nixp.ru v3.0

20 января 2017,
пятница,
00:39:45 MSK

DevOps с компанией «Флант»
Аватар пользователя DimkaS
DimkaS написал 20 августа 2006 года в 16:14 (1172 просмотра) Ведет себя как мужчина; открыл 84 темы в форуме, оставил 922 комментария на сайте.

Читаю свой auth.log

Aug 20 06:25:07 vectra su[23438]: Successful su for nobody by root
Aug 20 06:25:07 vectra su[23438]: + ??? root:nobody
Aug 20 06:25:08 vectra su[23438]: (pam_unix) session opened for user nobody by (uid=0)
Aug 20 06:25:08 vectra su[23438]: (pam_unix) session closed for user nobody
Aug 20 06:25:08 vectra su[23440]: Successful su for nobody by root
Aug 20 06:25:08 vectra su[23440]: + ??? root:nobody
Aug 20 06:25:08 vectra su[23440]: (pam_unix) session opened for user nobody by (uid=0)
Aug 20 06:25:08 vectra su[23440]: (pam_unix) session closed for user nobody
Aug 20 06:25:08 vectra su[23442]: Successful su for nobody by root
Aug 20 06:25:08 vectra su[23442]: + ??? root:nobody
Aug 20 06:25:08 vectra su[23442]: (pam_unix) session opened for user nobody by (uid=0)
Aug 20 06:26:45 vectra su[23442]: (pam_unix) session closed for user nobody

что бы это значило?

DimkaS

а это: apache2/error.log

[Sun Aug 20 02:55:58 2006] [error] [client 58.26.192.40] File does not exist: /var/www/README
[Sun Aug 20 02:55:59 2006] [error] [client 58.26.192.40] File does not exist: /var/www/horde
[Sun Aug 20 02:56:02 2006] [error] [client 58.26.192.40] File does not exist: /var/www/horde2
[Sun Aug 20 02:56:03 2006] [error] [client 58.26.192.40] File does not exist: /var/www/horde3
[Sun Aug 20 02:56:09 2006] [error] [client 58.26.192.40] File does not exist: /var/www/Horde
[Sun Aug 20 06:27:11 2006] [notice] caught SIGTERM, shutting down

от когой-то апач sigterm поймал в 6 утра?

DimkaS

А вот логи модема:

2nd day 05:14:21        user        alert        klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=89.110.14.199 DST=89.110.18.33 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=61566 DF PROTO=TCP SPT=4007 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 05:14:21       user       alert       klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=89.110.14.199 DST=89.110.18.33 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=61178 DF PROTO=TCP SPT=4007 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0

Тож не понимаю.

DimkaS

а здесь, вроде, только клиенты amule

vectra:/home/dimka# netstat -a|grep -v unix
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 *:nut                   *:*                     LISTEN
tcp        0      0 *:4711                  *:*                     LISTEN
tcp        0      0 *:4712                  *:*                     LISTEN
tcp        0      0 *:netbios-ssn           *:*                     LISTEN
tcp        0      0 *:auth                  *:*                     LISTEN
tcp        0      0 *:4662                  *:*                     LISTEN
tcp        0      0 localhost.localdom:smtp *:*                     LISTEN
tcp        0      0 *:microsoft-ds          *:*                     LISTEN
tcp        0      0 vectra:4662             222.70.187.163:2289     FIN_WAIT2
tcp    70967      0 vectra:2627             host218-178.pool87:4662 ESTABLISHED
tcp        0  12132 vectra:2194             60-241-118-59.tpgi:4661 ESTABLISHED
tcp        0  12130 vectra:3717             84.91.21.113:1685       ESTABLISHED
tcp        0  11424 vectra:4539             61-230-4-189.dynam:4662 ESTABLISHED
tcp        0      0 vectra:4662             200-101-245-193.b:50407 ESTABLISHED
tcp        0      0 localhost.localdom:4621 localhost.localdom:4712 ESTABLISHED
tcp        0  14520 vectra:4662             221.221.81.172:55569    ESTABLISHED
tcp    33400  11376 vectra:2742             219.135.28.35:4661      ESTABLISHED
tcp        0      0 localhost.localdoma:nut localhost.localdom:2679 ESTABLISHED
tcp        0  11616 vectra:4662             client-82-13-40-62:3143 ESTABLISHED
tcp        0      0 localhost.localdom:4712 localhost.localdom:4621 ESTABLISHED
tcp    69521      0 vectra:4662             p548465F0.dip.t-di:2165 ESTABLISHED
tcp        0      0 vectra:3204             62.241.53.16:4242       ESTABLISHED
tcp    57482      0 vectra:4662             89-180-5-41.net.no:3340 ESTABLISHED
tcp        0      0 vectra:netbios-ssn      192.168.0.2:1868        ESTABLISHED
tcp        0      0 localhost.localdom:2679 localhost.localdoma:nut ESTABLISHED
tcp6       0      0 *:www                   *:*                     LISTEN
tcp6       0      0 *:ssh                   *:*                     LISTEN
tcp6       0      0 vectra:ssh              ::ffff:192.168.0.2:4897 ESTABLISHED
udp        0      0 vectra:netbios-ns       *:*
udp        0      0 *:netbios-ns            *:*
udp        0      0 vectra:netbios-dgm      *:*
udp        0      0 *:netbios-dgm           *:*
udp        0      0 *:4665                  *:*
udp        0      0 *:4672                  *:*
udp        0      0 *:bootps                *:*
raw        0      0 *:icmp                  *:*                     7
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path

хотя вот этот не похож

tcp        0  12130 vectra:3717             84.91.21.113:1685       ESTABLISHED
rgo
DimkaS
хотя вот этот не похож

tcp        0  12130 vectra:3717             84.91.21.113:1685       ESTABLISHED

пользуй опцию `-p' netstat’а. Он тебе тогда скажет, хто это.

DimkaS

Спасибо, выяснил, что это всё осёл. Уже немного легче. Дырки позакрывал, как мог. Теперь думаю запускать сервисы от обычного пользователя — модем будет делать форвард с привилегированных портов на непривилегированные.

Кто бы прокомментировал содержимое первых 3-х постов?

Dmitry Ivanov
DimkaS
а это: apache2/error.log

[Sun Aug 20 02:55:58 2006] [error] [client 58.26.192.40] File does not exist: /var/www/README
[Sun Aug 20 02:55:59 2006] [error] [client 58.26.192.40] File does not exist: /var/www/horde
[Sun Aug 20 02:56:02 2006] [error] [client 58.26.192.40] File does not exist: /var/www/horde2
[Sun Aug 20 02:56:03 2006] [error] [client 58.26.192.40] File does not exist: /var/www/horde3
[Sun Aug 20 02:56:09 2006] [error] [client 58.26.192.40] File does not exist: /var/www/Horde
[Sun Aug 20 06:27:11 2006] [notice] caught SIGTERM, shutting down

от когой-то апач sigterm поймал в 6 утра?

а ротации логов в это время нет?

Dmitry Ivanov
DimkaS
Читаю свой auth.log

Aug 20 06:25:07 vectra su[23438]: Successful su for nobody by root
Aug 20 06:25:07 vectra su[23438]: + ??? root:nobody
Aug 20 06:25:08 vectra su[23438]: (pam_unix) session opened for user nobody by (uid=0)
Aug 20 06:25:08 vectra su[23438]: (pam_unix) session closed for user nobody
Aug 20 06:25:08 vectra su[23440]: Successful su for nobody by root
Aug 20 06:25:08 vectra su[23440]: + ??? root:nobody
Aug 20 06:25:08 vectra su[23440]: (pam_unix) session opened for user nobody by (uid=0)
Aug 20 06:25:08 vectra su[23440]: (pam_unix) session closed for user nobody
Aug 20 06:25:08 vectra su[23442]: Successful su for nobody by root
Aug 20 06:25:08 vectra su[23442]: + ??? root:nobody
Aug 20 06:25:08 vectra su[23442]: (pam_unix) session opened for user nobody by (uid=0)
Aug 20 06:26:45 vectra su[23442]: (pam_unix) session closed for user nobody

что бы это значило?

cron?

DimkaS

Видимо, это действительно cron и logrotate. Дома по кронтабу уточню, но, вроде, где-то в это время всё запускается. Но как ты узнал?

Значит, дебиан из коробки более-менее безопасен, если не считать, что ssh разрешает root-login. Я-то испугался, что кто-то делал су, а потом апач перезапустил. А еще amuled отсоединился сам.

Я вот через pam запретил делать su всем, кроме себя. Крону это не помешает? Хотя, если он от рута это делает — то не должно, тама rootok первым идёт.

Осталось узнать, почему модем так волнуется?

Dmitry Ivanov
DimkaS
Видимо, это действительно cron и logrotate. Дома по кронтабу уточню, но, вроде, где-то в это время всё запускается. Но как ты узнал?

Десять лет UNIX-админства… ;)

Поэтому мелочи типа

25 6 * * * root test -x /usr/sbin/anacron || run-parts —report /etc/cron.daily

живут уже на уровне подсознания

Осталось узнать, почему модем так волнуется?

Можно уточнить, что именно не нравится?

DimkaS
Dmitry Ivanov
Десять лет UNIX-админства… ;)

Поэтому мелочи типа

25 6 * * * root test -x /usr/sbin/anacron || run-parts —report /etc/cron.daily

живут уже на уровне подсознания

Круто! Мож и у меня лет через 10 жить будут =)

Можно уточнить, что именно не нравится?



alert        klogd: Intrusion

о каком проникновении идёт речь?

Dmitry Ivanov
DimkaS

alert        klogd: Intrusion

о каком проникновении идёт речь?

Я так полагаю, это какой-нибудь сканер портов. Забить.

DimkaS

ОК. Спасибо большое за объяснения! =)

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.