/ Forside / Teknologi / Hardware / Mac / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Mac
#NavnPoint
UlrikB 4810
kipros 1675
Klaudi 1010
myg 920
pifo 907
Stouenberg 838
molokyle 830
Bille1948 815
rotw 760
10  EXTERMINA.. 750
Laver SSH en logfil...?
Fra : Niels Riis Ebbesen


Dato : 11-10-05 15:18


Jeg har været en lille uges tid på efterårsferie, og inden jeg tog
afsted, der åbnede jeg for SSH adgang på min MacOSX-Apache server, og det
har fungeret helt fint, jeg havde min gamle PowerBook med, og med den
kunne jeg tjekke log-filen og fjernstyre serveren.

Men her i går aftes kunne jeg via CPU-overvågningen se, at der var noget
aktivitet på serveren, som ikke blev skrevet til Apache's log-fil, så jeg
gik straks ind og lukkede for SSH-adgang, og det stoppede næsten
øjeblikkelig aktiviteten.

Aktiviteten var meget ens og rytmisk, som om der var noget software, der
stod og afprøvede forskellige kombinationer af brugernavn og password.

Så ind til vidre går jeg ud fra, at nogen har gjort et forsøg på at hacke
sig ind via SSH, men jeg kunne godt tænke mig at tjekke op det, derfor
vil jeg høre om der skrives en SSH log-fil, som jeg kan studere, og hvor
jeg evt. finder den log-fil...

--
Med venlig hilsen - Niels Riis Ebbesen
http://www.niels-ebbesen.net - grafiker, fotograf & webdesigner
http://www.photo-gallery.dk - Skandinaviens største fotoarkiv
http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner


 
 
Ole Guldberg Jensen (11-10-2005)
Kommentar
Fra : Ole Guldberg Jensen


Dato : 11-10-05 16:34

Niels Riis Ebbesen wrote:
>
> Men her i går aftes kunne jeg via CPU-overvågningen se, at der var noget
> aktivitet på serveren, som ikke blev skrevet til Apache's log-fil, så
> jeg gik straks ind og lukkede for SSH-adgang, og det stoppede næsten
> øjeblikkelig aktiviteten.
>

sshd og apache har *intet* med hinanden at gøre.

> Aktiviteten var meget ens og rytmisk, som om der var noget software, der
> stod og afprøvede forskellige kombinationer af brugernavn og password.
>

check loggen ... (se herunder).

> Så ind til vidre går jeg ud fra, at nogen har gjort et forsøg på at
> hacke sig ind via SSH, men jeg kunne godt tænke mig at tjekke op det,
> derfor vil jeg høre om der skrives en SSH log-fil, som jeg kan studere,
> og hvor jeg evt. finder den log-fil...
>

sshd skriver til /var/log/secure.log

Morten Reippuert Knu~ (11-10-2005)
Kommentar
Fra : Morten Reippuert Knu~


Dato : 11-10-05 20:54

Ole Guldberg Jensen <olegb@opendarwin.org> wrote:
> Niels Riis Ebbesen wrote:
> >
> > Men her i går aftes kunne jeg via CPU-overvågningen se, at der var noget
> > aktivitet på serveren, som ikke blev skrevet til Apache's log-fil, så
> > jeg gik straks ind og lukkede for SSH-adgang, og det stoppede næsten
> > øjeblikkelig aktiviteten.
> >

> sshd og apache har *intet* med hinanden at gøre.

> > Aktiviteten var meget ens og rytmisk, som om der var noget software, der
> > stod og afprøvede forskellige kombinationer af brugernavn og password.
> >

> check loggen ... (se herunder).

> > Så ind til vidre går jeg ud fra, at nogen har gjort et forsøg på at
> > hacke sig ind via SSH, men jeg kunne godt tænke mig at tjekke op det,
> > derfor vil jeg høre om der skrives en SSH log-fil, som jeg kan studere,
> > og hvor jeg evt. finder den log-fil...
> >

> sshd skriver til /var/log/secure.log

Den skriver også til /var/log/system.log

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

PowerMac G5: 1.6GHz, 3GB RAM, 300+300GB SATA, 16xDVD-/+RW DL, Bluetooth
mus+tastatur, R9600PRO, iSight, eyeTV200 & LaCie Photon18Vision TFT.

Niels Riis Ebbesen (12-10-2005)
Kommentar
Fra : Niels Riis Ebbesen


Dato : 12-10-05 08:17


Ole Guldberg Jensen wrote:

> sshd og apache har *intet* med hinanden at gøre.


Det ved jeg godt, min hensigt var blot at oplyse, at det er min
web-server, som jeg laver en SSH terminalopkobling på.


> sshd skriver til /var/log/secure.log

Den virker, men log-filen er meget sparsom, jeg kunne dog se alle de
sessions jeg havde på min ferie, og intet andet, så den logger ikke
mislykkede forsøg...

--
Med venlig hilsen - Niels Riis Ebbesen
http://www.niels-ebbesen.net - grafiker, fotograf & webdesigner
http://www.photo-gallery.dk - Skandinaviens største fotoarkiv
http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner


Frank E. N. Stein (12-10-2005)
Kommentar
Fra : Frank E. N. Stein


Dato : 12-10-05 12:10

On Wed, 12 Oct 2005 09:16:57 +0200, Niels Riis Ebbesen wrote:

>> sshd skriver til /var/log/secure.log
>
> Den virker, men log-filen er meget sparsom, jeg kunne dog se alle de
> sessions jeg havde på min ferie, og intet andet, så den logger ikke
> mislykkede forsøg...

Har du da prøvet at lave et mislykket forsøg?
--
MVH
osv...



Niels Riis Ebbesen (12-10-2005)
Kommentar
Fra : Niels Riis Ebbesen


Dato : 12-10-05 21:24


Frank E. N. Stein wrote:

> Har du da prøvet at lave et mislykket forsøg?


Det vil jeg prøve, og jeg vil også lave en portscan, for jeg vil meget
gerne vide, hvad det var for noget aktivitet jeg bemærkede...

--
Med venlig hilsen - Niels Riis Ebbesen
http://www.niels-ebbesen.net - grafiker, fotograf & webdesigner
http://www.photo-gallery.dk - Skandinaviens største fotoarkiv
http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner


Thorbjoern Ravn Ande~ (12-10-2005)
Kommentar
Fra : Thorbjoern Ravn Ande~


Dato : 12-10-05 21:44

Niels Riis Ebbesen <info@niels-ebbesen.net> writes:

> Det vil jeg prøve, og jeg vil også lave en portscan, for jeg vil meget
> gerne vide, hvad det var for noget aktivitet jeg bemærkede...

Det kan let ogsaa bare have vaeret at OS X fandt ud af at tiden var
velegnet til at defragmentere disken, eller indeksere alle de filer
som godt kan vente til den ikke laver noget.

Nogen der har gode forslag til hvad maskinen kan have gjort paa det
tidspunkt hvor Niels kom hjem?
--
Thorbjørn Ravn Andersen "... plus ... Tubular Bells!"
http://bigfoot.com/~thunderbear

Morten Reippuert Knu~ (12-10-2005)
Kommentar
Fra : Morten Reippuert Knu~


Dato : 12-10-05 22:52

Thorbjoern Ravn Andersen <nospam0000@gmail.com> wrote:
> Niels Riis Ebbesen <info@niels-ebbesen.net> writes:

> > Det vil jeg prøve, og jeg vil også lave en portscan, for jeg vil meget
> > gerne vide, hvad det var for noget aktivitet jeg bemærkede...

> Det kan let ogsaa bare have vaeret at OS X fandt ud af at tiden var
> velegnet til at defragmentere disken, eller indeksere alle de filer
> som godt kan vente til den ikke laver noget.

> Nogen der har gode forslag til hvad maskinen kan have gjort paa det
> tidspunkt hvor Niels kom hjem?

weekly eller monthly cron jobs (de roterer logfiler, men hvad der er
nok er mere interessant i denne sammenhæng er at de opdatere whatis og
locate databaserne)

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

PowerMac G5: 1.6GHz, 3GB RAM, 300+300GB SATA, 16xDVD-/+RW DL, Bluetooth
mus+tastatur, R9600PRO, iSight, eyeTV200 & LaCie Photon18Vision TFT.

Morten Reippuert Knu~ (11-10-2005)
Kommentar
Fra : Morten Reippuert Knu~


Dato : 11-10-05 17:13

Niels Riis Ebbesen <info@niels-ebbesen.net> wrote:

> Jeg har været en lille uges tid på efterårsferie, og inden jeg tog
> afsted, der åbnede jeg for SSH adgang på min MacOSX-Apache server, og det
> har fungeret helt fint, jeg havde min gamle PowerBook med, og med den
> kunne jeg tjekke log-filen og fjernstyre serveren.

> Men her i går aftes kunne jeg via CPU-overvågningen se, at der var noget
> aktivitet på serveren, som ikke blev skrevet til Apache's log-fil, så jeg
> gik straks ind og lukkede for SSH-adgang, og det stoppede næsten
> øjeblikkelig aktiviteten.

> Aktiviteten var meget ens og rytmisk, som om der var noget software, der
> stod og afprøvede forskellige kombinationer af brugernavn og password.

> Så ind til vidre går jeg ud fra, at nogen har gjort et forsøg på at hacke
> sig ind via SSH, men jeg kunne godt tænke mig at tjekke op det, derfor
> vil jeg høre om der skrives en SSH log-fil, som jeg kan studere, og hvor
> jeg evt. finder den log-fil...

ssh log beskeder skrives primært til /var/log/system.log

Apples configurations fil til sshd /etc/sshd_config er ikke sat til at
logge ret meget. (INFO)

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

PowerMac G5: 1.6GHz, 3GB RAM, 300+300GB SATA, 16xDVD-/+RW DL, Bluetooth
mus+tastatur, R9600PRO, iSight, eyeTV200 & LaCie Photon18Vision TFT.

Thorbjoern Ravn Ande~ (11-10-2005)
Kommentar
Fra : Thorbjoern Ravn Ande~


Dato : 11-10-05 19:30

Morten Reippuert Knudsen<spam@reippuert.dk> writes:

> Apples configurations fil til sshd /etc/sshd_config er ikke sat til at
> logge ret meget. (INFO)

Det skulle da gerne være nok til at den melder når der er fejlende loginforsøg.
--
Thorbjørn Ravn Andersen "... plus ... Tubular Bells!"
http://bigfoot.com/~thunderbear

Niels Riis Ebbesen (12-10-2005)
Kommentar
Fra : Niels Riis Ebbesen


Dato : 12-10-05 08:22


Thorbjoern Ravn Andersen wrote:

> Det skulle da gerne være nok til at den melder når der er fejlende loginforsøg.


Enten er det ikke tilfældet, eller så er det ikke fejlende SSH
loginforsøg jeg registrerede. Men den unormale aktivitet som jeg
bemærkede, kan jo også ha' været en portscan...

--
Med venlig hilsen - Niels Riis Ebbesen
http://www.niels-ebbesen.net - grafiker, fotograf & webdesigner
http://www.photo-gallery.dk - Skandinaviens største fotoarkiv
http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner


Morten Reippuert Knu~ (12-10-2005)
Kommentar
Fra : Morten Reippuert Knu~


Dato : 12-10-05 19:18

Niels Riis Ebbesen <info@niels-ebbesen.net> wrote:

> Thorbjoern Ravn Andersen wrote:

> > Det skulle da gerne være nok til at den melder når der er fejlende loginforsøg.


> Enten er det ikke tilfældet, eller så er det ikke fejlende SSH
> loginforsøg jeg registrerede. Men den unormale aktivitet som jeg
> bemærkede, kan jo også ha' været en portscan...

det vil ikke trække søm ud på din maskine. det er formegenlig blot et
cron job

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

PowerMac G5: 1.6GHz, 3GB RAM, 300+300GB SATA, 16xDVD-/+RW DL, Bluetooth
mus+tastatur, R9600PRO, iSight, eyeTV200 & LaCie Photon18Vision TFT.

Niels Riis Ebbesen (12-10-2005)
Kommentar
Fra : Niels Riis Ebbesen


Dato : 12-10-05 21:22


Morten Reippuert Knudsen wrote:

> det vil ikke trække søm ud på din maskine. det er formegenlig blot et
> cron job


Det kan godt være jeg lyder dum, men hvad er et cron job...?

--
Med venlig hilsen - Niels Riis Ebbesen
http://www.niels-ebbesen.net - grafiker, fotograf & webdesigner
http://www.photo-gallery.dk - Skandinaviens største fotoarkiv
http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner


Thorbjoern Ravn Ande~ (12-10-2005)
Kommentar
Fra : Thorbjoern Ravn Ande~


Dato : 12-10-05 21:42

Niels Riis Ebbesen <info@niels-ebbesen.net> writes:

> Det kan godt være jeg lyder dum, men hvad er et cron job...?

En standard unixfacilitet der tillader at afvikle non-GUI programmer
i baggrunden paa forudbestemte tidspunkter. Dette bruges isaer for
diverse systemopgaver, men kan ogsaa bruges af almindelige brugere.

Et eksempel kunne fx vaere natlig backup af et givent hierarki, eller
fjernelse af foraeldelde midlertidige filer, eller konstruktion af
rapporter over dagens trafik paa et website der derefter emailes til
hvem der maatte vaere intereserede.

Der er rigtigt mange muligheder, bare man kan programmere lidt.
--
Thorbjørn Ravn Andersen "... plus ... Tubular Bells!"
http://bigfoot.com/~thunderbear

Hans Joergensen (12-10-2005)
Kommentar
Fra : Hans Joergensen


Dato : 12-10-05 23:02

Niels Riis Ebbesen wrote:
>> det vil ikke trække søm ud på din maskine. det er formegenlig blot et
>> cron job
> Det kan godt være jeg lyder dum, men hvad er et cron job...?

'man cron' .. i en terminal.

// Hans
--
Motorcyklister der kører i BIL når det regner er, BILISTER!

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408875
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste