbruchsversuche über den SSHD Melden.

Post by adjustman »

ja, is klar. Du meinst die logcheck.conf, gell? Aber ansonsten "Automatik", d.h. Warnmail bei Auffälligkeiten nach logcheck.conf?
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Einbruchsversuche über den SSHD Melden.

Post by captaincrunch »

Ich dachte eher an die logcheck.ignore, dort filterst du aus, was du nicht sehen willst.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Einbruchsversuche über den SSHD Melden.

Post by adjustman »

kleines HOW TO? evtl. Beispiele? Wär echt nett. :)
dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Einbruchsversuche über den SSHD Melden.

Post by dodolin »

evtl. Beispiele?

Code: Select all

trinity:/etc/logcheck# ls -l
total 17
drwx------    2 root     root         1024 Feb 21  2002 cracking.d
lrwxrwxrwx    1 root     root           15 Jun  3 09:02 ignore.d -> ignore.d.server
drwx------    2 root     root         1024 Jun 16 02:57 ignore.d.paranoid
drwx------    2 root     root         1024 Jul 17 21:40 ignore.d.server
drwx------    2 root     root         1024 Jul 17 21:40 ignore.d.workstation
-rw-r--r--    1 root     root           46 Jun  3 09:02 logcheck.conf
-rw-------    1 root     root         1037 Feb 21  2002 logcheck.cracking
lrwxrwxrwx    1 root     root           22 Jun  3 09:02 logcheck.ignore -> logcheck.ignore.server
-rw-------    1 root     root          596 Feb 21  2002 logcheck.ignore.paranoid
-rw-------    1 root     root         1357 Feb 21  2002 logcheck.ignore.server
-rw-------    1 root     root         1417 Feb 21  2002 logcheck.ignore.workstation
-rw-r--r--    1 root     root          274 Jun  3 09:02 logcheck.logfiles
-rw-------    1 root     root          505 Feb 21  2002 logcheck.violations
-rw-------    1 root     root           14 Feb 21  2002 logcheck.violations.ignore
drwx------    2 root     root         1024 Feb 21  2002 violations.d
drwx------    2 root     root         1024 Feb 21  2002 violations.ignore.d

Code: Select all

trinity:~# cat /etc/logcheck/ignore.d/local
# /etc/logcheck/ignored.d/local
#
# Add everything in the logfiles which should be ignored
# and NOT be mailed to root.
#
sshd.*: Accepted publickey for .* from .*
sshd.*: Did not receive identification string from .*

PAM-Wheel.*: Access granted to 'dominik' for 'root'
PAM_unix.*: (su) session opened for user www-user by dominik(uid=1000)

su.*: + pts/.* dominik-root
su.*: + pts/.* dominik-www-user

imapd-ssl: Connection, ip=[.*]
imapd-ssl: LOGIN, user=.*, ip=[.*]
imapd-ssl: LOGOUT, user=.*, ip=[.*], headers=.*, body=.*
So siehts bei mir aus und wird ständig bei Bedarf erweitert.
Muss man natürlich mit den anderen Dateien in diesem Verzeichnis, die Debian schon per Default mitliefert abgleichen...

Bei manchen Dingen könnte man IMHO mal einen Wishlist-Bug reporten, aber da war ich bisher zu faul dazu...
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Einbruchsversuche über den SSHD Melden.

Post by adjustman »

Code: Select all

sshd[23736]: PAM pam_putenv: delete non-existent entry; MAIL
Was bedeutet denn diese Meldung?
dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Einbruchsversuche über den SSHD Melden.

Post by dodolin »

Darf ich bitten, nächstes Mal selbst den folgenden Weg einzuschlagen?
http://www.google.de/search?q=pam_puten ... tent+entry
Danke.
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Einbruchsversuche über den SSHD Melden.

Post by adjustman »

:oops: danke.
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Einbruchsversuche über den SSHD Melden.

Post by adjustman »

Dies mal hab ich Google bemüht. :) Nix gefunden.

Was bedeutet denn das?

Code: Select all

Aug 25 03:00:09 server1 su[27137]: + ??? root-nobody
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Einbruchsversuche über den SSHD Melden.

Post by captaincrunch »

root ist per su zu nobody geworden, um ein Programm (wahrscheinlich updatedb) auszuführen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Einbruchsversuche über den SSHD Melden.

Post by adjustman »

aha 8) Kein Grund zur Sorge also. Danke.
sirmark
Posts: 41
Joined: 2003-07-17 11:21
Location: Karlsruhe

Zusammenfassung

Post by sirmark »

Frage: Hat sich jemand mal die (bewundernswerte) Mühe gemacht, die Logeinträge, die Apache oder Sendmail hinterlässt, auf einer Seite zusammenzufassen, eine kleine Beschreibung und vor allem - für Newbies - eine Bewertung des Logfileeintrages vorzunehmen?
Ich wühle mich schon seit einer Weile durch die Logfiles (früher war "Logfileleser" für mich ein Schimpfwort, doch Eure Paranoia hat sich auf mich übvertragen :-D )
Wäre toll, wenn da jemand einen Link kennen würde, suche sowas schon eine Weile. Gerade bei der Bewertung lässt einem - so finde ich - apache.org ein wenig im Stich ...
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Einbruchsversuche über den SSHD Melden.

Post by adjustman »

Hab die Suche benutzt, aber nix rechtes gefunden. Wenn ich chkrootkit laufen lasse, kommt folgende Meldung:

Code: Select all

Checking `bindshell'... warning, got bogus unix line.
Was heisst das? Danke.