Hi,
ich schau grade in /var/log/auth.log
Und sehe da nur von gestern und heute 4MB Eintäge in unten zu sehender Art. Gehe ich da recht in der Annahme das da versucht wurde mein RootPasswort zu "erraten"?
Anfang des Logs: Feb 20 06:29:01 vs2801 CRON[25586]: pam_unix(cron:session): session closed for user root Feb 20 06:39:03 vs2801 CRON[7151]: pam_unix(cron:session): session opened for user root by (uid=0) Feb 20 06:39:05 vs2801 CRON[7151]: pam_unix(cron:session): session closed for user root Feb 20 06:47:01 vs2801 CRON[30980]: pam_unix(cron:session): session opened for user root by (uid=0) Feb 20 06:48:46 vs2801 CRON[30980]: pam_unix(cron:session): session closed for user root Feb 20 06:51:38 vs2801 saslauthd[11067]: do_request : NULL password received Feb 20 06:51:43 vs2801 saslauthd[11066]: do_request : NULL password received Feb 20 06:51:49 vs2801 saslauthd[11068]: pam_unix(smtp:auth): check pass; user unknown Feb 20 06:51:49 vs2801 saslauthd[11068]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 20 06:51:51 vs2801 saslauthd[11068]: DEBUG: auth_pam: pam_authenticate failed: User not known to the underlying authentication module Feb 20 06:51:51 vs2801 saslauthd[11068]: do_auth : auth failure: [user=inna] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error] Feb 20 06:51:55 vs2801 saslauthd[11066]: pam_unix(smtp:auth): check pass; user unknown Feb 20 06:51:55 vs2801 saslauthd[11066]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 20 06:51:57 vs2801 saslauthd[11066]: DEBUG: auth_pam: pam_authenticate failed: User not known to the underlying authentication module
Ende des Logs: Feb 20 21:11:12 vs2801 saslauthd[11066]: pam_unix(smtp:auth): check pass; user unknown Feb 20 21:11:12 vs2801 saslauthd[11066]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 20 21:11:14 vs2801 saslauthd[11066]: DEBUG: auth_pam: pam_authenticate failed: User not known to the underlying authentication module Feb 20 21:11:14 vs2801 saslauthd[11066]: do_auth : auth failure: [user=1234] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error] Feb 20 21:11:16 vs2801 saslauthd[11064]: pam_unix(smtp:auth): check pass; user unknown Feb 20 21:11:16 vs2801 saslauthd[11064]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 20 21:11:18 vs2801 saslauthd[11064]: DEBUG: auth_pam: pam_authenticate failed: User not known to the underlying authentication module Feb 20 21:11:18 vs2801 saslauthd[11064]: do_auth : auth failure: [user=1234] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error] Feb 20 21:17:01 vs2801 CRON[14556]: pam_unix(cron:session): session opened for user root by (uid=0) Feb 20 21:17:01 vs2801 CRON[14556]: pam_unix(cron:session): session closed for user root Feb 20 21:39:01 vs2801 CRON[11345]: pam_unix(cron:session): session opened for user root by (uid=0) Feb 20 21:39:01 vs2801 CRON[11345]: pam_unix(cron:session): session closed for user root Feb 20 22:09:01 vs2801 CRON[10759]: pam_unix(cron:session): session opened for user root by (uid=0) Feb 20 22:09:01 vs2801 CRON[10759]: pam_unix(cron:session): session closed for user root
Viele Grüße und schönen Wochenstart, Rob
streber schrieb:
ich schau grade in /var/log/auth.log
Und sehe da nur von gestern und heute 4MB Eintäge in unten zu sehender Art. Gehe ich da recht in der Annahme das da versucht wurde mein RootPasswort zu "erraten"?
Zu selben Zeit fast trug sich im maillog folgendes zu:
Feb 20 06:36:42 vs2801 postfix/smtpd[16691]: warning: 64.92.143.64: address not listed for hostname 64-143-92-64.skybeam.com Feb 20 06:36:42 vs2801 postfix/smtpd[16691]: connect from unknown[64.92.143.64] Feb 20 06:36:47 vs2801 postfix/smtpd[16691]: warning: SASL authentication failure: All-whitespace username. Feb 20 06:36:47 vs2801 postfix/smtpd[16691]: warning: unknown[64.92.143.64]: SASL LOGIN authentication failed: generic failure Feb 20 06:36:49 vs2801 postfix/smtpd[16691]: warning: SASL authentication failure: All-whitespace username. Feb 20 06:36:49 vs2801 postfix/smtpd[16691]: warning: unknown[64.92.143.64]: SASL LOGIN authentication failed: generic failure Feb 20 06:36:50 vs2801 postfix/smtpd[16691]: warning: SASL authentication failure: All-whitespace username. Feb 20 06:36:50 vs2801 postfix/smtpd[16691]: warning: unknown[64.92.143.64]: SASL LOGIN authentication failed: generic failure Feb 20 06:38:00 vs2801 postfix/smtpd[16691]: too many errors after AUTH from unknown[64.92.143.64] Feb 20 06:38:00 vs2801 postfix/smtpd[16691]: disconnect from unknown[64.92.143.64]
und wiederholte sich etwa 15h lang.
----- Ursprüngliche Mail ----
Von: streber punk@streber24.de An: Linux-User-Group Dresden lug-dd@mailman.schlittermann.de Gesendet: Montag, den 21. Februar 2011, 8:58:28 Uhr Betreff: Re: Frage zu Logeinträgen (Nachtrag)
streber schrieb:
ich schau grade in /var/log/auth.log
Und sehe da nur von gestern und heute 4MB Eintäge in unten zu sehender Art. Gehe ich da recht in der Annahme das da versucht wurde mein RootPasswort zu "erraten"?
ich gehe nicht davon aus das dein postfix dein passwort erraten will ich würde vermuten das jemand spammen wollte
gruß Andreas
Zu selben Zeit fast trug sich im maillog folgendes zu:
Feb 20 06:36:42 vs2801 postfix/smtpd[16691]: warning: 64.92.143.64: address not listed for hostname 64-143-92-64.skybeam.com Feb 20 06:36:42 vs2801 postfix/smtpd[16691]: connect from unknown[64.92.143.64] Feb 20 06:36:47 vs2801 postfix/smtpd[16691]: warning: SASL authentication failure: All-whitespace username. Feb 20 06:36:47 vs2801 postfix/smtpd[16691]: warning: unknown[64.92.143.64]: SASL LOGIN authentication failed: generic failure Feb 20 06:36:49 vs2801 postfix/smtpd[16691]: warning: SASL authentication failure: All-whitespace username. Feb 20 06:36:49 vs2801 postfix/smtpd[16691]: warning: unknown[64.92.143.64]: SASL LOGIN authentication failed: generic failure Feb 20 06:36:50 vs2801 postfix/smtpd[16691]: warning: SASL authentication failure: All-whitespace username. Feb 20 06:36:50 vs2801 postfix/smtpd[16691]: warning: unknown[64.92.143.64]: SASL LOGIN authentication failed: generic failure Feb 20 06:38:00 vs2801 postfix/smtpd[16691]: too many errors after AUTH from unknown[64.92.143.64] Feb 20 06:38:00 vs2801 postfix/smtpd[16691]: disconnect from unknown[64.92.143.64]
und wiederholte sich etwa 15h lang.
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Hej!
2011-02-21 08:22, streber skrev:
Und sehe da nur von gestern und heute 4MB Eintäge in unten zu sehender Art. Gehe ich da recht in der Annahme das da versucht wurde mein RootPasswort zu "erraten"?
Schau mal jeweils auf die Quelle, welcher Daemon den jeweiligen Eintrag schreibt.
Anfang des Logs: Feb 20 06:29:01 vs2801 CRON[25586]: pam_unix(cron:session): session closed for user root Feb 20 06:39:03 vs2801 CRON[7151]: pam_unix(cron:session): session opened for user root by (uid=0) Feb 20 06:39:05 vs2801 CRON[7151]: pam_unix(cron:session): session closed for user root Feb 20 06:47:01 vs2801 CRON[30980]: pam_unix(cron:session): session opened for user root by (uid=0) Feb 20 06:48:46 vs2801 CRON[30980]: pam_unix(cron:session): session
^^^^
closed for user root
Das sind typische CRON-Einträge. Wann immer ein cron-Job mit Rootrechten zuende geht, gibts so einen Eintrag. Mit irgendwelchen Aktionen von außen hat das nichts zu tun. Vergleiche auch ältere Logs.
Relevantes Geschehen gibts erst hier (den immerwährend wiederkehrenden Block isoliert):
Feb 20 06:51:49 vs2801 saslauthd[11068]: pam_unix(smtp:auth): check pass; user unknown
^^^^^^^^^^^^ (1)
Feb 20 06:51:49 vs2801 saslauthd[11068]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
^^^^^^^^^^^^ (2)
Feb 20 06:51:51 vs2801 saslauthd[11068]: DEBUG: auth_pam: pam_authenticate failed: User not known to the underlying authentication
^^^^^^^^^^^^^^ (1)
module Feb 20 06:51:51 vs2801 saslauthd[11068]: do_auth : auth failure:
^^^^^^^ (3)
[user=inna] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
^^^^ (4)
(1) es wird versucht, sich via sasl anzumelden unter einem deinem pam_unix (System-Accounts) unbekannten Namen => das kann nicht root sein
(2) die (e)uid vom SASL-Prozess bleibt erstmal 0, da er ja entsprechend (1) sich nicht als jemand anders authentifizieren und sodann auf dessen id wechseln konnte (der saslauthd braucht leider Rootrechte, da ohne diese ein Wechsel der id nicht sinnvoll möglich wäre - dann müsste sudo oder ähnliches her, was jedoch einen zusätzlichen Angriffsvektor darstellt und je Anmeldung den Aufruf eines Tocherprozesses hervorrufen würde -> killt Performance)
(3) Hier hast du etwas "zensiert"?
(4) und hier sagt uns der saslauthd sogar, mit welchem Namen es versucht wurde.
Ich kann mich Andreas nur beipflichten: Da sucht wohl jemand einen Spamhost.
Beste Grüße Fabian
Hi Fabian,
Fabian Hänsel schrieb:
Schau mal jeweils auf die Quelle, welcher Daemon den jeweiligen Eintrag schreibt.
Die Cron Geschichten sind mir jetzt klar. Das log AuthLog ist aber noch voll von den anderen Einträgen: Feb 20 21:11:12 vs2801 saslauthd[11066]: pam_unix(smtp:auth): check pass; user unknown
Vielen Dank für die auführliche Erklärung der Zeilen! :)
(3) Hier hast du etwas "zensiert"?
Nein, nichts.
(4) und hier sagt uns der saslauthd sogar, mit welchem Namen es versucht wurde.
Er geht eine Liste durch wärend der ganzen Zeit. Etwa 10-20 deutsche Namen plus einige technische Begiffe und ein paar Zahlenkombis. Darauf checkt er dann einige Dutzend Passwörter. Nichts was darauf hinweist das der "Angreifer" mich oder mein System kennt.
Ich kann mich Andreas nur beipflichten: Da sucht wohl jemand einen Spamhost.
OK, Danke für eure Einschätzung. Ich werde nochmal meine UserListe und deren Passwortstärke prüfen. Kann oder muss ich nocht irgdenwas tun?
Beste Grüße Fabian
Beste Grüße auch, Robert
Hej!
Die Cron Geschichten sind mir jetzt klar. Das log AuthLog ist aber noch voll von den anderen Einträgen: Feb 20 21:11:12 vs2801 saslauthd[11066]: pam_unix(smtp:auth): check pass; user unknown
Jede Logmeldung hat eine "Domäne". Bei Meldungen der Domäne "Auth" ist bei dir offenbar konfiguriert, dass die Meldungen sowohl im allgemeinen Log landen als auch im AuthLog. Beide Logmeldungen sind identisch und bedeuten das selbe; die Aufteilung dient allein der Übersichtlichkeit, es gilt entsprechend die Erläuterung für die identische Zeile im allg. Log.
(4) und hier sagt uns der saslauthd sogar, mit welchem Namen es versucht wurde.
Er geht eine Liste durch wärend der ganzen Zeit. Etwa 10-20 deutsche Namen plus einige technische Begiffe und ein paar Zahlenkombis. Darauf checkt er dann einige Dutzend Passwörter. Nichts was darauf hinweist das der "Angreifer" mich oder mein System kennt.
Das ist "üblich", auch bei SSH.
Ich kann mich Andreas nur beipflichten: Da sucht wohl jemand einen Spamhost.
OK, Danke für eure Einschätzung. Ich werde nochmal meine UserListe und deren Passwortstärke prüfen.
Das ist immer eine gute Idee (praktischerweise implementiert als Policy-Enforcement am Passwortsetzungs-/Änderungsmechanismus).
Kann oder muss ich nocht irgdenwas tun?
Kann: Via Firewall die Anzahl der Verbindungen pro Zeit limitieren => Angreifer kann deutlich weniger Passwörter durchprobieren. Der Sicherheitsgewinn ist, insb. in Relation zum Aufwand, wenn man sich nicht sowieso schonmal damit befasst hat, wenn die Passwörter ohnehin nichts einfaches sind, eher gering.
Beste Grüße Fabian
lug-dd@mailman.schlittermann.de
-
Fabian Hänsel -
Grimnin Fridyson -
streber