Toon posts:

Vraagje over mijn linux logs

Pagina: 1
Acties:

vrijdag 31 maart 2006 11:10

Acties:
  • GoVegan
  • Registratie: Juni 2002
  • Laatst online: 04-02 19:03

GoVegan

Topicstarter
In mailbox op mijn server kreeg ik van chkrootkit de melding dat mijn root bash_history leeg was, ikke kijken inderdaad leeg dus, dus ik mijn logs beetje doorwandelen, niet veel bijzonders, behalve deze twee regels, de meerdere malen voor komen, misshien zijn het doodnormale regels, maar ik snap ze niet. Zou iemand mij kunnen vertellen wat hier zo ongeveer staat:

code:
1
2
3

Mar 31 10:44:29 borre kernel: IN=eth0 OUT= MAC=macadresje SRC=24.176.166.* DST=internserverip  LEN=88 TOS=0x00 PREC=0x00 TTL=41 ID=2569 PROTO=ICMP TYPE=3 CODE=1 [SRC=internserverip DST=192.168.1.* LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=18557 DF PROTO=TCP SPT=37995 DPT=18602 WINDOW=5840 RES=0x00 SYN URGP=0 ]

Mar 31 10:49:08 borre kernel: IN=eth0 OUT= MAC=macadresje SRC=81.156.222.* DST=internserverip  LEN=56 TOS=0x00 PREC=0x00 TTL=46 ID=196 PROTO=ICMP TYPE=3 CODE=3 [SRC=internserverip DST=81.156.222.* LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=2085 DF PROTO=TCP INCOMPLETE [8 bytes] ]

[ Voor 3% gewijzigd door GoVegan op 31-03-2006 11:14 ]

vrijdag 31 maart 2006 11:47

Acties:
  • El_kingo
  • Registratie: Mei 2002
  • Laatst online: 17-03-2025

El_kingo

GoVegan schreef op vrijdag 31 maart 2006 @ 11:10:
...
PROTO=ICMP TYPE=3 CODE=1
PROTO=ICMP TYPE=3 CODE=3
...
ICMP-protocol, type 3 = destination host unreachable
code 1 = Host unreachable error, code 3 = Port unreachable error.

Hier hoef je je (voor zover ik weet) niet druk om te maken, dit zijn gewoon berichten van de servers die je probeerde te bereiken (nou ja eigenlijk van een tussenliggende router) dat de servers niet bereikbaar zijn.

vrijdag 31 maart 2006 12:05

Acties:
  • GoVegan
  • Registratie: Juni 2002
  • Laatst online: 04-02 19:03

GoVegan

Topicstarter
en de melding van chkrootkit:

code:
1
2

/etc/cron.daily/chkrootkit:
Warning: `//root/.bash_history' file size is zero


word die bash_history soms af en to zelf door het systeem (debian 3.0) geleegd?

vrijdag 31 maart 2006 12:27

Acties:
  • DeMoN
  • Registratie: Maart 2001
  • Laatst online: 06-01 23:13

DeMoN

Pastafari

GoVegan schreef op vrijdag 31 maart 2006 @ 12:05:
en de melding van chkrootkit:

code:
1
2

/etc/cron.daily/chkrootkit:
Warning: `//root/.bash_history' file size is zero


word die bash_history soms af en to zelf door het systeem (debian 3.0) geleegd?
Niet dat ik weet of weet dat het kan of dat ik meegemaakt heb.

.bash_history wordt bij een hack/crack meestal aan /dev/null gelinked. Dat is een stuk veiliger voor degene die binnen heeft gezeten, zo weet hij zeker dat de history leeg blijft.

Dat hij zero is, is best vaag imho.

Sinds wanneer weet je dit?

Doe eens een:

find / -ctime 0
als root.

(-ctime n
File's status was last changed n*24 hours ago.)

Dan zie je alle bestanden op je systeem die pas gewijzigd zijn. Misschien zie je wat belangrijke dingen. Kijk ook naar de modified date van je ~/.bash_history natuurlijk.

Geef ook eens de output van 
ls -la ~/.bash_history

[ Voor 10% gewijzigd door DeMoN op 31-03-2006 12:30 ]

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

vrijdag 31 maart 2006 12:49

Acties:
  • GoVegan
  • Registratie: Juni 2002
  • Laatst online: 04-02 19:03

GoVegan

Topicstarter
DeMoN schreef op vrijdag 31 maart 2006 @ 12:27:
[...]

find / -ctime 0
als root.
geeft mij een erg lange waslijst, zal deze vanavond als ik thuis ben een goed doornemen.
ehm hoe krijg ik bij "find / -ctime 0" ook de tijd erbij, is dat mogelijk?
DeMoN schreef op vrijdag 31 maart 2006 @ 12:27:
[...]

Geef ook eens de output van 
ls -la ~/.bash_history
die geeft mij een gewijzigde datum van een paar uurtjes geleden, logisch ik had even onder de root account gekeken of mijn bash_history echt leeg was, dom maarja..

[ Voor 7% gewijzigd door GoVegan op 31-03-2006 12:51 ]

vrijdag 31 maart 2006 12:56

Acties:
  • MrBarBarian
  • Registratie: Oktober 2003
  • Laatst online: 07-03-2023

MrBarBarian

Once

wtmp al bekeken (last -R)?.. enne /var/adm (of /var/log) messages of syslog?

iRacing Profiel

vrijdag 31 maart 2006 13:42

Acties:
  • GoVegan
  • Registratie: Juni 2002
  • Laatst online: 04-02 19:03

GoVegan

Topicstarter
MrBarBarian schreef op vrijdag 31 maart 2006 @ 12:56:
wtmp al bekeken (last -R)?.. enne /var/adm (of /var/log) messages of syslog?
last -R geeft mij alleen maar login van tijdstipen dat ik het zelf ben geweest.
en trevens allemaal login's via mijn normale gebruiker.

vrijdag 31 maart 2006 14:06

Acties:
  • MrBarBarian
  • Registratie: Oktober 2003
  • Laatst online: 07-03-2023

MrBarBarian

Once

GoVegan schreef op vrijdag 31 maart 2006 @ 13:42:
[...]


last -R geeft mij alleen maar login van tijdstipen dat ik het zelf ben geweest.
en trevens allemaal login's via mijn normale gebruiker.
Op bekende IP-adressen?

iRacing Profiel

vrijdag 31 maart 2006 14:26

Acties:
  • GoVegan
  • Registratie: Juni 2002
  • Laatst online: 04-02 19:03

GoVegan

Topicstarter
MrBarBarian schreef op vrijdag 31 maart 2006 @ 14:06:
[...]


Op bekende IP-adressen?
met last -R zie ik geen ipadressen, ook in man last zie ik die optie niet, hoe kan ik dit zien?

vrijdag 31 maart 2006 14:36

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

GoVegan schreef op vrijdag 31 maart 2006 @ 14:26:
[...]


met last -R zie ik geen ipadressen, ook in man last zie ik die optie niet, hoe kan ik dit zien?
in welke man-page kijk jij dan :?

       -R     Suppresses the display of the hostname field.

       -a     Display the hostname in the last column. Useful in combination with  the
              next flag.

       -d     For  non-local logins, Linux stores not only the host name of the remote
              host but its IP number as well. This option  translates  the  IP  number
              back into a hostname.

       -i     This  option  is like -d in that it displays the IP number of the remote
              host, but it displays the IP number in numbers-and-dots notation.

vrijdag 31 maart 2006 14:50

Acties:
  • GoVegan
  • Registratie: Juni 2002
  • Laatst online: 04-02 19:03

GoVegan

Topicstarter
damm sorry, ik moet echt ff aan de koffie denk ik.

maar het zijn voor mij allemaal bekende adressen ja.

dus (zolang niemand heeft zitten klooien in de /var/log/wtmp) kunnen er in princiepe geen onbevoegden op mijn systeem zijn geweest?

[ Voor 5% gewijzigd door GoVegan op 31-03-2006 15:32 ]

zaterdag 1 april 2006 12:47

Acties:
  • Aike
  • Registratie: Juli 2000
  • Niet online

Aike

GoVegan schreef op vrijdag 31 maart 2006 @ 14:50:dus (zolang niemand heeft zitten klooien in de /var/log/wtmp) kunnen er in princiepe geen onbevoegden op mijn systeem zijn geweest?
Niet via ssh, maar wel op andere manieren natuurlijk. Je kunt best via apache/php een shellscript runnen ofzo.

Mijn blog over het deployen van Ruby on Rails: RunRails.com

zaterdag 1 april 2006 17:22

Acties:
  • DeMoN
  • Registratie: Maart 2001
  • Laatst online: 06-01 23:13

DeMoN

Pastafari

Eigenlijk best apart dat dit nog niet aan de orde is geweest: was de bak namelijk wel up-to-date ?
Als hij dat namelijk sowieso al een tijdje niet meer was zou ik een backup van je configfiles maken en je bestanden en een reinstall doen als je daar de tijd voor zou hebben / jezelf optimaal veilig zou willen voelen ;)

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq