Log Auswertung
- Thread starter Eryk
- Start date
Welchen FPT Dienst?
Won welchen verschiedenen Diensten sprichst du jetzt?
Ziel meiner Anfrage ist, dass ich die IP Adressen brauche um sie dann den jeweiligen Providern zuordnen möchte.
Sprich ich habe meinen Log und ziehe mir nur die "FTP IP's" raus und schaue dann in diesem explizit nach einem einzigen Provider Pool, sozusagen ob dieser vorhanden ist.
Ich vermute nämlich bei mir Fremdzugriff und weiß über welchen Provider der kommen müsste.
Gibt es für dieses Problem vielleicht noch einen anderen Ansatz?
Won welchen verschiedenen Diensten sprichst du jetzt?
Ziel meiner Anfrage ist, dass ich die IP Adressen brauche um sie dann den jeweiligen Providern zuordnen möchte.
Sprich ich habe meinen Log und ziehe mir nur die "FTP IP's" raus und schaue dann in diesem explizit nach einem einzigen Provider Pool, sozusagen ob dieser vorhanden ist.
Ich vermute nämlich bei mir Fremdzugriff und weiß über welchen Provider der kommen müsste.
Gibt es für dieses Problem vielleicht noch einen anderen Ansatz?
Wie du vermutest einen Fremdzugriff?
Du denkst jemand hat deinen Server gehackt?
Wenn dem so ist:
Du kannst dann anfangen erstmal per Bash ein bisschen zu filtern:
Das würde dir die Logeinträge liefern wo der Begriff "123.123.123.123" drin vor kommt, also Beispielsweise ne IP.
Du denkst jemand hat deinen Server gehackt?
Wenn dem so ist:
Du kannst dann anfangen erstmal per Bash ein bisschen zu filtern:
Code:
cat /var/log/xferlog | grep 123.123.123.123Nicht gehackt in dem Sinne wie wir es nutzen... ich habe einen Bekannten der hat sich das als Hobby auserkoren Leute zu infiltrieren.
Bei mir hat er es schon mal getan, ich hab ihm bei erneuten Feststellen mit weiterreichenden Konsequenzen gedroht.
Nun vermute ich dass er sich meinen Server sogar dreisterweise als Favorit in seinem FTP Client drin hat und ab und zu mal schaut, was es so "neues" gibt.
Ich weiß, bei welchem Provider er ist und würde den Log daher nach dem Pool von diesem Provider durchsuchen.
Nur geht er und auch andere User beim selben Provider sicherlich öfter auf meine Seite, drum möchte ich explizit FTP Zugriffe rausfilten... das macht die Masse sag ich mal übersichtlich.
EDIT: ach und PW ändern ist für ihn nur noch mehr Herausforderung... und außerdem soll er erstmal nichts von meinen Recherchen mitbekommen.
Bei mir hat er es schon mal getan, ich hab ihm bei erneuten Feststellen mit weiterreichenden Konsequenzen gedroht.
Nun vermute ich dass er sich meinen Server sogar dreisterweise als Favorit in seinem FTP Client drin hat und ab und zu mal schaut, was es so "neues" gibt.
Ich weiß, bei welchem Provider er ist und würde den Log daher nach dem Pool von diesem Provider durchsuchen.
Nur geht er und auch andere User beim selben Provider sicherlich öfter auf meine Seite, drum möchte ich explizit FTP Zugriffe rausfilten... das macht die Masse sag ich mal übersichtlich.
EDIT: ach und PW ändern ist für ihn nur noch mehr Herausforderung... und außerdem soll er erstmal nichts von meinen Recherchen mitbekommen.
Naja hier spreche ich von einem reinen Webspace-Paket, da es sich hier um ein produktiv System, deswegen liegt es nicht auf meinem Server 
... sprich es gibt hier nur einen User, also muss er diesen einen nutzen.
Auf meinem Server habe ich fail2ban nun installiert... ob er hier auch sei unwesen treibt weiß ich nicht.
Möglich dass er sich das PW via logger von mir irgendwie "organisiert" hat, daher bringt in meinen ein wechsel des PW's zur Zeit wenig, eben will ich es ja auch nachweisen, ob er sich Zugriff "verschafft" hat.
Um nochmal die Frage aufzugreifen:
Kann ich aus dem Log, die FTP Zugriffe rausfiltern?
Es geht ja hier nur um die Port 21 Logs, ist dies möglich?
... sprich es gibt hier nur einen User, also muss er diesen einen nutzen.Auf meinem Server habe ich fail2ban nun installiert... ob er hier auch sei unwesen treibt weiß ich nicht.
Möglich dass er sich das PW via logger von mir irgendwie "organisiert" hat, daher bringt in meinen ein wechsel des PW's zur Zeit wenig, eben will ich es ja auch nachweisen, ob er sich Zugriff "verschafft" hat.
Um nochmal die Frage aufzugreifen:
Kann ich aus dem Log, die FTP Zugriffe rausfiltern?
Es geht ja hier nur um die Port 21 Logs, ist dies möglich?
michael-08
New Member
Der Thread ist wohl veraltet.
Wieso speicherst du nicht die ganze logfile und machst per "STRG+F" in deinem editor eine Suche nach
Successfull Login: USER TIME BLABLABLA
oder je nachdem welche Standard Loginmessage in deiner logfile angewendet wird und schreibst sie dir raus?
Wieso speicherst du nicht die ganze logfile und machst per "STRG+F" in deinem editor eine Suche nach
Successfull Login: USER TIME BLABLABLA
oder je nachdem welche Standard Loginmessage in deiner logfile angewendet wird und schreibst sie dir raus?