Logs am falschen Ort

F

fraser

Registered User
Hallo,

mir ist zufällig aufgefallen, dass fail2ban bei mir nicht funktioniert.
Ursache war, dass die Logdateinen am falschen Ort liegen.
Die Datei /var/log/auth.log is leer.
Statt dessen habe ich eine Datei /var/logauth.log.
Direkt unter /var liegt auch noch eine logmail.err.

Beide Dateien werden auch von logrotate verarbeitet.
Hat dafür jemand eine Erklärung? Wurden die Pfade von einem Programm(-update) o.ä. geändert oder habe ich vielleicht Besuch?

Anbei die syslog.conf
Code: 
#  /etc/syslog.conf    Configuration file for syslogd.
#
#            For more information see syslog.conf(5)
#            manpage.

#
# First some standard logfiles.  Log by facility.
#

auth,authpriv.*         -/var/logauth.log
*.*;auth,authpriv.none        -/var/log/syslog
#cron.*             -/var/logcron.log
daemon.*            -/var/log/daemon.log
kern.*                -/var/log/kern.log
lpr.*                -/var/log/lpr.log
mail.*                        -/opt/psa/var/log/maillog
user.*                -/var/log/user.log
uucp.*             -/var/loguucp.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info            -/var/log/mail.info
mail.warn            -/var/log/mail.warn
mail.err         -/var/logmail.err

# Logging for INN news system
#
news.crit         -/var/lognews/news.crit
news.err         -/var/lognews/news.err
news.notice            -/var/log/news/news.notice

#
# Some `catch-all' logfiles.
#
*.=debug;\
    auth,authpriv.none;\
    news.none;mail.none    -/var/log/debug
*.=info;*.=notice;*.=warn;\
    auth,authpriv.none;\
    cron,daemon.none;\
    mail,news.none        -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg                *

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
#    news.=crit;news.=err;news.=notice;\
#    *.=debug;*.=info;\
#    *.=notice;*.=warn    /dev/tty8

# The named pipe /dev/xconsole is for the `xconsole' utility.  To use it,
# you must invoke `xconsole' with the `-file' option:
# 
#    $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
#      busy site..
#
daemon.*;mail.*;\
    news.crit;news.err;news.notice;\
    *.=debug;*.=info;\
    *.=notice;*.=warn    |/dev/xconsole
 
Das ist schon klar.
Ich frage mich nur, wie der Fehler darein gekommen sein soll. Ich hab das sicher nicht geändert. Wer dann? Und wenn, was würde dieser sonst noch ändern, um unbemerkt agieren zu können?

Ich kann natürlich einfach die syslog.conf reparieren. Aber wenn es nun doch Besuch war, wüsste ich gern, wo ich dessen Hinterlassenschaften am ehesten zu suchen hätte.
 
Die Frage ist, was es einem Bösewicht nützt, wenn dein System nicht mehr in /var/log/auth.log loggt. Sicherlich ist Fail2Ban dann "deaktiviert", allerdings ist er zu diesem Zeitpunkt ja bereits auf deinem System.

Ich würde daher nicht gleich von einem Unhold ausgehen.
 
Zur Vorsicht kannst du noch Verzeichnisse wir /tmp /var/spool/ usw. nach komischen Dateien durchsuchen. Sowie rkhunter und chkrootkit installieren.
 
Wobei, wenn er schon deine syslog.conf verändern konnte, dann hat er mit Sicherheit auch ein Rootkit installieren können.

Vielleicht hat er auch nur seine Spuren verwischt und dabei einen Fehler gemacht und jetzt ist dein System Teil eines Bot-Netzes...

:D Ich bin so fies...

Jetzt beunruhigt?
 
MOD: Bitte keine Fullquotes! Danke
Er hadd misch prodoziert, Alter... :p
 
Last edited by a moderator:
Ben. said:
... und jetzt ist dein System Teil eines Bot-Netzes...
Click to expand...
MOD: Bitte keine Fullquotes! Danke

Und das hacked von Chinesen, die jetzt mit deinem Server voll den Müll bauen... HAHA!!!
 
Last edited by a moderator:
Wenn du zufällig Ubuntu 9.04 nutzt dann scheint das normal zu sein, ich denke das ist wahrscheinlich ein Tippfehler bzw. zwei. Einfach ändern syslog neu starten fertig.
 
Hi,

ich gehe mal davon aus, das dies ein Vserver/RootDS auf Virtuozzo Basis ist?
Im post-install Script von sämtlichen Debian und Ubuntu Templates von Parallels ist ein Bug, welcher dieses Problem hervorruft.

Es ist ein fehlerhafter "sed" Ausdruck.

Gruß
KriS
 
You must log in or register to reply here.
Back
Top