Hallo,
Habe auf meinem Server Logcheck eingerichtet. Bekomme alle 4 Stunden ein Mail mit dem Betreff: "System Events" wenn es um Sicherheitsrelevante Einträge geht steht dort "Security Events". Jetzt hab ich aber unter anderem folgendes bekommen.
Security Alerts
=-=-=-=-=-=-=-=
Sep 23 11:27:49 krasses-pferd postfix/qmgr[20439]: A038D36C1E1:
from=<info@handyattacke.de>, size=13982, nrcpt=1 (queue active)
Sep 23 11:27:51 krasses-pferd postfix/qmgr[20439]: 0B7B636C4EB:
from=<info@handyattacke.de>, size=14532, nrcpt=1 (queue active)
Sep 23 11:27:51 krasses-pferd amavis[3494]: (03494-03) Passed,
<info@handyattacke.de> -> <Mailuser@lauf-forum.at>, Message-ID:
<200409230927.i8N9Rmda029507@mail1.websale.net>, Hits: 0
Was stimmt hier nicht, kann an den Einträgen nichts ungewöhnliches erkennen, ausser vielleicht die Absenderadresse, (und dem Servernamen an dem ich selbst schuld bin ;-) ) Oder bin ich ma wieder blind?
MfG
Christian
Security Alert von Logcheck
-
chris76
- Posts: 1878
- Joined: 2003-06-27 14:37
- Location: Germering
Re: Security Alert von Logcheck
Warum setzt ihr eigentlich immer Software ein, von der ihr nicht die geringste Ahnung habt, was sie macht oder wie sie funktioniert? :roll:
Schau dir mal das ruleset von logcheck (Stichwort logcheck.violations) an was für ihn die zu Alarmierenden Stichwörter sind.
Schau dir mal das ruleset von logcheck (Stichwort logcheck.violations) an was für ihn die zu Alarmierenden Stichwörter sind.
Gruß Christian
BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
-
killerhorse
- Posts: 78
- Joined: 2004-06-16 03:33
Re: Security Alert von Logcheck
Gegenfrage: Kennst du jedes einzelne Packet, dass auf deinem Server installiert ist mit jeder einzelnen Datei und jeder einzelnen Funktion??Warum setzt ihr eigentlich immer Software ein, von der ihr nicht die geringste Ahnung habt, was sie macht oder wie sie funktioniert?
Finde es traurig, dass es gleich als Verbrechen angesehen wird wenn man sich ein paar Tools anschaut die einem eine kurze übersicht über das geben, was sich am Server so tut und über dieses Tool eine Frage stellt.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
Re: Security Alert von Logcheck
Selbst wenn nicht: (nicht nur) Software mit sicherheitstechnischem Hintergrund schaut man sich als verantwortungsvoller Admin noch lange vor der Installation auf einem produktiven System ziemlich genau an, und weiß davon ausgehend schon recht gut über seine Funktionsweise Bescheid...Gegenfrage: Kennst du jedes einzelne Packet, dass auf deinem Server installiert ist mit jeder einzelnen Datei und jeder einzelnen Funktion??
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Security Alert von Logcheck
Ich fahre einen 40Tonner, parke diesen in Deinem Garten und frage Dich anschliessend nach der nächsten Fahrschule...killerhorse wrote:Finde es traurig, dass es gleich als Verbrechen angesehen wird wenn man sich ein paar Tools anschaut die einem eine kurze übersicht über das geben, was sich am Server so tut und über dieses Tool eine Frage stellt.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
mikespi
- Posts: 95
- Joined: 2002-12-28 17:47
- Location: Muenchen
Re: Security Alert von Logcheck
lolIch fahre einen 40Tonner, parke diesen in Deinem Garten und frage Dich anschliessend nach der nächsten Fahrschule...
-
killerhorse
- Posts: 78
- Joined: 2004-06-16 03:33
Re: Security Alert von Logcheck
Nicht ganz. Ich komme mit dem Server ja recht gut klar.
Um es mit dem LKW zu vergleichen ich weiss wie ich fahre und wie der Reifendruck sein muss und worauf ich sonst noch achten muss. Nur finde ich es nervig immer stehen bleiben zu müssen nur um mit meinem Handy zu telefonieren. Ich weiss auch wie ich das Handy verwende nur hab ich keine Ahnung von der Freisprecheinrichtung die ein Erleicherung wäre.
Genauso beim Server. Ich weiss auf welche Sicherheitsrelevanten Dinge beim Apache, Postfix... zu achten sind. Habe mich auch lange bevor ich mir den Server genommen habe intensiv mit iptables beschäftigt. Ich weiss auch was die Einträge in den Logfiles bedeuten (die ich mir übrigens jeden Tag anschaue) Ich finde es aber eben nur praktischer, wenn ich wärend der Arbeit wo ich nicht so viel Zeit habe, auch einen kurzen Ã?berblick per Mail bekomme und da hab ich mir gedacht ich schau mir Mal LogCheck an.
Das ist kein Sicherheitsrelevantes Programm in dem Sinne. Sondern lediglich ein Ding, dass eine Zusammenfassung generiert von dem was sowieso in den Logfiles steht.
MfG
Chrsitian
Um es mit dem LKW zu vergleichen ich weiss wie ich fahre und wie der Reifendruck sein muss und worauf ich sonst noch achten muss. Nur finde ich es nervig immer stehen bleiben zu müssen nur um mit meinem Handy zu telefonieren. Ich weiss auch wie ich das Handy verwende nur hab ich keine Ahnung von der Freisprecheinrichtung die ein Erleicherung wäre.
Genauso beim Server. Ich weiss auf welche Sicherheitsrelevanten Dinge beim Apache, Postfix... zu achten sind. Habe mich auch lange bevor ich mir den Server genommen habe intensiv mit iptables beschäftigt. Ich weiss auch was die Einträge in den Logfiles bedeuten (die ich mir übrigens jeden Tag anschaue) Ich finde es aber eben nur praktischer, wenn ich wärend der Arbeit wo ich nicht so viel Zeit habe, auch einen kurzen Ã?berblick per Mail bekomme und da hab ich mir gedacht ich schau mir Mal LogCheck an.
Das ist kein Sicherheitsrelevantes Programm in dem Sinne. Sondern lediglich ein Ding, dass eine Zusammenfassung generiert von dem was sowieso in den Logfiles steht.
MfG
Chrsitian
-
dodolin
- Posts: 3840
- Joined: 2003-01-21 01:59
- Location: Sinsheim/Karlsruhe
Re: Security Alert von Logcheck
Wenn ich jetzt mal bissig bin:
Nix für ungut, du klingst mir eigentlich ganz vernünftig, aber du hast vermutlich die - berechtigte - Kritik an deinem Vorgehen wohl in falschen Hals bekommen und versuchst nun durch heftiges Rudern in alle Richtungen, da wieder rauszukommen. Ich denke, du hättest mehr davon, nochmal etwas intensiver über die ursprüngliche Kritik nachzudenken, auch wenn sie extrem kurzgefasst war - was ich aber nachvollziehen kann, da dieses Verhalten leider extrem oft in Foren und auch Newsgruppen auftaucht und daher kaum noch jemand bereit ist, sich länger darüber auszulassen.
Warum startest du dann diesen Thread?Ich weiss auch was die Einträge in den Logfiles bedeuten
Nix für ungut, du klingst mir eigentlich ganz vernünftig, aber du hast vermutlich die - berechtigte - Kritik an deinem Vorgehen wohl in falschen Hals bekommen und versuchst nun durch heftiges Rudern in alle Richtungen, da wieder rauszukommen. Ich denke, du hättest mehr davon, nochmal etwas intensiver über die ursprüngliche Kritik nachzudenken, auch wenn sie extrem kurzgefasst war - was ich aber nachvollziehen kann, da dieses Verhalten leider extrem oft in Foren und auch Newsgruppen auftaucht und daher kaum noch jemand bereit ist, sich länger darüber auszulassen.
-
killerhorse
- Posts: 78
- Joined: 2004-06-16 03:33
Re: Security Alert von Logcheck
OK, zuersteinmal, was sicherlich stimmt (an der Kritik): Durch ein Simples "man logcheck" wäre der Thread hinfällig gewesen. Auf der anderen Seite wenn jeder von jedem Programm die gesammte Doku liest die es gibt und alles kennt und versteht nichts vergisst.... Dann bräucht man auch kein Forum mehr.
Meiner Meinung nach könnte man auf JEDE Frage die hier im Forum steht auf die manpages Readmes und sonstigen Dokus verweisen.
Warum ich den Thread eröffnet habe ?
Ganz einfach, wenn ein Programm, dass dies in der Regel nicht ohne grund tut plötzlich "Security Alert" sagt, mach ich mir einfach meine Gedanken. Bin in dem Fall auch nicht der Meinung, dass es schlimm ist, wenn man sich nicht sicher ist, zu fragen ob hier was nicht stimmt. Wie ich ja sagte ich konnte an den Einträgen und auch in den Logfiles kein Problem (oder Angriff) erkennen, aber man kann eben auch mal was übersehen oder macht ihr, wenn ihr übermüdet seit und etwas übersehen könntet einen Shutdown und schaltet den Server erst nach dem Schlafen wieder ein?
Wie gesagt zum Teil ist die Kritik sicher berechtigt aber meiner Meinung nach nur zum Teil.
MfG
Christian
Meiner Meinung nach könnte man auf JEDE Frage die hier im Forum steht auf die manpages Readmes und sonstigen Dokus verweisen.
Warum ich den Thread eröffnet habe ?
Ganz einfach, wenn ein Programm, dass dies in der Regel nicht ohne grund tut plötzlich "Security Alert" sagt, mach ich mir einfach meine Gedanken. Bin in dem Fall auch nicht der Meinung, dass es schlimm ist, wenn man sich nicht sicher ist, zu fragen ob hier was nicht stimmt. Wie ich ja sagte ich konnte an den Einträgen und auch in den Logfiles kein Problem (oder Angriff) erkennen, aber man kann eben auch mal was übersehen oder macht ihr, wenn ihr übermüdet seit und etwas übersehen könntet einen Shutdown und schaltet den Server erst nach dem Schlafen wieder ein?
Wie gesagt zum Teil ist die Kritik sicher berechtigt aber meiner Meinung nach nur zum Teil.
MfG
Christian
-
dodolin
- Posts: 3840
- Joined: 2003-01-21 01:59
- Location: Sinsheim/Karlsruhe
Re: Security Alert von Logcheck
Deine Frage klingt halt nunmal genau gleich wie die Frage des Win-DAUs, der sich eine krasse Personal Firewall installiert und jetzt voll sicher ist, und keine 5 Minuten später total verschreckt ist, weil diese ihm etwas von einem "Hack Angriff" erzählt. ;)
Ergo: Man mache sich bei solcher Art von Software am besten vorher schlau über das allgemeine ihnen zugrundeliegende Prinzip: Nämlich, dass irgendwelche Events (Logfiles, whatever) mit bestimmten vorher festgelegten Mustern verglichen werden und danach bestimmte Aktionen erfolgen.
Wenn man sich das mal etwas genau überlegt und durch den Kopf gehen lässt, sollte man schnell zu dem Schluss kommen,
- dass ein solches System mit extrem guten Mustern bestückt sein muss
- dass ein solches System nur dann wirklichen Nutzen bringt, wenn man die Muster auf die lokalen Gegebenheiten anpasst
- dass ein solches System ständig aktualisiert und an neue oder veränderte Gegebenheiten angepasst werden muss
- dass selbst _dann_, das System _prinzipbedingt_ immer noch ab und an sowohl bestimmte Events übersieht als auch welche zuviel erwischt.
Ok, jetzt war's aber doch ausführlich.
Ich find den Beitrag gut, will den jemand für die FAQ aufbereiten? :)
PS: Gilt auch insbesondere für Portsentry. ;)
Ergo: Man mache sich bei solcher Art von Software am besten vorher schlau über das allgemeine ihnen zugrundeliegende Prinzip: Nämlich, dass irgendwelche Events (Logfiles, whatever) mit bestimmten vorher festgelegten Mustern verglichen werden und danach bestimmte Aktionen erfolgen.
Wenn man sich das mal etwas genau überlegt und durch den Kopf gehen lässt, sollte man schnell zu dem Schluss kommen,
- dass ein solches System mit extrem guten Mustern bestückt sein muss
- dass ein solches System nur dann wirklichen Nutzen bringt, wenn man die Muster auf die lokalen Gegebenheiten anpasst
- dass ein solches System ständig aktualisiert und an neue oder veränderte Gegebenheiten angepasst werden muss
- dass selbst _dann_, das System _prinzipbedingt_ immer noch ab und an sowohl bestimmte Events übersieht als auch welche zuviel erwischt.
Ok, jetzt war's aber doch ausführlich.
Ich find den Beitrag gut, will den jemand für die FAQ aufbereiten? :)
PS: Gilt auch insbesondere für Portsentry. ;)