/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
FTP : Hvad betyder denne entry i min secur~
Fra : Rudi Hansen


Dato : 01-05-06 16:34

Jeg har fundet nogen linier i min secure log der ser sådan her ud:

Apr 30 23:36:53 birke xinetd[1121]: START: ftp pid=25309 from=24.225.136.154
Apr 30 23:37:04 birke xinetd[1121]: EXIT: ftp pid=25309 duration=11(sec)

Har et par stykker fra forskellige adresser, hvad sker der er der nogen
der har brudt ind på den??

 
 
Thomas S. Iversen (01-05-2006)
Kommentar
Fra : Thomas S. Iversen


Dato : 01-05-06 16:59

Rudi Hansen <fjern_rsh_fjern@pobox.dk> skrev 2006-05-01:
> Jeg har fundet nogen linier i min secure log der ser sådan her ud:
>
> Apr 30 23:36:53 birke xinetd[1121]: START: ftp pid=25309 from=24.225.136.154
> Apr 30 23:37:04 birke xinetd[1121]: EXIT: ftp pid=25309 duration=11(sec)
>
> Har et par stykker fra forskellige adresser, hvad sker der er der nogen
> der har brudt ind på den??

Der er nogle der har brugt din ftp server i 11 sekunder. Og et er xinetd der
har startet servicen.

Thomas
--

Rudi Hansen (01-05-2006)
Kommentar
Fra : Rudi Hansen


Dato : 01-05-06 17:13

Jo men jeg kan bare ikke rigtigt finde nogen spor af ip adressen i andre
logs, det eneste der er er nogen linier i messages, men det ser ud som
om det er det samme.

Kan det bare være en der forsøger at logge ind på min maskine?

Sikkerheden på serveren er rimelig høj, men man bliver jo altid lidt nervøs.

Thomas S. Iversen wrote:
> Rudi Hansen <fjern_rsh_fjern@pobox.dk> skrev 2006-05-01:
>> Jeg har fundet nogen linier i min secure log der ser sådan her ud:
>>
>> Apr 30 23:36:53 birke xinetd[1121]: START: ftp pid=25309 from=24.225.136.154
>> Apr 30 23:37:04 birke xinetd[1121]: EXIT: ftp pid=25309 duration=11(sec)
>>
>> Har et par stykker fra forskellige adresser, hvad sker der er der nogen
>> der har brudt ind på den??
>
> Der er nogle der har brugt din ftp server i 11 sekunder. Og et er xinetd der
> har startet servicen.
>
> Thomas

Michael Rasmussen (01-05-2006)
Kommentar
Fra : Michael Rasmussen


Dato : 01-05-06 17:25

Rudi Hansen <fjern_rsh_fjern@pobox.dk> wrote:

>Jo men jeg kan bare ikke rigtigt finde nogen spor af ip adressen i andre
>logs, det eneste der er er nogen linier i messages, men det ser ud som
>om det er det samme.
>
>Kan det bare være en der forsøger at logge ind på min maskine?
>
>Sikkerheden på serveren er rimelig høj, men man bliver jo altid lidt nervøs.

Du har en ftp-server kørende - Så må du også være forberedt på at der er
nogen der banker på

Prøv at checke ftp-serverens log - Den bør fortælle lidt mere om hvad
der sker.

Samtidig kan du checke ftp-serverens diretories - Hvis de fyldt op med
porno, cracks og mp3-filer så har du haft besøg




<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

Thomas S. Iversen (01-05-2006)
Kommentar
Fra : Thomas S. Iversen


Dato : 01-05-06 17:46

Rudi Hansen <fjern_rsh_fjern@pobox.dk> skrev 2006-05-01:
> Jo men jeg kan bare ikke rigtigt finde nogen spor af ip adressen i andre
> logs, det eneste der er er nogen linier i messages, men det ser ud som
> om det er det samme.

Det vil være de samme.

> Kan det bare være en der forsøger at logge ind på min maskine?

Sagtens. Det sker meget jævnligt. Oftest er det bare script kiddies og
nysgerrige folk der lige skal se hvad du har.

> Sikkerheden på serveren er rimelig høj, men man bliver jo altid lidt nervøs.

Hvis ikke du regnede med at få gæster på din ftp konto, så var sikkerheden
jo ikke høj nok

Thomas
--

Rudi Hansen (01-05-2006)
Kommentar
Fra : Rudi Hansen


Dato : 01-05-06 19:36

> Sagtens. Det sker meget jævnligt. Oftest er det bare script kiddies og
> nysgerrige folk der lige skal se hvad du har.
Ja og jeg har også massere af forsøg på at logge ind på min ftp server,
dette er bare første gang der i min LogWatch mail, står at der er en der
er logget ind på serveren, som ikke skulle være der.

------------ Connections (secure-log) Begin ------------------------
Connections:
Service ftp:
24.225.136.154: 2 Time(s)

Normalt står de bare senere i loggen, som mislykkedes forsøg.

>> Sikkerheden på serveren er rimelig høj, men man bliver jo altid lidt nervøs.
> Hvis ikke du regnede med at få gæster på din ftp konto, så var sikkerheden
> jo ikke høj nok


Nej det kan der være noget om, men der er jo ikke så meget andet at gøre
end at forsøge at lave gode passwords.
Nå men nu har jeg prøvet at sætte ftp serverens logging til at logge alt.

Thomas S. Iversen (01-05-2006)
Kommentar
Fra : Thomas S. Iversen


Dato : 01-05-06 19:45

> Ja og jeg har også massere af forsøg på at logge ind på min ftp server,
> dette er bare første gang der i min LogWatch mail, står at der er en der
> er logget ind på serveren, som ikke skulle være der.

Ahh. /me tænder en prås. Følgende side:

http://66.249.93.104/search?q=cache:vydf0X5yXN0J:rpmfind.net/linux/0/redhat-archive/7.2/de/doc/RH-DOCS/rhl-rg-en-7.2/s1-tcpwrappers-xinetd.html+xinetd+ftp+secure+log+duration&hl=da&ct=clnk&cd=2

vise, at når der står hvor lang tid det har taget, så kan det være et tegn
på at folk er kommet ind.

Thomas
--

Kent Friis (01-05-2006)
Kommentar
Fra : Kent Friis


Dato : 01-05-06 19:57

Den Mon, 01 May 2006 20:35:30 +0200 skrev Rudi Hansen:
>
> Nej det kan der være noget om, men der er jo ikke så meget andet at gøre
> end at forsøge at lave gode passwords.

Man kunne jo overveje om FTP er den rigtigt protokol.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Michael Rasmussen (01-05-2006)
Kommentar
Fra : Michael Rasmussen


Dato : 01-05-06 20:16

On Mon, 01 May 2006 18:56:42 +0000, Kent Friis wrote:

>
> Man kunne jo overveje om FTP er den rigtigt protokol.
Hvis man har en FTP server kørende, hvor der ikke kræves password, kan
jeg ikke lige komme på en mere velegnet løsning.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


Kent Friis (01-05-2006)
Kommentar
Fra : Kent Friis


Dato : 01-05-06 22:12

Den Mon, 01 May 2006 21:16:25 +0200 skrev Michael Rasmussen:
> On Mon, 01 May 2006 18:56:42 +0000, Kent Friis wrote:
>
>>
>> Man kunne jo overveje om FTP er den rigtigt protokol.
> Hvis man har en FTP server kørende, hvor der ikke kræves password, kan
> jeg ikke lige komme på en mere velegnet løsning.

Anonymous FTP? Prøv HTTP i stedet for, ftp-servere har generelt ry
for at være mere hullede en http-servere, og derudover slipper man
for problemer med NAT og firewalls.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408928
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste