Page 1 of 2
Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 10:15
by bmp
Hallo,
ich habe mir ein kleines Script gebastelt, mit dem ich mir Fehlerhafte Usernamen und Passwortanmeldungen beim sshd zumailen lassen.
Ich denke mal das ist auch für andere Interessant ist.
Code: Select all
#/bin/sh
find . -name "messages" -exec grep "Failed password for" '{}' ; -print > 1
find . -name "messages" -exec grep "Illegal user" '{}' ; -print >> 1
diff 1 2 > fan
find . -name "fan" -size 0 -exec rm {} ;
MS=`cat fan`
if ls fan > /dev/null 2>&1; then
echo "$MS" | mail -s "Da hat einer sein PW Vergessen" MAIL@Provider.tld
fi
rm 2
cp 1 2
rm fan
Bitte nicht schlagen, es ist mein erstes Script auf Linux.
Das ganze liegt bei mir als FA im Ordner /var/log/ und wird per Cronejob alle 30 Minuten aufgerufen.
mfg
Marcus Berger
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 10:21
by dodolin
Ich will dich ja nicht enttäuschen, aber logcheck tut das hier alles automatisch und schickt mir auch noch viele andere auffällige Logmeldungen per Mail. :)
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 10:23
by bmp
dodolin wrote:Ich will dich ja nicht enttäuschen, aber logcheck tut das hier alles automatisch und schickt mir auch noch viele andere auffällige Logmeldungen per Mail. :)
GGrrrrr,
und wieso sagt mir das keiner :roll:
Warscheinlich weil ich nicht gefragt habe 8O
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 11:20
by bmp
dodolin wrote:Ich will dich ja nicht enttäuschen, aber logcheck tut das hier alles automatisch und schickt mir auch noch viele andere auffällige Logmeldungen per Mail. :)
Kennt einer eine schöne Erklärung dazu ?
Weder Google, man, whatis, --h oder Readme bring mir eine erklärung zu dem Logsentry Tools.....
Das einzigste was ich gefunden habe ist dieses hier :
http://linux.atlink.it/linuxfocus/Deuts ... e274.shtml
Was aber anscheinend nicht mehr so ganz past.
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 11:22
by captaincrunch
Es geht auch nicht um LogSentry, sondern um logcheck
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 11:28
by bmp
CaptainCrunch wrote:Es geht auch nicht um LogSentry, sondern um logcheck
Hmm, dann habe ich das Falsche gefunden.
Wenn ich LOGCHECK im Google suchen lasse, finde ich nur das RPM LOGSENTRY welches dann aber das Script LOGCHECK beinhaltet.
Sprechen wir jetzt von einem anderen LOGCHECK hier ?
Und wenn ja wo finde ich es ?
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 11:29
by dodolin
Code: Select all
dominik@cheffe:~/own-files/debhowto/html/nglayout$ apt-cache show logcheck
Package: logcheck
Priority: optional
Section: admin
Installed-Size: 168
Maintainer: Steve Kemp <skx@debian.org>
Architecture: all
Version: 1.2.14
Depends: exim | mail-transport-agent, cron (>=3.0pl1-68), sysklogd | system-log-daemon, mailx, logtail (= 1.2.14), logcheck-database (= 1.2.14), debianutils (>= 1.16.9), lockfile-progs, debconf (>= 0.5)
Pre-Depends: logtail (>= 1.1.9.1)
Filename: pool/main/l/logcheck/logcheck_1.2.14_all.deb
Size: 29476
MD5sum: 3a62b31c6808c72ab1ac5d2a47d2c263
Description: Mails anomalies in the system logfiles to the administrator
Logcheck was part of the Abacus Project of security tools, but this
version has been rewritten.
.
Logcheck helps spot problems and security violations in your logfiles
automatically and will send the results to you in e-mail.
Package: logcheck
Priority: optional
Section: admin
Installed-Size: 176
Maintainer: Rene Mayrhofer <rmayr@debian.org>
Architecture: all
Version: 1.1.1-13.1
Depends: debconf, exim | mail-transport-agent, cron (>=3.0pl1-68), sysklogd | system-log-daemon, mailx, logtail, logcheck-database
Filename: pool/main/l/logcheck/logcheck_1.1.1-13.1_all.deb
Size: 24846
MD5sum: 440ddaaee521b8527d0f50d7b4819292
Description: Mails anomalies in the system logfiles to the administrator
Logcheck is part of the Abacus Project of security tools. It is a program
created to help in the processing of UNIX system logfiles generated by the
various Abacus Project tools, system daemons, Wietse Venema's TCP Wrapper
and Log Daemon packages, and the Firewall Toolkit© by Trusted Information
Systems Inc.(TIS).
.
Logcheck helps spot problems and security violations in your logfiles
automatically and will send the results to you in e-mail. This program is
free to use at any site. Please read the disclaimer before you use any of
this software.
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 11:54
by impulz
Schau auch mal unter
http://www.pl-berichte.de/work/firewall/fire4.html
bei Punk 6.4.2
Gruss
Michael
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 12:12
by bmp
Danke dir. Bin mir jetzt fast sicher das ich eine "alte" Version von Logcheck im RPMSEEK bekommen habe. Nur leider funktioniert der Link zur neuen nicht.
http://www.psionic.com/abacus/logcheck/
Weiß noch einer wo man das herbekommen kann.
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 14:09
by impulz
Schau mal hier:
http://www.linux-sxs.org/pipermail/linu ... 17100.html
da is nen Link auf nen Mirror der Sachen und jemand entwickelt das auch weiter, allerdings hab ich das weiterentwickelte nicht getestet.
Grund dass es das Ding nicht mehr auf der offiziellen Seite gibt, is dass Cisco die Firma aufgekauft hat.
Gruss
Michael
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 14:13
by bmp
Impulz wrote:Schau mal hier:
http://www.linux-sxs.org/pipermail/linu ... 17100.html
da is nen Link auf nen Mirror der Sachen und jemand entwickelt das auch weiter, allerdings hab ich das weiterentwickelte nicht getestet.
Grund dass es das Ding nicht mehr auf der offiziellen Seite gibt, is dass Cisco die Firma aufgekauft hat.
Gruss
Michael
Herzlichen Dank !!!!
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 14:53
by adjustman
dodolin wrote:Ich will dich ja nicht enttäuschen, aber logcheck tut das hier alles automatisch ..
Heisst das, dass logcheck mit apt-get install installiert wird und dann alles "automatisch" tut?
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 14:57
by captaincrunch
Heisst das, dass logcheck mit apt-get install installiert wird und dann alles "automatisch" tut?
Jein. logcheck kommt in einer Standardkonfiguration, die du noch deinen Bedürfnissen anpassen solltest.
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 15:03
by adjustman
ja, is klar. Du meinst die logcheck.conf, gell? Aber ansonsten "Automatik", d.h. Warnmail bei Auffälligkeiten nach logcheck.conf?
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-15 15:15
by captaincrunch
Ich dachte eher an die logcheck.ignore, dort filterst du aus, was du nicht sehen willst.
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-17 01:23
by adjustman
kleines HOW TO? evtl. Beispiele? Wär echt nett. :)
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-17 08:52
by dodolin
evtl. Beispiele?
Code: Select all
trinity:/etc/logcheck# ls -l
total 17
drwx------ 2 root root 1024 Feb 21 2002 cracking.d
lrwxrwxrwx 1 root root 15 Jun 3 09:02 ignore.d -> ignore.d.server
drwx------ 2 root root 1024 Jun 16 02:57 ignore.d.paranoid
drwx------ 2 root root 1024 Jul 17 21:40 ignore.d.server
drwx------ 2 root root 1024 Jul 17 21:40 ignore.d.workstation
-rw-r--r-- 1 root root 46 Jun 3 09:02 logcheck.conf
-rw------- 1 root root 1037 Feb 21 2002 logcheck.cracking
lrwxrwxrwx 1 root root 22 Jun 3 09:02 logcheck.ignore -> logcheck.ignore.server
-rw------- 1 root root 596 Feb 21 2002 logcheck.ignore.paranoid
-rw------- 1 root root 1357 Feb 21 2002 logcheck.ignore.server
-rw------- 1 root root 1417 Feb 21 2002 logcheck.ignore.workstation
-rw-r--r-- 1 root root 274 Jun 3 09:02 logcheck.logfiles
-rw------- 1 root root 505 Feb 21 2002 logcheck.violations
-rw------- 1 root root 14 Feb 21 2002 logcheck.violations.ignore
drwx------ 2 root root 1024 Feb 21 2002 violations.d
drwx------ 2 root root 1024 Feb 21 2002 violations.ignore.d
Code: Select all
trinity:~# cat /etc/logcheck/ignore.d/local
# /etc/logcheck/ignored.d/local
#
# Add everything in the logfiles which should be ignored
# and NOT be mailed to root.
#
sshd.*: Accepted publickey for .* from .*
sshd.*: Did not receive identification string from .*
PAM-Wheel.*: Access granted to 'dominik' for 'root'
PAM_unix.*: (su) session opened for user www-user by dominik(uid=1000)
su.*: + pts/.* dominik-root
su.*: + pts/.* dominik-www-user
imapd-ssl: Connection, ip=[.*]
imapd-ssl: LOGIN, user=.*, ip=[.*]
imapd-ssl: LOGOUT, user=.*, ip=[.*], headers=.*, body=.*
So siehts bei mir aus und wird ständig bei Bedarf erweitert.
Muss man natürlich mit den anderen Dateien in diesem Verzeichnis, die Debian schon per Default mitliefert abgleichen...
Bei manchen Dingen könnte man IMHO mal einen Wishlist-Bug reporten, aber da war ich bisher zu faul dazu...
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-23 05:42
by adjustman
Code: Select all
sshd[23736]: PAM pam_putenv: delete non-existent entry; MAIL
Was bedeutet denn diese Meldung?
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-23 11:39
by dodolin
Darf ich bitten, nächstes Mal selbst den folgenden Weg einzuschlagen?
http://www.google.de/search?q=pam_puten ... tent+entry
Danke.
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-23 12:37
by adjustman
:oops: danke.
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-25 12:50
by adjustman
Dies mal hab ich Google bemüht. :) Nix gefunden.
Was bedeutet denn das?
Code: Select all
Aug 25 03:00:09 server1 su[27137]: + ??? root-nobody
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-25 12:51
by captaincrunch
root ist per su zu nobody geworden, um ein Programm (wahrscheinlich updatedb) auszuführen.
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-25 12:59
by adjustman
aha 8) Kein Grund zur Sorge also. Danke.
Zusammenfassung
Posted: 2003-08-26 11:28
by sirmark
Frage: Hat sich jemand mal die (bewundernswerte) Mühe gemacht, die Logeinträge, die Apache oder Sendmail hinterlässt, auf einer Seite zusammenzufassen, eine kleine Beschreibung und vor allem - für Newbies - eine Bewertung des Logfileeintrages vorzunehmen?
Ich wühle mich schon seit einer Weile durch die Logfiles (früher war "Logfileleser" für mich ein Schimpfwort, doch Eure Paranoia hat sich auf mich übvertragen :-D )
Wäre toll, wenn da jemand einen Link kennen würde, suche sowas schon eine Weile. Gerade bei der Bewertung lässt einem - so finde ich - apache.org ein wenig im Stich ...
Re: Einbruchsversuche über den SSHD Melden.
Posted: 2003-08-26 13:10
by adjustman
Hab die Suche benutzt, aber nix rechtes gefunden. Wenn ich chkrootkit laufen lasse, kommt folgende Meldung:
Code: Select all
Checking `bindshell'... warning, got bogus unix line.
Was heisst das? Danke.