Seltsame einträge in auth.log und syslog
Hallo,
ich habe heute mal in die Auth.log geschaut und ich kann die Einträge nicht so ganz nachvollziehen.
Falls es hier falsch sein sollte, bitte ein mod verschieben.
Hier ein Auszug meines Logs:
Dies passiert immer wieder im Auth.log. Auf dem System läuft Debian Squeeze mit Froxlor (wie man sieht) zum Verwalten und auch Fail2Ban.
Wenn ich das richtig verstehe (bin kein großer SQL kenner) versucht einer in der Froxlor db nach Benutzern zu suchen und da was zu ändern.
bin über jede Hilfe dankbar.
Edit:
Ich habe mal noch einen Blick in die Syslog gemacht und noch mehr seltsame Dinge gefunden, die zeitlich auch mit dem Rest aus der Auth.log übereinander stimmen:
Lg Chris
Hallo,
ich habe heute mal in die Auth.log geschaut und ich kann die Einträge nicht so ganz nachvollziehen.
Falls es hier falsch sein sollte, bitte ein mod verschieben.
Hier ein Auszug meines Logs:
Code:
Jan 23 20:09:52 km30323-03 postfix/smtpd[28600]: sql plugin create statement from userPassword secret km30323-03.keymachine.de
Jan 23 20:09:52 km30323-03 postfix/smtpd[28600]: sql plugin doing query SELECT password FROM mail_users WHERE username='secret@km30323-03.keymachine.de' OR email='secret@km30323-03.keymachine.de';
Jan 23 20:09:52 km30323-03 postfix/smtpd[28600]: sql plugin: no result found
Jan 23 20:09:52 km30323-03 postfix/smtpd[28600]: sql plugin create statement from cmusaslsecretPLAIN secret km30323-03.keymachine.de
Jan 23 20:09:52 km30323-03 postfix/smtpd[28600]: sql plugin doing query SELECT password FROM mail_users WHERE username='secret@km30323-03.keymachine.de' OR email='secret@km30323-03.keymachine.de';
Jan 23 20:09:52 km30323-03 postfix/smtpd[28600]: sql plugin: no result found
Jan 23 20:09:52 km30323-03 postfix/smtpd[28600]: commit transaction
Jan 23 20:09:52 km30323-03 postfix/smtpd[28600]: sql plugin Parse the username secret@km30323-03.keymachine.de
Jan 23 20:09:52 km30323-03 postfix/smtpd[28600]: sql plugin try and connect to a host
Jan 23 20:09:52 km30323-03 postfix/smtpd[28600]: sql plugin trying to open db 'froxlor' on host '127.0.0.1'
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: sql auxprop plugin using mysql engine
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: sql plugin Parse the username mark@km30323-03.keymachine.de
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: sql plugin try and connect to a host
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: sql plugin trying to open db 'froxlor' on host '127.0.0.1'
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: sql plugin Parse the username mark@km30323-03.keymachine.de
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: sql plugin try and connect to a host
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: sql plugin trying to open db 'froxlor' on host '127.0.0.1'
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: sql plugin Parse the username mark@km30323-03.keymachine.de
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: sql plugin try and connect to a host
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: sql plugin trying to open db 'froxlor' on host '127.0.0.1'
Jan 23 20:09:52 km30323-03 postfix/smtpd[28601]: begin transactionDies passiert immer wieder im Auth.log. Auf dem System läuft Debian Squeeze mit Froxlor (wie man sieht) zum Verwalten und auch Fail2Ban.
Wenn ich das richtig verstehe (bin kein großer SQL kenner) versucht einer in der Froxlor db nach Benutzern zu suchen und da was zu ändern.
bin über jede Hilfe dankbar.
Edit:
Ich habe mal noch einen Blick in die Syslog gemacht und noch mehr seltsame Dinge gefunden, die zeitlich auch mit dem Rest aus der Auth.log übereinander stimmen:
Code:
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 195.20.224.117#5101: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 195.20.224.117#7156: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 217.72.199.149#43015: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 195.20.224.117#12966: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 217.72.199.149#25386: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 195.20.224.117#14704: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 217.72.199.166#5766: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 195.20.224.108#8193: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 217.72.199.166#52390: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 195.20.224.108#35384: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 217.72.199.166#7266: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 postfix/smtp[17847]: F20647AC67E: host mx1.gmx.net[213.165.64.102] said: 451 4.1.8 Cannot resolve your domain {mx056} (in reply to MAIL FROM command)
Jan 23 21:54:09 km30323-03 nss-mysql[10231]: client 217.72.199.166#16386: query (cache) 'km30323-03.keymachine.de/A/IN' denied
Jan 23 21:54:09 km30323-03 postfix/smtp[17849]: 9AD157AC7B8: host mx0.gmx.net[213.165.64.100] said: 451 4.1.8 Cannot resolve your domain {mx034} (in reply to MAIL FROM command)
Jan 23 21:54:09 km30323-03 postfix/smtp[17848]: connect to kokk.com.com[64.30.224.112]:25: Connection refusedLg Chris
Last edited by a moderator: