---

Jeg har været en lille uges tid på efterårsferie, og inden jeg tog
afsted, der åbnede jeg for SSH adgang på min MacOSX-Apache server, og det
har fungeret helt fint, jeg havde min gamle PowerBook med, og med den
kunne jeg tjekke log-filen og fjernstyre serveren.

Men her i går aftes kunne jeg via CPU-overvågningen se, at der var noget
aktivitet på serveren, som ikke blev skrevet til Apache's log-fil, så jeg
gik straks ind og lukkede for SSH-adgang, og det stoppede næsten
øjeblikkelig aktiviteten.

Aktiviteten var meget ens og rytmisk, som om der var noget software, der
stod og afprøvede forskellige kombinationer af brugernavn og password.

Så ind til vidre går jeg ud fra, at nogen har gjort et forsøg på at hacke
sig ind via SSH, men jeg kunne godt tænke mig at tjekke op det, derfor
vil jeg høre om der skrives en SSH log-fil, som jeg kan studere, og hvor
jeg evt. finder den log-fil...

--
Med venlig hilsen - Niels Riis Ebbesen
http://www.niels-ebbesen.net - grafiker, fotograf & webdesigner
http://www.photo-gallery.dk - Skandinaviens største fotoarkiv
http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner

---

Niels Riis Ebbesen wrote:
>
> Men her i går aftes kunne jeg via CPU-overvågningen se, at der var noget
> aktivitet på serveren, som ikke blev skrevet til Apache's log-fil, så
> jeg gik straks ind og lukkede for SSH-adgang, og det stoppede næsten
> øjeblikkelig aktiviteten.
>

sshd og apache har *intet* med hinanden at gøre.

> Aktiviteten var meget ens og rytmisk, som om der var noget software, der
> stod og afprøvede forskellige kombinationer af brugernavn og password.
>

check loggen ... (se herunder).

> Så ind til vidre går jeg ud fra, at nogen har gjort et forsøg på at
> hacke sig ind via SSH, men jeg kunne godt tænke mig at tjekke op det,
> derfor vil jeg høre om der skrives en SSH log-fil, som jeg kan studere,
> og hvor jeg evt. finder den log-fil...
>

sshd skriver til /var/log/secure.log

---

Ole Guldberg Jensen <olegb@opendarwin.org> wrote:
> Niels Riis Ebbesen wrote:
> >
> > Men her i går aftes kunne jeg via CPU-overvågningen se, at der var noget
> > aktivitet på serveren, som ikke blev skrevet til Apache's log-fil, så
> > jeg gik straks ind og lukkede for SSH-adgang, og det stoppede næsten
> > øjeblikkelig aktiviteten.
> >

> sshd og apache har *intet* med hinanden at gøre.

> > Aktiviteten var meget ens og rytmisk, som om der var noget software, der
> > stod og afprøvede forskellige kombinationer af brugernavn og password.
> >

> check loggen ... (se herunder).

> > Så ind til vidre går jeg ud fra, at nogen har gjort et forsøg på at
> > hacke sig ind via SSH, men jeg kunne godt tænke mig at tjekke op det,
> > derfor vil jeg høre om der skrives en SSH log-fil, som jeg kan studere,
> > og hvor jeg evt. finder den log-fil...
> >

> sshd skriver til /var/log/secure.log

Den skriver også til /var/log/system.log

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

PowerMac G5: 1.6GHz, 3GB RAM, 300+300GB SATA, 16xDVD-/+RW DL, Bluetooth
mus+tastatur, R9600PRO, iSight, eyeTV200 & LaCie Photon18Vision TFT.

---

Ole Guldberg Jensen wrote:

> sshd og apache har *intet* med hinanden at gøre.


Det ved jeg godt, min hensigt var blot at oplyse, at det er min
web-server, som jeg laver en SSH terminalopkobling på.


> sshd skriver til /var/log/secure.log

Den virker, men log-filen er meget sparsom, jeg kunne dog se alle de
sessions jeg havde på min ferie, og intet andet, så den logger ikke
mislykkede forsøg...

--
Med venlig hilsen - Niels Riis Ebbesen
http://www.niels-ebbesen.net - grafiker, fotograf & webdesigner
http://www.photo-gallery.dk - Skandinaviens største fotoarkiv
http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner

---

On Wed, 12 Oct 2005 09:16:57 +0200, Niels Riis Ebbesen wrote:

>> sshd skriver til /var/log/secure.log
>
> Den virker, men log-filen er meget sparsom, jeg kunne dog se alle de
> sessions jeg havde på min ferie, og intet andet, så den logger ikke
> mislykkede forsøg...

Har du da prøvet at lave et mislykket forsøg?
--
MVH
osv...

---

Frank E. N. Stein wrote:

> Har du da prøvet at lave et mislykket forsøg?


Det vil jeg prøve, og jeg vil også lave en portscan, for jeg vil meget
gerne vide, hvad det var for noget aktivitet jeg bemærkede...

--
Med venlig hilsen - Niels Riis Ebbesen
http://www.niels-ebbesen.net - grafiker, fotograf & webdesigner
http://www.photo-gallery.dk - Skandinaviens største fotoarkiv
http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner

---

Niels Riis Ebbesen <info@niels-ebbesen.net> writes:

> Det vil jeg prøve, og jeg vil også lave en portscan, for jeg vil meget
> gerne vide, hvad det var for noget aktivitet jeg bemærkede...

Det kan let ogsaa bare have vaeret at OS X fandt ud af at tiden var
velegnet til at defragmentere disken, eller indeksere alle de filer
som godt kan vente til den ikke laver noget.

Nogen der har gode forslag til hvad maskinen kan have gjort paa det
tidspunkt hvor Niels kom hjem?
--
Thorbjørn Ravn Andersen "... plus ... Tubular Bells!"
http://bigfoot.com/~thunderbear

---

Thorbjoern Ravn Andersen <nospam0000@gmail.com> wrote:
> Niels Riis Ebbesen <info@niels-ebbesen.net> writes:

> > Det vil jeg prøve, og jeg vil også lave en portscan, for jeg vil meget
> > gerne vide, hvad det var for noget aktivitet jeg bemærkede...

> Det kan let ogsaa bare have vaeret at OS X fandt ud af at tiden var
> velegnet til at defragmentere disken, eller indeksere alle de filer
> som godt kan vente til den ikke laver noget.

> Nogen der har gode forslag til hvad maskinen kan have gjort paa det
> tidspunkt hvor Niels kom hjem?

weekly eller monthly cron jobs (de roterer logfiler, men hvad der er
nok er mere interessant i denne sammenhæng er at de opdatere whatis og
locate databaserne)

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

PowerMac G5: 1.6GHz, 3GB RAM, 300+300GB SATA, 16xDVD-/+RW DL, Bluetooth
mus+tastatur, R9600PRO, iSight, eyeTV200 & LaCie Photon18Vision TFT.

---

Niels Riis Ebbesen <info@niels-ebbesen.net> wrote:

> Jeg har været en lille uges tid på efterårsferie, og inden jeg tog
> afsted, der åbnede jeg for SSH adgang på min MacOSX-Apache server, og det
> har fungeret helt fint, jeg havde min gamle PowerBook med, og med den
> kunne jeg tjekke log-filen og fjernstyre serveren.

> Men her i går aftes kunne jeg via CPU-overvågningen se, at der var noget
> aktivitet på serveren, som ikke blev skrevet til Apache's log-fil, så jeg
> gik straks ind og lukkede for SSH-adgang, og det stoppede næsten
> øjeblikkelig aktiviteten.

> Aktiviteten var meget ens og rytmisk, som om der var noget software, der
> stod og afprøvede forskellige kombinationer af brugernavn og password.

> Så ind til vidre går jeg ud fra, at nogen har gjort et forsøg på at hacke
> sig ind via SSH, men jeg kunne godt tænke mig at tjekke op det, derfor
> vil jeg høre om der skrives en SSH log-fil, som jeg kan studere, og hvor
> jeg evt. finder den log-fil...

ssh log beskeder skrives primært til /var/log/system.log

Apples configurations fil til sshd /etc/sshd_config er ikke sat til at
logge ret meget. (INFO)

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

PowerMac G5: 1.6GHz, 3GB RAM, 300+300GB SATA, 16xDVD-/+RW DL, Bluetooth
mus+tastatur, R9600PRO, iSight, eyeTV200 & LaCie Photon18Vision TFT.

---

Morten Reippuert Knudsen<spam@reippuert.dk> writes:

> Apples configurations fil til sshd /etc/sshd_config er ikke sat til at
> logge ret meget. (INFO)

Det skulle da gerne være nok til at den melder når der er fejlende loginforsøg.
--
Thorbjørn Ravn Andersen "... plus ... Tubular Bells!"
http://bigfoot.com/~thunderbear

---

Thorbjoern Ravn Andersen wrote:

> Det skulle da gerne være nok til at den melder når der er fejlende loginforsøg.


Enten er det ikke tilfældet, eller så er det ikke fejlende SSH
loginforsøg jeg registrerede. Men den unormale aktivitet som jeg
bemærkede, kan jo også ha' været en portscan...

--
Med venlig hilsen - Niels Riis Ebbesen
http://www.niels-ebbesen.net - grafiker, fotograf & webdesigner
http://www.photo-gallery.dk - Skandinaviens største fotoarkiv
http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner

---

Niels Riis Ebbesen <info@niels-ebbesen.net> wrote:

> Thorbjoern Ravn Andersen wrote:

> > Det skulle da gerne være nok til at den melder når der er fejlende loginforsøg.


> Enten er det ikke tilfældet, eller så er det ikke fejlende SSH
> loginforsøg jeg registrerede. Men den unormale aktivitet som jeg
> bemærkede, kan jo også ha' været en portscan...

det vil ikke trække søm ud på din maskine. det er formegenlig blot et
cron job

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

PowerMac G5: 1.6GHz, 3GB RAM, 300+300GB SATA, 16xDVD-/+RW DL, Bluetooth
mus+tastatur, R9600PRO, iSight, eyeTV200 & LaCie Photon18Vision TFT.

---

Morten Reippuert Knudsen wrote:

> det vil ikke trække søm ud på din maskine. det er formegenlig blot et
> cron job


Det kan godt være jeg lyder dum, men hvad er et cron job...?

--
Med venlig hilsen - Niels Riis Ebbesen
http://www.niels-ebbesen.net - grafiker, fotograf & webdesigner
http://www.photo-gallery.dk - Skandinaviens største fotoarkiv
http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner

---

Niels Riis Ebbesen <info@niels-ebbesen.net> writes:

> Det kan godt være jeg lyder dum, men hvad er et cron job...?

En standard unixfacilitet der tillader at afvikle non-GUI programmer
i baggrunden paa forudbestemte tidspunkter. Dette bruges isaer for
diverse systemopgaver, men kan ogsaa bruges af almindelige brugere.

Et eksempel kunne fx vaere natlig backup af et givent hierarki, eller
fjernelse af foraeldelde midlertidige filer, eller konstruktion af
rapporter over dagens trafik paa et website der derefter emailes til
hvem der maatte vaere intereserede.

Der er rigtigt mange muligheder, bare man kan programmere lidt.
--
Thorbjørn Ravn Andersen "... plus ... Tubular Bells!"
http://bigfoot.com/~thunderbear

---

Niels Riis Ebbesen wrote:
>> det vil ikke trække søm ud på din maskine. det er formegenlig blot et
>> cron job
> Det kan godt være jeg lyder dum, men hvad er et cron job...?

'man cron' .. i en terminal.

// Hans
--
Motorcyklister der kører i BIL når det regner er, BILISTER!