Rechner geklaut, Mailzugriffe mitloggen?

T

tobiasv

Member
Hallo allerseits,

folgende Situation: ein Rechner wurde hier vor ca. einer Stunde entwendet; das gute Stück wird wahrscheinlich früher oder später versuchen, sich mit unserem QMail / Plesk 9.5 zu verbinden. Das Mailkennwort ist geändert, welche möglichst einfache Möglichkeit gibt es, ggf. auch teilautomatisiert bei fehlgeschlagenen Imap Anmeldeversuchen einer ganz bestimmten Mailadresse automatisch die dazugehörige IP in eine Logdatei zu schreiben bzw. idealerweise eine automatisierte Mail zu verschicken? Hatte jemand von Euch das Problem auch schonmal, und welche anderen Optionen würde es ggf. noch geben?

Viele Grüße

Tobias

P.s. fail2ban läuft und ist auch auf die Mailzugriffe angepasst
 
Last edited by a moderator:
Die IMAP-Zugriffe werden doch sowieso protokolliert - wenn Du es nicht abgeschaltet hast.
Dann brauchst Du nur mit LogWatch nach dem Benutzernamen zu suchen und eine Mail oder SMS zu senden.
 
Whistler said:
Die IMAP-Zugriffe werden doch sowieso protokolliert - wenn Du es nicht abgeschaltet hast.
Dann brauchst Du nur mit LogWatch nach dem Benutzernamen zu suchen und eine Mail oder SMS zu senden.
Click to expand...

hmmm, ok, logwatch läuft, default.conf/logwatch.conf ist auf die entsprechende Mailadresse angepasst, wie bekomme ich die Detaileinstellung unter den Services hin?
 
Ich will dich ja nicht desillusionieren, aber nur ein DAU wird versuchen das auf dem Rechner befindliche Betriebssystem zu starten sondern meist wird direkt eine neue Version daruf gebuegelt oder zumindest der Rechner zum Herumsuchen ohne LAN-Anschluss betrieben...
 
d4f said:
Ich will dich ja nicht desillusionieren, aber nur ein DAU wird versuchen das auf dem Rechner befindliche Betriebssystem zu starten sondern meist wird direkt eine neue Version daruf gebuegelt oder zumindest der Rechner zum Herumsuchen ohne LAN-Anschluss betrieben...
Click to expand...

Das befürchte ich auch, allerdings gibts zwei Dinge, die dafür sprechen:

a) ist das Mailprogramm im Hintergrund offen, und sobald er aus dem Ruhezustand geweckt wird, wird er wohl versuchen, sich mit einem WLan zu verbinden und Mails abzurufen

b) handelt es sich um ein Macbook Air - eine 10.5. bzw. 10.6 DVD zu organisieren, ist nicht ganz so einfach wie eine Win XP, mal ganz abgesehen davon, dass er minimal 10.5.5. braucht - zusätzlich hat der Rechner kein CD / DVD Laufwerk, und somit ist eine Neuinstallation ohne zweiten Mac bzw. passendem externen Laufwerk erschwert.
 
Für solche Fälle sind Tracking-Programme wie Adeona ganz praktisch. Da muss man eben zwischen Verlust eines Teils der Privatsphäre (konkret der Aufenthaltsort des Benutzers/Laptops) und der Möglichkeit abwägen, ein gestohlenes Gerät wieder zu bekommen. Andererseits ist der Aufenthaltsort einer Person seit Foursquare sowieso kein Geheimnis mehr. ;)

Vor einiger Zeit gab es dazu einen Artikel im Linux Magazine.

Grundsätzlich würde ich auf einem mobilen Gerät die Festplatte verschlüsseln, so dass die Daten, selbst wenn das Gerät abhanden kommt, von niemandem missbraucht werden können.
 
ist das Mailprogramm im Hintergrund offen, und sobald er aus dem Ruhezustand geweckt wird, wird er wohl versuchen, sich mit einem WLan zu verbinden und Mails abzurufen
Click to expand...
Und wenn kein WLAN in der Gegend ist das es zu benutzen vermag?
Der Dieb ist ja hoffentlich (fuer ihn) nicht noch im gleichen Gebaeude mit dem Geraet...


eine 10.5. bzw. 10.6 DVD zu organisieren, ist nicht ganz so einfach wie eine Win XP
Click to expand...
Eine einschlaegige Downloadseite hat mir 96 Resultate geliefert, davon genuegend Links zu ebenfalls einschlaegigen Torrent-Seiten. Rapidshare, Megaupload und Co sollten auch noch ein paar 'Sicherungskopien' bei sich schlummern haben...
Wer Hardware klaut sollte den Einsatz unlizenzierter Software ueber's Herz bringen.

Zusätzlich hat der Rechner kein CD / DVD Laufwerk, und somit ist eine Neuinstallation ohne zweiten Mac bzw. passendem externen Laufwerk erschwert.
Click to expand...
http://support.apple.com/kb/HT1948

Diese Tipps beziehen sich zwar auf Ipod's, aber gelten generell fuer Macintosh Geraete:
http://stolenipod.com/
 
hinsichtlich: http://support.apple.com/kb/HT1948
hier braucht man aber erst einmal noch einen zweiten Mac, um die ext. Platte soweit vorzubereiten, bzw. das 10.6. image bootfähig draufzupacken, und mit einem zweiten Mac gäbe es eine einfachere Option: http://support.apple.com/kb/HT2129?viewlocale=de_DE

Anyway, ich frage mich, wie ich logwatch sauber zum Laufen bekomme - obwohl in den Logfiles Imap: Login Failed Errors drinstehen, reportet Logwatch die mir nicht in dem nächtlichen Statusmail, habt Ihr eine Idee, was da falsch läuft?
 
Die willst du nicht in der naechsten Statusmail sonst werden die relativ gross; das "Grundrauschen" im Netz beinhaltet auch oefter IMAP-,POP3- und SMTP-Zugriffsversuche.
 
d4f said:
Die willst du nicht in der naechsten Statusmail sonst werden die relativ gross; das "Grundrauschen" im Netz beinhaltet auch oefter IMAP-,POP3- und SMTP-Zugriffsversuche.
Click to expand...

gibt es denn da keine Möglichkeit, nur die Zugriffsversuche auf einen bestimmten Account mitzuloggen, sprich nur Login Failed für Imap und Username xyz?
 
Doch, am einfachsten ginge es über ein Script das einen Filepointer auf der Logdatei hat und jeweils bei weiteren Einträgen diese überprüft und dir ggf eine Email schickt

PHP: 
<?php
function ScanLine($line) {
    if(strpos($line,"my@email.tld") === false) return false;
    if(strpos($line,"imap") === false) return false;
    if(strpos($line,"login fail") === false) return false;
    mail("my@email.tld","LAPTOP GEFUNDEN",$line);
    echo PHP_EOL."[".date("Y-m-d H:i:s")."] ".$line;
    return true;
}
$handle = fopen("/var/log/mail.log", "r");
//Initial scan
while(!feof($handle)) ScanLine(fgets($handle));
//Continuous
while(true) {
    $line = fgets($handle);
    if($line !== false) ScanLine($line);
    else sleep(1);
}
?>
Hab das mal aus dem Kopf geschrieben, habe aber keine Ahnung ob es so funktioniert (hab noch leichte Kopfschmerzen :P :P )
Die Frage ist allerdings ob er sich je wieder wird einloggen; schliesslich ist der Diebstahl schon mehrere Tage alt...
 
You must log in or register to reply here.
Back
Top