Hilfe bei Analyse von Logfiles

Nexlamar

Nexlamar

New Member
Hi!

Ich arbeite mich ja derzeit in die Serveradministration ein. Mir wurde gesagt die Logfiles sind deine besten Freunde. Allerdings wäre es Klasse wenn Ihr mir bei der Interpretation helfen könntet - und vor allem wäre ich sehr dankbar wenn ihr Vorschläge hättet wie ich reagieren könnte:


auth.log

Code: 
Aug  4 11:22:06 xxxxxxxxx sshd[5587]: Failed password for invalid user postgres from 221.6.98.140 port 63051 ssh2
Aug  4 11:22:09 xxxxxxxxx sshd[5591]: Invalid user dadieter from 221.6.98.140
Aug  4 11:22:09 xxxxxxxxx sshd[5591]: (pam_unix) check pass; user unknown
Aug  4 11:22:09 xxxxxxxxx sshd[5591]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.6.98.140

IP bleibt gleich, SSH-Port rotiert und username

Wie kann ich es unterbinden?

Und was passiert hier:
Code: 
Aug  4 23:17:01 xxxxxxxxx CRON[2736]: (pam_unix) session opened for user root by (uid=0)
Aug  4 23:17:01 xxxxxxxxx CRON[2736]: (pam_unix) session closed for user root

Apache2 access.log

Ich bekomme viele Einträge hiervon:

Code: 
::1 - - [06/Aug/2008:15:50:35 +0200] "GET / HTTP/1.0" 403 299 "-" "Apache/2.2.3 (Debian) (internal dummy connection)"

Apache2 error.log

Code: 
[Wed Aug 06 20:05:22 2008] [error] [client xx.xxx.xxx.xxx] Request exceeded the limit of 10 internal redirects due to probable configuration error. Use 'LimitInternalRecursion' to increase the limit if necessary. Use 'LogLevel debug' to get a backtrace.

und

Code: 
[Wed Aug 06 21:23:36 2008] [error] [client ::1] Directory index forbidden by Options directive: /var/www/

Vielen Dank für die Nachhilfe :)
N.
 
Nexlamar said:
Code: 
Aug  4 11:22:06 xxxxxxxxx sshd[5587]: Failed password for invalid user postgres from 221.6.98.140 port 63051 ssh2
Aug  4 11:22:09 xxxxxxxxx sshd[5591]: Invalid user dadieter from 221.6.98.140
Aug  4 11:22:09 xxxxxxxxx sshd[5591]: (pam_unix) check pass; user unknown
Aug  4 11:22:09 xxxxxxxxx sshd[5591]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.6.98.140
Click to expand...
Das übliche Rauschen. Irgendwelche Leute in fernen Ländern versuchen Passwörter auszuprobieren. Das gibt es schon seit es das Internet gibt. Die einfachste Lösung dagegen ist, den ssh-Port zu verlegen. Die Forensuche verrät Dir, wie's geht.

Nexlamar said:
Code: 
Aug  4 23:17:01 xxxxxxxxx CRON[2736]: (pam_unix) session opened for user root by (uid=0)
Aug  4 23:17:01 xxxxxxxxx CRON[2736]: (pam_unix) session closed for user root
Click to expand...
Um 17:01 ist ein Cronjob für den Benutzer root gelaufen. "crontab -l root" zeigt Dir was es war; ggfs. auch in /etc/crontab und /etc/cron.d/* nachschauen (-> man cron, man crontab, man 5 crontab).

Nexlamar said:
Code: 
::1 - - [06/Aug/2008:15:50:35 +0200] "GET / HTTP/1.0" 403 299 "-" "Apache/2.2.3 (Debian) (internal dummy connection)"
Click to expand...
Frag mal Google zu "internal dummy connection" oder die Forensuche.

Nexlamar said:
Code: 
[Wed Aug 06 20:05:22 2008] [error] [client xx.xxx.xxx.xxx] Request exceeded the limit of 10 internal redirects due to probable configuration error. Use 'LimitInternalRecursion' to increase the limit if necessary. Use 'LogLevel debug' to get a backtrace.
Click to expand...
Ebenfalls Google.

Nexlamar said:
Code: 
[Wed Aug 06 21:23:36 2008] [error] [client ::1] Directory index forbidden by Options directive: /var/www/
Click to expand...
Google wird Dir einen Link zur Online-Dokumentation des Apache liefern, in der die Bedeutung dieser Meldung genau beschrieben ist.
 
Danke erstmal!

LinuxAdmin said:
Das übliche Rauschen. Irgendwelche Leute in fernen Ländern versuchen Passwörter auszuprobieren. Das gibt es schon seit es das Internet gibt. Die einfachste Lösung dagegen ist, den ssh-Port zu verlegen. Die Forensuche verrät Dir, wie's geht.
Click to expand...

Den habe ich natürlich verlegt. Aber es sieht so aus als ob diese IP-Adresse automatisiert die Ports und die Usernamen durchprobiert und das im Sekundenabstand. Ich möchte vermeiden, dass dadurch der Server in die Knie geht.

Vg,
N.
 
Hm, seit ich den sshd-Port auf eine 4-stellige Zahl verlegt habe, habe ich auf allen Servern (bei unterschiedlichen Providern) keinen einzigen Versuch mehr in den Logfiles gefunden. Bist Du sicher, dass die Änderungen bei Dir auch wirklich wirksam geworden sind?
 
Hi!

Ja, klar - über den Standard-Port kann ich mich nicht mehr einloggen - über den neuen schon - außerdem sehe ich ihn in der Port-Liste.

Es handelt sich hier wohl nur um versuche, wie gesagt der zählt den ssh-Port wahrscheinlich von 22 hoch und testet dann verschiedene User durch.

VG,
Markus
 
You must log in or register to reply here.
Back
Top