[Clarkconnect]Rare logbestanden

Pagina: 1
Acties:

  • Inner354
  • Registratie: Oktober 2003
  • Niet online
Na een kijkje in mijn logboek bestanden kwam ik deze regels tegen. Ik weet eerlijk gezegd niet wat ik hier mee aan moet, aangezien ik net begin met linux. Ik weet iig dat ik deze commando's op dat tijdstip niet heb gegeven. De server beschikt over ssh,ftp en apache.

Moet ik mijn zorgen gaan maken dat er misschien een ongewenste "gast" is langsgekomen of zijn dit standaard regels.

PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Nov 18 11:45:12 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/cat /etc/firewall
Nov 18 11:45:12 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/usr/local/suva/bin/suvactl --get-hostkey
Nov 18 11:45:12 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/cat /usr/local/system/settings/general
Nov 18 11:45:13 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/cat /var/lib/dynamicdns
Nov 18 11:45:13 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/usr/local/suva/bin/suvactl --get-hostkey
Nov 18 11:45:13 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/cat /usr/local/system/settings/general
Nov 18 11:45:14 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/rm /var/lib/dynamicdns
Nov 18 11:45:15 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/ls /var/lib/dynamicdns
Nov 18 11:45:15 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/touch /var/lib/dynamicdns
Nov 18 11:45:15 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/chown root /var/lib/dynamicdns
Nov 18 11:45:15 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/chown .root /var/lib/dynamicdns
Nov 18 11:45:15 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/chmod 0644 /var/lib/dynamicdns
Nov 18 11:45:15 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/cat /var/lib/dynamicdns
Nov 18 11:45:15 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/usr/sbin/cc-rename /var/webconfig/tmp/dynamicdns.3130 /var/lib/dynamicdns
Nov 18 11:45:15 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/cat /etc/firewall
Nov 18 11:45:15 Server /usr/bin/sudo: root : TTY=console ; PWD=/ ; USER=root ; COMMAND=/bin/ls /etc/sysconfig/network-scripts/ifcfg-eth1

Als er meer informatie nodig is moeten jullie het even melden, dan post ik dat erbij.

edit: sorry voor het verneuken van de layout :'(

  • Blaasvis
  • Registratie: November 2001
  • Laatst online: 11-02 07:27

Blaasvis

Cidora \o/

heb je al een chrootkit geinstalleerd en gekeken wat daar uit kwam ?

Freedom is everything you need ; <moto-moi|afk> ik verkloot het gewoon nooit :P


  • Inner354
  • Registratie: Oktober 2003
  • Niet online
Nee dat heb ik nog niet gedaan. Zal der gelijk even naar kijken, maar omdat ik maar een linux beginner ben zal dit wel even duren ;)

  • Inner354
  • Registratie: Oktober 2003
  • Niet online
Okeej :D dank je voor je reactie ! Ik heb de chkrootkit van chkrootkit.org gebruikt en gedraaid. Alle resultaten zijn goed. Nothing Found of Not infected, dus dat zit wel goed. Kan ik deze test nu vertrouwen of zijn er nog meer controles die ik kan uitvoeren ?

[ Voor 20% gewijzigd door Inner354 op 21-11-2004 11:15 ]


  • Blaasvis
  • Registratie: November 2001
  • Laatst online: 11-02 07:27

Blaasvis

Cidora \o/

dit is meestal wel een goede indicatie, ik denk dat het gewoon een update of installatie of cronjob iets is :)
en dat gewoon elk sudo commando word gelogt.

Freedom is everything you need ; <moto-moi|afk> ik verkloot het gewoon nooit :P


  • Inner354
  • Registratie: Oktober 2003
  • Niet online
Jah dat dacht ik ook idd... en die cat commando's zijn denk ik gewoon om het weblog te maken.. maar die chown en chmod commando's vond ik niet zo prettig ;) Bedankt iig voor je tip!

Verwijderd

Blaasvis schreef op zondag 21 november 2004 @ 15:12:
dit is meestal wel een goede indicatie, ik denk dat het gewoon een update of installatie of cronjob iets is :)
en dat gewoon elk sudo commando word gelogt.
Dit klopt. Deze loggings zijn op elke cc box terug te vinden.
Je ziet er o.a dynamic dns update en suvactl terug en loggings uit de webconfig interface.

Je vergat er ook bij te vertellen dat je deze loggings terug vindt onder /var/log/secure

Geert

  • Inner354
  • Registratie: Oktober 2003
  • Niet online
Dat was ik idd vergeten. Al was het nadat ik er wat langer naar had gekeken ook wel een beetje een vroege reactie 8)7 De logentries zijn opzich niet zo spannend. Bedankt iig voor de hulp, ben er weer een stukje wijzer van geworden ;)

Dit topic kan wat mij betreft op slot.
Pagina: 1