Page 1 of 1
Muss ich mir da sorgen machen?
Posted: 2004-01-03 12:10
by blnsnoopy26
Hi,
Habe folgendes in meinen Logs gefunden und wollte daher mal fragen, ob ich mir bei folgendem sorgen machen muss:
Dec 23 04:01:06 pxxxxxxxxx proftpd[11752]: pxxxxxxxxx.pureserver.info (pdbn-d9bb86b9.pool.mediaWays.net[217.187.134.185]) - SECURITY VIOLATION: root login attempted.
Dec 23 04:01:08 pxxxxxxxxx proftpd[11754]: pxxxxxxxxx.pureserver.info (pdbn-d9bb86b9.pool.mediaWays.net[217.187.134.185]) - SECURITY VIOLATION: root login attempted.
Dec 23 04:01:10 pxxxxxxxxx proftpd[11753]: pxxxxxxxxx.pureserver.info (pdbn-d9bb86b9.pool.mediaWays.net[217.187.134.185]) - SECURITY VIOLATION: root login attempted.
Dec 23 04:01:11 pxxxxxxxxx proftpd[11755]: pxxxxxxxxx.pureserver.info (pdbn-d9bb86b9.pool.mediaWays.net[217.187.134.185]) - SECURITY VIOLATION: root login attempted.
Dec 23 10:50:11 pxxxxxxxxx proftpd[17846]: PAM-listfile: Refused user postgres for service proftpd
Ich hoffe doch mal nicht, denn ansonsten müsste ich auch alles reinitialisieren lassen.
Hoffe jemand kann mir da diesbezüglich rat geben.
In den anderen logs ist alles sauber und auch in den bash historys ist alles nur von mir vorhanden.
hab in /var/log nachgesehn und die bash historys.
Re: Muss ich mir da sorgen machen?
Posted: 2004-01-03 12:24
by pg-computer
Hoi Hoi,
sieht aus wie eine kleine Attacke auf deinen FTP Server, steht doch da... Versuch als root einzuloggen und als User postgres, wenn du aber Root Login per FTP verboten hast, was ich ja mal stark annehme, dann passiert da im Normalfall eh nichts, wenn er nicht gerade irgendwie einen Buffer Overflow dadurch hervorruft und dann ins System eindringt, sieht aber harmlos aus...
das werden eben viele Logfileeinträge :lol:
Re: Muss ich mir da sorgen machen?
Posted: 2004-01-03 12:50
by blnsnoopy26
Also via FTP kann ich mich nicht als Root einloggen.
Geht nur via SSH!
was meinst du mit user posgres? so einen user gibs bei mir garnicht.
Oder kannst du mir das mal ein wenig genauer erleutern?
Ansonsten sind meine logfiles alle sauber soweit ich es überblicken konnte.
Was sonst noch drin ist ist ein out of memory von nem chat der ein user gehostet hat,aber da habe ich auch schon ein riegel vorgeschoben.
Re: Muss ich mir da sorgen machen?
Posted: 2004-01-03 14:18
by darkspirit
Wenn es den entsprechenden User bei dir nicht gibt, brauchst du dir auch keine Sorgen machen. Da versuchte nur jemand mit dem entsprechenden Username reinzukommen. Wenn sonst nichts in den Logs auftaucht, ist wohl auch nichts weiter passiert.
Root-Login per FTP ist als default deaktiviert, was auch verdammt gut ist so, auch bei SSH solltest du den direkten Root-Login verbieten ;)
Re: Muss ich mir da sorgen machen?
Posted: 2004-01-03 14:59
by blnsnoopy26
DarkSpirit wrote:
[...]
so, auch bei SSH solltest du den direkten Root-Login verbieten ;)
Hab dazu glaube ich hier im Forum ne anleitung gesehn,aber finde sie nicht mehr, aber wenn du mir da weiterhelfen könntest, dann könnte ich es einrichten.
Re: Muss ich mir da sorgen machen?
Posted: 2004-01-03 15:11
by static
Hi,
ich hab mal ein HowTo geschrieben in dem das vorkommt:
http://www.rootforum.org/forum/viewtopi ... highlight=
Vielleicht hilft dir das.
so long
static
Re: Muss ich mir da sorgen machen?
Posted: 2004-01-21 18:26
by blnsnoopy26
Und es wurde wieder versucht, aber wohl ohne erfolg :)
Aber der Typ war wohl ziehmlich hartnäckig, wenn man so die zeitangaben beachtet!
Jan 15 19:41:33 pxxxxxxxxx proftpd[30312]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:41:38 pxxxxxxxxx proftpd[30314]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:41:42 pxxxxxxxxx proftpd[30316]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:41:47 pxxxxxxxxx proftpd[30318]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:41:54 pxxxxxxxxx proftpd[30320]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:42:01 pxxxxxxxxx proftpd[30322]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:42:06 pxxxxxxxxx proftpd[30335]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:42:10 pxxxxxxxxx proftpd[30337]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:42:21 pxxxxxxxxx proftpd[30339]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:42:25 pxxxxxxxxx proftpd[30341]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:42:29 pxxxxxxxxx proftpd[30343]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:42:43 pxxxxxxxxx proftpd[30345]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:42:56 pxxxxxxxxx proftpd[30349]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:43:00 pxxxxxxxxx proftpd[30351]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:43:08 pxxxxxxxxx proftpd[30364]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Jan 15 19:43:12 pxxxxxxxxx proftpd[30366]: pxxxxxxxxx.pureserver.info (c219239.adsl.hansenet.de[213.39.219.239]) - SECURITY VIOLATION: root login attempted.
Das mit dem SSH direkt rootzugriff habe ich leider nicht hinbekommen :(
Kann mich da evtl. einer unterstützen
Re: Muss ich mir da sorgen machen?
Posted: 2004-01-21 19:13
by chris76
Schau auch mal auf
http://www.netsecond.net/howto
da gibts auch ein Howto zum "arbeitsuser" Damit solltest du es alleine schaffen.
Ciao Christian