Hej!
2011-02-21 08:22, streber skrev:
Und sehe da nur von gestern und heute 4MB Eintäge in unten zu sehender Art. Gehe ich da recht in der Annahme das da versucht wurde mein RootPasswort zu "erraten"?
Schau mal jeweils auf die Quelle, welcher Daemon den jeweiligen Eintrag schreibt.
Anfang des Logs: Feb 20 06:29:01 vs2801 CRON[25586]: pam_unix(cron:session): session closed for user root Feb 20 06:39:03 vs2801 CRON[7151]: pam_unix(cron:session): session opened for user root by (uid=0) Feb 20 06:39:05 vs2801 CRON[7151]: pam_unix(cron:session): session closed for user root Feb 20 06:47:01 vs2801 CRON[30980]: pam_unix(cron:session): session opened for user root by (uid=0) Feb 20 06:48:46 vs2801 CRON[30980]: pam_unix(cron:session): session
^^^^
closed for user root
Das sind typische CRON-Einträge. Wann immer ein cron-Job mit Rootrechten zuende geht, gibts so einen Eintrag. Mit irgendwelchen Aktionen von außen hat das nichts zu tun. Vergleiche auch ältere Logs.
Relevantes Geschehen gibts erst hier (den immerwährend wiederkehrenden Block isoliert):
Feb 20 06:51:49 vs2801 saslauthd[11068]: pam_unix(smtp:auth): check pass; user unknown
^^^^^^^^^^^^ (1)
Feb 20 06:51:49 vs2801 saslauthd[11068]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
^^^^^^^^^^^^ (2)
Feb 20 06:51:51 vs2801 saslauthd[11068]: DEBUG: auth_pam: pam_authenticate failed: User not known to the underlying authentication
^^^^^^^^^^^^^^ (1)
module Feb 20 06:51:51 vs2801 saslauthd[11068]: do_auth : auth failure:
^^^^^^^ (3)
[user=inna] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
^^^^ (4)
(1) es wird versucht, sich via sasl anzumelden unter einem deinem pam_unix (System-Accounts) unbekannten Namen => das kann nicht root sein
(2) die (e)uid vom SASL-Prozess bleibt erstmal 0, da er ja entsprechend (1) sich nicht als jemand anders authentifizieren und sodann auf dessen id wechseln konnte (der saslauthd braucht leider Rootrechte, da ohne diese ein Wechsel der id nicht sinnvoll möglich wäre - dann müsste sudo oder ähnliches her, was jedoch einen zusätzlichen Angriffsvektor darstellt und je Anmeldung den Aufruf eines Tocherprozesses hervorrufen würde -> killt Performance)
(3) Hier hast du etwas "zensiert"?
(4) und hier sagt uns der saslauthd sogar, mit welchem Namen es versucht wurde.
Ich kann mich Andreas nur beipflichten: Da sucht wohl jemand einen Spamhost.
Beste Grüße Fabian