Ständiger Loginversuch

M

MacGyver

Registered User
Hallo,

in meiner auth.log finde ich jede Minute einmal, um es exakt zu sagen immer um z.B. 15:15:01 oder 16:17:01 einen Eintrag, dass sich etwas versucht hat als root einzuloggen. Hier ein Auszug:

Mar 27 18:37:01 R62357 CRON[9339]: (pam_unix) session opened for user root by (uid=0)
Mar 27 18:37:02 R62357 CRON[9339]: (pam_unix) session closed for user root
Mar 27 18:38:01 R62357 CRON[9342]: (pam_unix) session opened for user root by (uid=0)
Mar 27 18:39:01 R62357 CRON[9355]: (pam_unix) session opened for user root by (uid=0)

Wie bekomme ich das weg? Unter crontab -e sind keine Einträge bei denen es passen könnte.

MfG
 
Last edited by a moderator:
gibt es bei dir noch einen Ordner cron.d (oder Aehnliches)?
Bei Debian stehen da auch unter anderem Crons drin.
 
Hallo,

ja. Den Ordner gibt es. In diesem Ordner ist nur "php4" drin. Dann habe ich noch einen cron.daily. Aber dort werden ja bloß einmal am Tag die Tasks ausgeführt. Kannst du mir einen Tip eben, wie ich die betreffende Aufgabe ausfindig machen kann?

Danke
 
Last edited by a moderator:
Hmm. Die Option -l ist zum Anzeigen besser als -e :)
Wenn ein "crontab -u root -l" auch nicht das zu Tage foerdert (und der Croneintrag von php4 auch nichts beinhaltet), kann ich dir leider nicht weiterhelfen. :-/
 
ups da ist mir einer zuvorgekommen.

Genau diese Einträge finde ich im auth.log alerdings ist es bei mir jede minute ein versuch.
 
Wer hat die nicht.... Zusammengefasst mit Logwatch sieht das ganze bei mir so aus.
Code: 
sshd:
    Authentication Failures:
       unknown (125.249.21x.xx): 54 Time(s)
       unknown (193.72.16x.xx): 50 Time(s)
       root (85.186.19x.xx): 48 Time(s)
       unknown (59-106-1x-xxx.r-bl100.sakura.ne.jp): 44 Time(s)
       root (125.249.21x.xx): 28 Time(s)
       unknown (217.56.7x.x): 28 Time(s)
       mail (125.249.21x.xx): 18 Time(s)
       postfix (125.249.21x.xx): 14 Time(s)
       postgres (125.249.21x.xx): 10 Time(s)
       unknown (61.186.18x.xxx): 10 Time(s)
       admin (61.186.18x.xxx): 8 Time(s)
       root (61.186.18x.xxx): 6 Time(s)
       news (59-106-1x-xxx.r-bl100.sakura.ne.jp): 4 Time(s)
       unknown (219.232.5x.xx): 4 Time(s)
       news (193.72.16x.xx): 2 Time(s)
    Invalid Users:
       Unknown Account: 190 Time(s)

Failed logins from:
    61.186.18x.xxx: 3 times
       root/password: 3 times
    85.186.19x.xx: 24 times
       root/password: 24 times
    125.249.21x.xx: 14 times
       root/password: 14 times
 
 Illegal users from:
    59.106.1x.xxx (59-106-1x-xxx.r-bl100.sakura.ne.jp): 24 times
       heart/password: 3 times
       lion/password: 3 times
       lynx/password: 3 times
       monkey/password: 3 times
       mtv/password: 2 times
       news/password: 2 times
       one/password: 2 times
       remote/password: 2 times
       tv/password: 2 times
       two/password: 2 times
    61.186.18x.xxx: 9 times
       admin/password: 4 times
       guest/password: 2 times
       test/password: 2 times
       user/password: 1 time
    125.249.21x.xx: 48 times
       keith/password: 11 times
       mail/password: 9 times
       paul/password: 8 times
       postfix/password: 7 times
       postgres/password: 5 times
       roger/password: 4 times
       susan/password: 3 times
       kristen/password: 1 time
    193.72.16x.xx: 26 times
       test/password: 25 times
       news/password: 1 time
    217.56.7x.x: 14 times
       alias/password: 2 times
       office/password: 2 times
       recruit/password: 2 times
       sales/password: 2 times
       samba/password: 2 times
       staff/password: 2 times
       tomcat/password: 1 time
       webadmin/password: 1 time
    219.232.5x.xx: 2 times
       test/password: 2 times
 
Ja aber bei ihm ist es ein Cronjob, den er gerne abschalten/kontrollieren moechte.

die Login Versuche von anderen IP sind normal. Da bringt es kurzfristig was, wenn man den Port umlegt (wenns ssh Login sind)
 
Ja genau. Bei mir ist es auch jede Minute, das oben waren nur Beispiele. Leider fördert crontab -u root -l auch nichts zu Tage. Hat jemand einen Tip für mich wen ich fragen könnte? Maiki schau mal in deiner auth.log wann das angefangen hat. Vielleicht erinnerst du dich, ob du etwas bestimmtes installiert hast an dem Tag? Da ich den root noch nicht lange habe ist es möglich, dass ich irgend ein Proggi installiert habe, das einen CRON eingerichtet hat. Warum auch immer.

MfG
 
Last edited by a moderator:
Hallo!
MacGyver said:
In diesem Ordner ist nur "php4" drin.
Click to expand...
Liegt der Ordner unter /etc? Also /etc/cron.d/php4? Dann würde ich gern mal wissen, was in der Datei php4 drinsteht.

mfG
Thorsten
 
You must log in or register to reply here.
Back
Top