Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Pomoc przy analizie logów
Pozycjonowanie i Optymalizacja > Forum Ogólne > Hosting i Domeny > Własny serwer
neD
3.09.09 - 13:13
Witajcie,
są to moje początki z serwerem VPS i mam problemy, mianowicie do moich logów doszły dziwne wpisy.
Dziś około 5 rano odczytałem dziwne logi, czy mógłby ktoś pomoc mi w ich analizie?


CYTAT
Sep 3 00:37:23 nedbudge su[32291]: (pam_unix) session opened for user nobody by (uid=0)
Sep 3 00:39:02 nedbudge CRON[11879]: (pam_unix) session opened for user root by (uid=0)
Sep 3 00:39:20 nedbudge CRON[11879]: (pam_unix) session closed for user root
Sep 3 00:39:20 nedbudge /USR/SBIN/CRON[11880]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 00:40:50 nedbudge su[32291]: (pam_unix) session closed for user nobody
Sep 3 00:40:58 nedbudge CRON[27966]: (pam_unix) session closed for user root
Sep 3 00:40:58 nedbudge syslogd 1.4.1#18: restart.
Sep 3 00:46:46 nedbudge postfix/smtpd[16341]: warning: cannot get certificate from file /etc/postfix/ssl/smtpd.crt
Sep 3 00:46:46 nedbudge postfix/smtpd[16341]: warning: TLS library problem: 16341:error:02001002:system library:fopen:No such file or directory:bss_file.c:352:fopen('/etc/postfix/ssl/smtpd.crt','r'):
Sep 3 00:46:46 nedbudge postfix/smtpd[16341]: warning: TLS library problem: 16341:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:354:
Sep 3 00:46:46 nedbudge postfix/smtpd[16341]: warning: TLS library problem: 16341:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system lib:ssl_rsa.c:720:
Sep 3 00:46:46 nedbudge postfix/smtpd[16341]: cannot load RSA certificate and key data
Sep 3 00:46:46 nedbudge postfix/smtpd[16341]: connect from 118-169-194-143.dynamic.hinet.net[118.169.194.143]
Sep 3 00:46:47 nedbudge postfix/smtpd[16341]: NOQUEUE: reject: RCPT from 118-169-194-143.dynamic.hinet.net[118.169.194.143]: 554 5.7.1 <candy59839@yahoo.com.tw>: Relay access denied; from=<michael78694@MyMainServer.com> to=<candy59839@yahoo.com.tw> proto=SMTP helo=<www.MyMainServer.com>
Sep 3 00:46:47 nedbudge postfix/smtpd[16341]: lost connection after RCPT from 118-169-194-143.dynamic.hinet.net[118.169.194.143]
Sep 3 00:46:47 nedbudge postfix/smtpd[16341]: disconnect from 118-169-194-143.dynamic.hinet.net[118.169.194.143]
Sep 3 00:50:07 nedbudge postfix/anvil[16344]: statistics: max connection rate 1/60s for (smtp:118.169.194.143) at Sep 3 00:46:46
Sep 3 00:50:07 nedbudge postfix/anvil[16344]: statistics: max connection count 1 for (smtp:118.169.194.143) at Sep 3 00:46:46
Sep 3 00:50:07 nedbudge postfix/anvil[16344]: statistics: max cache size 1 at Sep 3 00:46:46
Sep 3 01:06:01 nedbudge CRON[28065]: (pam_unix) session opened for user root by (uid=0)
Sep 3 01:06:01 nedbudge CRON[28065]: (pam_unix) session closed for user root
Sep 3 01:06:01 nedbudge /USR/SBIN/CRON[28106]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Sep 3 01:09:01 nedbudge CRON[9618]: (pam_unix) session opened for user root by (uid=0)
Sep 3 01:09:43 nedbudge CRON[9618]: (pam_unix) session closed for user root
Sep 3 01:09:43 nedbudge /USR/SBIN/CRON[9622]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 01:37:43 nedbudge -- MARK --
Sep 3 01:39:01 nedbudge CRON[1937]: (pam_unix) session opened for user root by (uid=0)
Sep 3 01:39:02 nedbudge CRON[1937]: (pam_unix) session closed for user root
Sep 3 01:39:02 nedbudge /USR/SBIN/CRON[1938]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 01:57:43 nedbudge -- MARK --
Sep 3 02:06:01 nedbudge CRON[9584]: (pam_unix) session opened for user root by (uid=0)
Sep 3 02:06:01 nedbudge CRON[9584]: (pam_unix) session closed for user root
Sep 3 02:06:01 nedbudge /USR/SBIN/CRON[9586]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Sep 3 02:09:01 nedbudge CRON[20159]: (pam_unix) session opened for user root by (uid=0)
Sep 3 02:09:01 nedbudge CRON[20159]: (pam_unix) session closed for user root
Sep 3 02:09:01 nedbudge /USR/SBIN/CRON[20162]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 02:37:43 nedbudge -- MARK --
Sep 3 02:39:01 nedbudge CRON[30377]: (pam_unix) session opened for user root by (uid=0)
Sep 3 02:39:03 nedbudge CRON[30377]: (pam_unix) session closed for user root
Sep 3 02:39:03 nedbudge /USR/SBIN/CRON[30379]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 02:57:44 nedbudge -- MARK --
Sep 3 03:06:01 nedbudge CRON[5561]: (pam_unix) session opened for user root by (uid=0)
Sep 3 03:06:01 nedbudge CRON[5561]: (pam_unix) session closed for user root
Sep 3 03:06:01 nedbudge /USR/SBIN/CRON[5564]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Sep 3 03:09:02 nedbudge CRON[19521]: (pam_unix) session opened for user root by (uid=0)
Sep 3 03:09:03 nedbudge CRON[19521]: (pam_unix) session closed for user root
Sep 3 03:09:03 nedbudge /USR/SBIN/CRON[19522]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 03:37:44 nedbudge -- MARK --
Sep 3 03:39:01 nedbudge CRON[5552]: (pam_unix) session opened for user root by (uid=0)
Sep 3 03:39:02 nedbudge /USR/SBIN/CRON[7541]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 03:39:03 nedbudge CRON[5552]: (pam_unix) session closed for user root
Sep 3 03:57:44 nedbudge -- MARK --
Sep 3 04:06:03 nedbudge CRON[13669]: (pam_unix) session opened for user root by (uid=0)
Sep 3 04:06:05 nedbudge CRON[13669]: (pam_unix) session closed for user root
Sep 3 04:06:05 nedbudge /USR/SBIN/CRON[16106]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Sep 3 04:09:02 nedbudge CRON[26210]: (pam_unix) session opened for user root by (uid=0)
Sep 3 04:09:10 nedbudge /USR/SBIN/CRON[26493]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 04:09:11 nedbudge CRON[26210]: (pam_unix) session closed for user root
Sep 3 04:37:50 nedbudge -- MARK --
Sep 3 04:39:12 nedbudge CRON[13901]: (pam_unix) session opened for user root by (uid=0)
Sep 3 04:39:24 nedbudge CRON[13901]: (pam_unix) session closed for user root
Sep 3 04:39:24 nedbudge /USR/SBIN/CRON[17519]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 04:57:54 nedbudge -- MARK --
Sep 3 05:02:06 nedbudge CRON[17843]: (pam_unix) session opened for user logcheck by (uid=0)
Sep 3 05:02:14 nedbudge /USR/SBIN/CRON[19646]: (logcheck) CMD ( if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck; fi)



Z tego co mi sie wydaję ktos chciał wbic postfix/smtpd, bądź nawet i wbił, jakieś dziwny restart logchecka czego wczesniej nie było.


CYTAT
Sep 3 06:48:26 nedbudge postfix/smtpd[5132]: cannot load RSA certificate and key data
Sep 3 06:48:26 nedbudge postfix/smtpd[4070]: warning: 219.91.116.99: hostname NK219-91-116-99.adsl.dynamic.apol.com.tw verification failed: Name or service not known
Sep 3 06:48:26 nedbudge postfix/smtpd[4070]: connect from unknown[219.91.116.99]
Sep 3 06:48:26 nedbudge postfix/smtpd[5132]: warning: 219.91.116.99: hostname NK219-91-116-99.adsl.dynamic.apol.com.tw verification failed: Name or service not known
Sep 3 06:48:26 nedbudge postfix/smtpd[5132]: connect from unknown[219.91.116.99]
Sep 3 06:48:26 nedbudge postfix/smtpd[5132]: lost connection after CONNECT from unknown[219.91.116.99]
Sep 3 06:48:26 nedbudge postfix/smtpd[5132]: disconnect from unknown[219.91.116.99]
Sep 3 06:48:26 nedbudge postfix/smtpd[4070]: lost connection after CONNECT from unknown[219.91.116.99]
Sep 3 06:48:26 nedbudge postfix/smtpd[4070]: disconnect from unknown[219.91.116.99]
Sep 3 06:51:46 nedbudge postfix/anvil[5134]: statistics: max connection rate 2/60s for (smtp:219.91.116.99) at Sep 3 06:48:26
Sep 3 06:51:46 nedbudge postfix/anvil[5134]: statistics: max connection count 1 for (smtp:219.91.116.99) at Sep 3 06:48:26
Sep 3 06:51:46 nedbudge postfix/anvil[5134]: statistics: max cache size 1 at Sep 3 06:48:26
Sep 3 07:06:01 nedbudge CRON[31943]: (pam_unix) session opened for user root by (uid=0)
Sep 3 07:06:01 nedbudge CRON[31943]: (pam_unix) session closed for user root
Sep 3 07:06:01 nedbudge /USR/SBIN/CRON[31944]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Sep 3 07:09:01 nedbudge CRON[11523]: (pam_unix) session opened for user root by (uid=0)
Sep 3 07:09:01 nedbudge CRON[11523]: (pam_unix) session closed for user root
Sep 3 07:09:01 nedbudge /USR/SBIN/CRON[11524]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 07:37:55 nedbudge -- MARK --
Sep 3 07:39:01 nedbudge CRON[28291]: (pam_unix) session opened for user root by (uid=0)
Sep 3 07:39:01 nedbudge CRON[28291]: (pam_unix) session closed for user root
Sep 3 07:39:01 nedbudge /USR/SBIN/CRON[28293]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 07:57:55 nedbudge -- MARK --
Sep 3 08:06:01 nedbudge CRON[29947]: (pam_unix) session opened for user root by (uid=0)
Sep 3 08:06:01 nedbudge CRON[29947]: (pam_unix) session closed for user root
Sep 3 08:06:01 nedbudge /USR/SBIN/CRON[29954]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Sep 3 08:09:01 nedbudge CRON[9631]: (pam_unix) session opened for user root by (uid=0)
Sep 3 08:09:01 nedbudge CRON[9631]: (pam_unix) session closed for user root
Sep 3 08:09:01 nedbudge /USR/SBIN/CRON[9633]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 08:37:55 nedbudge -- MARK --
Sep 3 08:39:01 nedbudge CRON[29997]: (pam_unix) session opened for user root by (uid=0)
Sep 3 08:39:02 nedbudge CRON[29997]: (pam_unix) session closed for user root
Sep 3 08:39:02 nedbudge /USR/SBIN/CRON[29998]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 08:57:55 nedbudge -- MARK --
Sep 3 09:06:01 nedbudge CRON[3975]: (pam_unix) session opened for user root by (uid=0)
Sep 3 09:06:01 nedbudge CRON[3975]: (pam_unix) session closed for user root
Sep 3 09:06:01 nedbudge /USR/SBIN/CRON[3977]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Sep 3 09:09:01 nedbudge CRON[16137]: (pam_unix) session opened for user root by (uid=0)
Sep 3 09:09:11 nedbudge CRON[16137]: (pam_unix) session closed for user root
Sep 3 09:09:11 nedbudge /USR/SBIN/CRON[16287]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 09:37:55 nedbudge -- MARK --
Sep 3 09:39:01 nedbudge CRON[11497]: (pam_unix) session opened for user root by (uid=0)
Sep 3 09:39:03 nedbudge CRON[11497]: (pam_unix) session closed for user root
Sep 3 09:39:03 nedbudge /USR/SBIN/CRON[11501]: (root) CMD ( [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Sep 3 09:57:55 nedbudge -- MARK --
Sep 3 10:02:01 nedbudge CRON[7472]: (pam_unix) session opened for user logcheck by (uid=0)
Sep 3 10:02:02 nedbudge /USR/SBIN/CRON[7474]: (logcheck) CMD ( if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck; fi)


Kolejny log moim zdaniem podejrzany...

Czy mógłby ktoś mi to wyjaśnić, czy znów będzie że 'lamusą' się nie pomaga tylko tym co już mają jakąś wiedze.
Z góry przepraszam za wszelkie błędy ort.
Pozdrawiam Konrad
radek
3.09.09 - 13:24
Wg nie wszystko gra i buczy.
Ruszył Ci crontab co się wykonuje na roocie i tyle.

dodane:
Nie łącz postfix'a z cronem - to skanery Ci łażą i szukają open relay'a i stąd logi postfixa o połączeniu. A cron chodzi niezależnie.
neD
3.09.09 - 13:43
Dziękuję serdecznie za odpowiedź.
Ale dodatkowo mam kilka pytań skąd te logi:
Sep 3 06:48:26 nedbudge postfix/smtpd[5132]: cannot load RSA certificate and key data
Sep 3 06:48:26 nedbudge postfix/smtpd[4070]: warning: 219.91.116.99: hostname NK219-91-116-99.adsl.dynamic.apol.com.tw verification failed: Name or service not known
Sep 3 06:48:26 nedbudge postfix/smtpd[4070]: connect from unknown[219.91.116.99]
Sep 3 06:48:26 nedbudge postfix/smtpd[5132]: warning: 219.91.116.99: hostname NK219-91-116-99.adsl.dynamic.apol.com.tw verification failed: Name or service not known

Jakieś nieznajome IP?
Dodatkowo mam pytanie czy są jakieś nakładki iptables w celu prostego a zarazem dobrej konfiguracji na serwerze?
radek
3.09.09 - 13:48
Te logi co masz to jest wynik niekompletnej konfiguracji postfixa (nic groźnego - i tak nie wpuści) a ten NK219-91-116-99.adsl.dynamic.apol.com.tw to na pewno skaner, który próbował się zautentykować, żeby zobaczyć czy masz open relaya.

Co do iptables - ja osobiście piszę zawsze skrypt z palca więc Ci nie pomogę.
Pozdrawiam,
Radek.
neD
3.09.09 - 13:51
Tzn jak z palca?
Powiedz mi proszę jak zainstalować poprawnie iptables?
Szukałem troszkę w google, i wyczytałem ze do konfiguracji trzeba utworzyć plik, ale gdzie co i jak nic nie pisze, możesz mi coś wiecej na ten temat powiedzieć?
radek
3.09.09 - 13:59
Z palca - czyli pisze skrypt ręcznie. Choć znajduje się wiele darmowych, graficznych nakładek.
IPTables mogą być wkompilowane w jądro lub ładowane jako moduł.
Prawdopodobnie iptables w VPS masz wkompilowane w jądro (tak najczęściej to na VPS wygląda).
Wpisz z linii komend: iptables -L
Jak Ci odpisze coś innego jak brak takiej komendy to znaczy, ze iptables masz już w systemie.
neD
3.09.09 - 14:15
Racja, mam IPTables w systemie.
A proszę nakieruj mnie gdzie mogę dodawać swoje wyjątki, gdzie moge sprawdzić już istniejące?
Co proponujesz do dodania (mam tu na myśli wyjątki)? Jak sprawdzić czy standardowo jest już uruchomiony bez pisania skryptu startowego ?
Mam zmienne IP wiec wycięcie pozostałych oprócz moje odpada z gry, a może wyciąć pozostałe kraje, pytanie jak.

Dziękuję raz jeszcze.
LaoHost.pl
3.09.09 - 15:16
CYTAT
Dodatkowo mam pytanie czy są jakieś nakładki iptables w celu prostego a zarazem dobrej konfiguracji na serwerze?


Polecam Shorewall: http://wiki.debian.org/HowTo/shorewall - how-to dla debiana, ale konfiguracja będzie taka sama dla wszystkich dystrybucji.
radek
3.09.09 - 16:19
CYTAT(neD @ 3.09.09 - 15:15) *
Mam zmienne IP wiec wycięcie pozostałych oprócz moje odpada z gry, a może wyciąć pozostałe kraje, pytanie jak.

No cóż. Na większość z tych pytań nie ma odpowiedzi tak jednoznacznej i prostej. Shorewall to jeden z bardziej popularnych firewalli tego typu, myślę, że to dobry wybór.
Co do zmiennego IP to polecam zatem VPN (nie wiem czy ma go wbudowanego Shorewall, myślę że tak) a jak nie to OpenVPN ,tu masz link do tego, jak to skonfigurować nawet nie mając na ten temat specjalnej wiedzy:
http://vickeryj.freeshell.org/notes/open_vpn_howto.htm

Tak czy inaczej znajdź choć jeden IP z którego awaryjnie mógłbyś się podpiąć i na te IP puść cały ruch (taki, backdoor).
Pozdrawiam.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2012 Invision Power Services, Inc.