|
|||||||
|
|
|
 |
|
|
Strumenti |
11-12-2008, 10:16
|
#1 |
|
Senior Member
Iscritto dal: Feb 2001
Città: San Marino
Messaggi: 9990
|
Leggere i log
Ciao a tutti, scrivo per sapere se avete qualche link per capire i file di log generati, di alcuni ne comprendo il significato ma di altri no.
In questo momento stavo studiandomi il file /var/log/auth.log che se non ho capito male dovrebbe essere quello per le autorizzazioni sulla macchina. In pratica utilizzo la macchina da remoto tramite ssh e volevo capire come faccio a vedere se qualche intruso cerca di loggarsi ad essa. Posto un estratto del file: Codice:
Dec 11 06:25:02 serverbuglis su[3306]: Successful su for www-data by root Dec 11 06:25:02 serverbuglis su[3306]: + ??? root:www-data Dec 11 06:25:02 serverbuglis su[3306]: pam_unix(su:session): session opened for user www-data by (uid=0) Dec 11 06:25:02 serverbuglis su[3306]: pam_unix(su:session): session closed for user www-data Dec 11 06:25:02 serverbuglis su[3310]: Successful su for www-data by root Dec 11 06:25:02 serverbuglis su[3310]: + ??? root:www-data Dec 11 06:25:02 serverbuglis su[3310]: pam_unix(su:session): session opened for user www-data by (uid=0) Dec 11 06:25:02 serverbuglis su[3310]: pam_unix(su:session): session closed for user www-data Dec 11 06:25:04 serverbuglis CRON[3286]: pam_unix(cron:session): session closed for user root Dec 11 06:39:01 serverbuglis CRON[3407]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 06:39:01 serverbuglis CRON[3407]: pam_unix(cron:session): session closed for user root Dec 11 07:09:01 serverbuglis CRON[3428]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 07:09:01 serverbuglis CRON[3428]: pam_unix(cron:session): session closed for user root Dec 11 07:17:01 serverbuglis CRON[3442]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 07:17:01 serverbuglis CRON[3442]: pam_unix(cron:session): session closed for user root Dec 11 07:39:01 serverbuglis CRON[3452]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 07:39:01 serverbuglis CRON[3452]: pam_unix(cron:session): session closed for user root Dec 11 08:09:01 serverbuglis CRON[3476]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 08:09:01 serverbuglis CRON[3476]: pam_unix(cron:session): session closed for user root Dec 11 08:17:01 serverbuglis CRON[3488]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 08:17:01 serverbuglis CRON[3488]: pam_unix(cron:session): session closed for user root Dec 11 08:39:01 serverbuglis CRON[3492]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 08:39:01 serverbuglis CRON[3492]: pam_unix(cron:session): session closed for user root Dec 11 09:09:01 serverbuglis CRON[3503]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 09:09:01 serverbuglis CRON[3503]: pam_unix(cron:session): session closed for user root Dec 11 09:17:01 serverbuglis CRON[3513]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 09:17:01 serverbuglis CRON[3513]: pam_unix(cron:session): session closed for user root Dec 11 09:39:01 serverbuglis CRON[3517]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 09:39:01 serverbuglis CRON[3517]: pam_unix(cron:session): session closed for user root Dec 11 09:49:05 serverbuglis sshd[3528]: Accepted password for samu from 194.146.114.75 port 33938 ssh2 Dec 11 09:49:05 serverbuglis sshd[3528]: pam_unix(sshd:session): session opened for user samu by (uid=0) Dec 11 09:49:14 serverbuglis su[3550]: Successful su for root by samu Dec 11 09:49:14 serverbuglis su[3550]: + pts/2 samu:root Dec 11 09:49:15 serverbuglis su[3550]: pam_unix(su:session): session opened for user root by samu(uid=1000) Dec 11 10:00:24 serverbuglis su[3550]: pam_unix(su:session): session closed for user root Dec 11 10:00:33 serverbuglis su[3709]: pam_unix(su:auth): authentication failure; logname=samu uid=1000 euid=0 tty=pts/2 rus$ Dec 11 10:00:35 serverbuglis su[3709]: pam_authenticate: Authentication failure Dec 11 10:00:35 serverbuglis su[3709]: FAILED su for root by samu Dec 11 10:00:35 serverbuglis su[3709]: - pts/2 samu:root Dec 11 10:00:41 serverbuglis su[3710]: Successful su for root by samu Dec 11 10:00:41 serverbuglis su[3710]: + pts/2 samu:root Dec 11 10:00:41 serverbuglis su[3710]: pam_unix(su:session): session opened for user root by samu(uid=1000) Dec 11 10:09:01 serverbuglis CRON[3713]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 11 10:09:01 serverbuglis CRON[3713]: pam_unix(cron:session): session closed for user root grazie ciao 
|
|
|
|
11-12-2008, 10:26
|
#2 |
|
Senior Member
Iscritto dal: Jul 2006
Messaggi: 1175
|
Quel successful su e' relativo al fatto che l'utente root avvia il server/servizio www e successivamente diventa utente non privilegiato.
__________________
Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200 [Debian 7.0 Wheezy] Installazione, consigli e trucchi 
|
|
|
|
|
11-12-2008, 11:00
|
#3 |
|
Senior Member
Iscritto dal: Feb 2001
Città: San Marino
Messaggi: 9990
|
quindi niente di allarmante giusto?
devo iniziare a preoccuparmi se vedo IP che non conosco che tentato il log? |
|
|
|
|
11-12-2008, 12:24
|
#6 | |
|
Senior Member
Iscritto dal: Jul 2006
Messaggi: 1175
|
Quote:
Logcheck analizza un determinato file di log e ti manda tramite e-mail il resoconto (una specie di copia-incolla) a cadenze regolari, io me lo faccio mandare ogni ora. Tuttavia, per maggiore selettivita' ti consiglio caldamente swatch, che puoi personalizzare affinche' ti mandi notifiche solo su certi messaggi di log, il tutto in tempo reale. Ad esempio, io l'ho configurato per farmi mandare notifiche ogni volta che un utente sbaglia un 'su', ogni volta che viene accettata una connessione in ingresso e ogni volta che viene instaurato un collegamento VPN. Dulcis in fundo, se hai un server di posta (a cui puoi impedire l'accesso da fuori) puoi configurare swatch affinche' mandi e-mail anche ad indiirizzi esterni, cosi' se tizio cerca di entrarti in ssh sul computer di casa e tu sei in ufficio, tempo 30 secondi e ne sei al corrente.
__________________
Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200 [Debian 7.0 Wheezy] Installazione, consigli e trucchi
|
|
|
|
|
|
11-12-2008, 12:25
|
#7 |
|
Senior Member
Iscritto dal: Feb 2001
Città: San Marino
Messaggi: 9990
|
Grazie a tutti ragazzi, gentilissimi e utilissimi come sempre.
|
|
|
|
|
11-12-2008, 12:29
|
#8 | |
|
Senior Member
Iscritto dal: Feb 2003
Città: Padova
Messaggi: 5905
|
Quote:
__________________
 |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 23:46.
