Toon posts:

[fbsd 4.7] Security output doet 't niet zo lekker meer

Pagina: 1
Acties:

maandag 30 december 2002 14:36

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter
Hi,
Ik heb al maanden nu dat mijn security output het niet lekker meer doet (dat dagelijkse mailtje dat om 3 uur snachts gecreeerd wordt)

het ziet er bij mij zo uit...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

Checking setuid files and devices:


Checking for uids of 0:
root 0
toor 0


Checking for passwordless accounts:


scorpio.tnt.intern denied packets:
> 65534   1261    56599 deny log ip from any to any
> 65535      1       96 deny ip from any to any


scorpio.tnt.intern kernel log messages:
> 5.199:1028 213.84.64.xxx:137 in via xl1


scorpio.tnt.intern login failures:


scorpio.tnt.intern refused connections:


-- End of security output --


het lijkt mij toch dat bij dat refused connections ook een groot deel van /var/log/security moet komen te staan..
kan me herrinneren dat er zelfs een gedeelte van me snort output stond vroeger..
maar nu helemaal niks meer
en neem van mij aan dat er ECHT wel wat is om te laten zien...
Sinds die irri internet worm schieten er per minuut wel een paar connecties naar poortje 137 voorbij..
dus genoeg om weer te geven dacht ik zo...

om een of andere reden is het zomaar ineens er mee opgehouden..
ik heb vaak zat ge cvsupped en mergemaster gedraaid enzo (na de make world enzo) dus de bestanden zijn echt wel up2date..
het moet ergens anders fout gaan lijkt me..
maar waar.....

ik zou zo op het eerste gezicht niet weten wat voor extra info ik kan geven om het duidelijker te maken..
Dus mocht er meer outpur nodig zijn.. just say so, en ik zet het neer..
De scriptfiles zijn allemaal nog in orriginele staat, daar heb ik nooit aan gezeten

dinsdag 31 december 2002 02:24

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 13:11

deadinspace

The what goes where now?

Ik neem aan dat zoiets van uit cron draait... Zoek eens vanwaar het gedraaid wordt, en of daar geen fouten in zitten. Zo nee, probeer het dan eens met de hand te draaien, kijken of je kunt zien wat er fout gaat.

Verder is het de moeite om de logs van je MTA te bekijken... Wordt het mailtje überhaupt wel verstuurd? Zo ja, zonder errors? Naar de juiste host?

woensdag 1 januari 2003 23:04

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter
ja maar het mailtje komt gewoon aan
absoluut geen problemen met het versturen..
gaat gewoon netjes naar localhost enzo..
no problems..

Maar wat er in staat is niet volledig.. dat is het probleem :'(

woensdag 1 januari 2003 23:50

Acties:

Verwijderd

offtopic:
Heb je daar een programma voor of een script en zo ja, zit dat in de ports :)

donderdag 2 januari 2003 00:04

Acties:
  • Leon
  • Registratie: Maart 2000
  • Laatst online: 10-04 09:12

Leon

Rise Of The Robots

Verwijderd schreef op 01 January 2003 @ 23:50:
offtopic:
Heb je daar een programma voor of een script en zo ja, zit dat in de ports :)
Nee, dat is bij FreeBSD standaard, elke dag om 3 uur elke week en elke maand worden er scriptjes gedraaid die in de directory daily/weekly/montly staan gedraaid in een vaste volgorde (werkt op ongeveer hetzelfde manier als bij Sys V door een nummer ervoor)

in /etc/periodic.conf kun je extra opties opgeven en gedeeltes van de mailtjes die je niet nodig hebt aan/uit zetten...

misschien kun je trouwens eens kijken wat het scriptje doet als je het handmatig draaid :?

Ik krijg hier ook al een hele tijd bij de dagelijkse mail dat er een mailtje in mijn submit queue zit maar als ik in het script kijk en dat commando uitvoer dan staat er dat er geen mails in de wachtrij staan :?

Eeuwige n00b

donderdag 2 januari 2003 00:32

Acties:

Verwijderd

Als ik even snel de source bekijk lijkt hij /var/log/messages te gebruiken om refused/denied logins op te sporen. Staan de 'login failures' wel in /var/log/messages (als je handmatig ff checkt) of staan ze misschien in /var/log/security? (in dat geval kun je zelf even het scriptje natuurlijk aanpassen).

donderdag 2 januari 2003 01:20

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter
login failures krijg ik wel :-)
het is juist de refused connections die ik niet krijg
en dat zijn er echt wel een paar.. en de kernel log messages doet ook vaag...

donderdag 2 januari 2003 05:25

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter
ik snap geen ruk van die file..
hij kijkt niet eens in /var/log/security
vaaaag verhaal....
naja ik heb er zelf maar eentje gebouwd..
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

#!/bin/sh

if [ -r /etc/defaults/periodic.conf ]
then
    . /etc/defaults/periodic.conf
    source_periodic_confs
fi

LOG="${daily_status_security_logdir}"

yesterday=`date -v-1d "+%b %e "`

catmsgs() {
        find ${LOG} -name 'security.*' -mtime -2 |
            sort -t. -r -n +1 -2 |
            xargs zcat -f
        [ -f ${LOG}/security ] && cat $LOG/security
}

case "$daily_status_security_tcpwrap_enable" in
    [Yy][Ee][Ss])
        echo ""
        echo "${host} refused ipfw connections:"
        n=$(catmsgs | grep -i "^$yesterday" |
            tee /dev/stderr | wc -l)
        [ $n -gt 0 ] && rc=1 || rc=0;;
    *)  rc=0;;
esac

exit $rc


als tcpwrap aanstaat in de periodic.conf dan werkt deze ook gelijk...
aan te passen naar ieders eigen inzicht natuurlijk.... misschien dat er mensen zijn die het handig vinden..
deze geeft dus al he refused connections weer..
Pagina: 1
Reageer