Hallo zusammen Ich betreibe einen Webserver (SuSE 9.3), der zum Testen meiner Seiten nur lokal erreichbar ist, intermittierend aber zu Vorführungszwecken mal per DynDNS im Netz hängt. Nun hab ich in den Logs folgende Einträge gefunden und wollte nur wissen, ob ich diese richtig interpretiere: Oct 9 08:07:27 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - FTP session opened. Oct 9 08:07:27 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - mod_delay/0.5: delaying for 56 usecs Oct 9 08:07:27 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - no such user 'Administrator' Oct 9 08:07:27 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - USER Administrator: no such user found from 69.1.250.14 [69.1.250.14] to 192.168.2.222:21 Oct 9 08:07:27 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - mod_delay/0.5: delaying for 2990 usecs Oct 9 08:07:27 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - mod_delay/0.5: delaying for 410 usecs Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - no such user 'Administrator' Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - USER Administrator: no such user found from 69.1.250.14 [69.1.250.14] to 192.168.2.222:21 Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - mod_delay/0.5: delaying for 400425 usecs Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - mod_delay/0.5: delaying for 1278 usecs Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - no such user 'Administrator' Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - USER Administrator: no such user found from 69.1.250.14 [69.1.250.14] to 192.168.2.222:21 Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - Maximum login attempts (3) exceeded Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - FTP session closed. Jemand versucht von 69.1.250.14 mit dem FTP-User Administrator auf meinen FTP-Server zu gelangen, wird aber nach drei vergeblichen Versuchen abgelehnt, oder? Oct 10 14:12:45 webserver proftpd[22000]: webserver.familieschott.prv (200-96-67-59.PAEMT705.e.brasiltelecom.net.br[200.96.67.59]) - FTP session opened. Oct 10 14:12:45 webserver proftpd[22000]: webserver.familieschott.prv (200-96-67-59.PAEMT705.e.brasiltelecom.net.br[200.96.67.59]) - FTP session closed. Hat der dann versucht ohne Usernamen reinzukommen, oder warum wurde diese Session sofort beendet? Oct 11 13:47:26 webserver sshd[23921]: Did not receive identification string from ::ffff:213.171.46.70 ??? Oct 11 13:50:23 webserver sshd[23924]: Invalid user admin from ::ffff:213.171.46.70 Loginversuch per ssh mit User admin. Gehe ich richtig in der Annahme, dass alle diese Dinge als eher harmlos anzusehen sind und der Rechner relativ sicher ist? - Alle Passörter sind 10-stellig mit Buchstaben/Zahlen/Sonderzeichen in Groß/Kleinschreibung - Regelmäßige Online-Updates Vielen Dank Andy
Hallo :) Andreas Schott schrieb:
[...] Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - no such user 'Administrator' Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - USER Administrator: no such user found from 69.1.250.14 [69.1.250.14] to 192.168.2.222:21 Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - Maximum login attempts (3) exceeded Oct 9 08:07:28 webserver proftpd[19027]: webserver.familieschott.prv (69.1.250.14[69.1.250.14]) - FTP session closed.
Jemand versucht von 69.1.250.14 mit dem FTP-User Administrator auf meinen FTP-Server zu gelangen, wird aber nach drei vergeblichen Versuchen abgelehnt, oder?
Ja.
Oct 10 14:12:45 webserver proftpd[22000]: webserver.familieschott.prv (200-96-67-59.PAEMT705.e.brasiltelecom.net.br[200.96.67.59]) - FTP session opened. Oct 10 14:12:45 webserver proftpd[22000]: webserver.familieschott.prv (200-96-67-59.PAEMT705.e.brasiltelecom.net.br[200.96.67.59]) - FTP session closed.
Hat der dann versucht ohne Usernamen reinzukommen, oder warum wurde diese Session sofort beendet?
Nicht ganz sicher, vermutlich ja.
Oct 11 13:47:26 webserver sshd[23921]: Did not receive identification string from ::ffff:213.171.46.70
???
Vermutlich ein Portscan.
Oct 11 13:50:23 webserver sshd[23924]: Invalid user admin from ::ffff:213.171.46.70
Loginversuch per ssh mit User admin.
Gehe ich richtig in der Annahme, dass alle diese Dinge als eher harmlos anzusehen sind und der Rechner relativ sicher ist?
- Alle Passörter sind 10-stellig mit Buchstaben/Zahlen/Sonderzeichen in Groß/Kleinschreibung - Regelmäßige Online-Updates
Ja, ziemlich harmlos bzw. Dein Rechner (soweit hier zu erkenn ist) relativ sicher. Was SSH angeht, soltest Du root-Login verbieten und eine explizite Liste der Benutzer führen, die sich per SSH anmelden dürfen. Ich tippe mal, Du als Entwickler bist der einzige Benutzer des FTP-Servers. In dem Fall würde ich mir überlegen, FTP komplett abzuschalten und statt dessen den sftp-Server zu verwenden. Der ist eigentlich schon per Default aktiv, und mit Konqueror (fish://) oder WinSCP lässt sich Klasse drauf arbeiten. Grüße, Felix
Am Mittwoch, 11. Oktober 2006 18:02 schrieb Felix Nawroth:
Hallo :)
Andreas Schott schrieb: [Logfiles]
Ja, ziemlich harmlos bzw. Dein Rechner (soweit hier zu erkenn ist) relativ sicher. Was SSH angeht, soltest Du root-Login verbieten und eine explizite Liste der Benutzer führen, die sich per SSH anmelden dürfen.
Kann ich mich dann noch per User anmelden und danach zum root werden?
Ich tippe mal, Du als Entwickler bist der einzige Benutzer des FTP-Servers.
Richtig
In dem Fall würde ich mir überlegen, FTP komplett abzuschalten und statt dessen den sftp-Server zu verwenden. Der ist eigentlich schon per Default aktiv, und mit Konqueror (fish://) oder WinSCP lässt sich Klasse drauf arbeiten.
Ich nutze sitecopy. Ich hab keinen Nerv für jede Seitenaktualisierung ein gui zu starten. sitecopy -oua und alles ist gut. Geht das auch mit sftp? Andy
Am Mittwoch, 11. Oktober 2006 18:14 schrieb Andreas Schott:
Am Mittwoch, 11. Oktober 2006 18:02 schrieb Felix Nawroth:
Andreas Schott schrieb:
[Logfiles]
Ja, ziemlich harmlos bzw. Dein Rechner (soweit hier zu erkenn ist) relativ sicher. Was SSH angeht, soltest Du root-Login verbieten und eine explizite Liste der Benutzer führen, die sich per SSH anmelden dürfen.
Kann ich mich dann noch per User anmelden und danach zum root werden?
Ja via su. Bye Michael -- MCSE: Minesweeper Consultant and Solitaire Expert. (User Friendly) _____________________________________________________________________________ http://macbyte.info/ http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.17-1.2187_FC5 ICQ #151172379
Andreas Schott schrieb:
Ich nutze sitecopy. Ich hab keinen Nerv für jede Seitenaktualisierung ein gui zu starten. sitecopy -oua und alles ist gut. Geht das auch mit sftp?
Mit scp als Client kannst Du auch komplette Verzeichnisse kopieren. So etwas wie scp /srv/www/site1 user@webserver:/var/www/ sollte also ausreichen. Ich weiß nicht, was die sitecopy-Parameter bedeuten, die Du benutzt. Grundsätzlich sollten aber keine Probleme mit scp entstehen. Eventuell müssten noch die Rechte auf dem Zielserver gerade gerückt werden. Konqueror bzw. WinSCP habe ich eigentlich auch nur erwähnt, weil Du damit von Deinem Arbeitsplatzrechner aus auf den Entwicklungsserver zugreifen könntest, gewissermaßen als Netzlaufwerk. Oder schreibst Du sogar Deinen Code komplett auf der Konsole? Felix
Hallo Felix Am Mittwoch, 11. Oktober 2006 19:01 schrieb Felix Nawroth:
Andreas Schott schrieb:
Ich nutze sitecopy. Ich hab keinen Nerv für jede Seitenaktualisierung ein gui zu starten. sitecopy -oua und alles ist gut. Geht das auch mit sftp?
Mit scp als Client kannst Du auch komplette Verzeichnisse kopieren. So etwas wie scp /srv/www/site1 user@webserver:/var/www/ sollte also ausreichen. Ich weiß nicht, was die sitecopy-Parameter bedeuten, die Du benutzt.
Sirecopy stellt fest, welche Dateien seit dem letzten Mal verändert wurden und kopiert nur diese per FTP hoch.
Grundsätzlich sollten aber keine Probleme mit scp entstehen. Eventuell müssten noch die Rechte auf dem Zielserver gerade gerückt werden.
Konqueror bzw. WinSCP habe ich eigentlich auch nur erwähnt, weil Du damit von Deinem Arbeitsplatzrechner aus auf den Entwicklungsserver zugreifen könntest, gewissermaßen als Netzlaufwerk. Oder schreibst Du sogar Deinen Code komplett auf der Konsole?
Meistens zumindest. Mit vi, da ich häufig per ssh auf den Rechner zugreife, seltener Kate wenn ich direkt davor sitze Andy
Hi Andreas Am Mittwoch, 11. Oktober 2006 20:18 schrieb Andreas Schott:
Sirecopy stellt fest, welche Dateien seit dem letzten Mal verändert wurden und kopiert nur diese per FTP hoch.
rsync über ssh
Meistens zumindest. Mit vi, da ich häufig per ssh auf den Rechner zugreife, seltener Kate wenn ich direkt davor sitze
Kate kann auch mit fish://. Einfach im Datei öffnen Dialog 'fish://user@host' eingeben. Gruss Jürg
Am Mittwoch, 11. Oktober 2006 17:33 schrieb Andreas Schott:
Hallo zusammen
Ich betreibe einen Webserver (SuSE 9.3), der zum Testen meiner Seiten nur lokal erreichbar ist, intermittierend aber zu Vorführungszwecken mal per DynDNS im Netz hängt.
Nun hab ich in den Logs folgende Einträge gefunden und wollte nur wissen, ob ich diese richtig interpretiere:
[snipp Logauszug]
Jemand versucht von 69.1.250.14 mit dem FTP-User Administrator auf meinen FTP-Server zu gelangen, wird aber nach drei vergeblichen Versuchen abgelehnt, oder?
Richtig. Nach den erreichen, der maximalen Loginversuchen, hat der FTP-Server die Schnauze voll gehabt und die Loginsession abgebrochen.
Loginversuch per ssh mit User admin.
Gehe ich richtig in der Annahme, dass alle diese Dinge als eher harmlos anzusehen sind und der Rechner relativ sicher ist?
Ja, ist er. Das ist Normal. Gewöhn Dich dran. Denn das wird mehrmals vorkommen. Wenn nicht sogar täglich. Bei mir ist es schon ein morgendliches Ritual, die Logfiles zu entsorgen. Ansonsten würde irgendwann mal die Platte platzen. Bye Michael -- Es ist noch Zeit, seine Worte zu verstehen. -- Michel de Notre Dame 1503 - 1566 _____________________________________________________________________________ http://macbyte.info/ http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.17-1.2187_FC5 ICQ #151172379
participants (4)
-
Andreas Schott
-
Felix Nawroth
-
Juerg Schneider
-
Michael Raab