Instale Squid y cuando trato de correrlo con squid -z consigo este error 2005/01/04 20:40:22| Creating Swap Directories FATAL: Failed to make swap directory /usr/local/squid/var/cache: (13) Permission denied Squid Cache (Version 2.5.STABLE7): Terminated abnormally. CPU Usage: 0.002 seconds = 0.000 user + 0.002 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 9 Lo trato de hacer como root e igual Alguien puede decirme por q? *-------------------------------------------------------* *-Edwin Quijada *-Developer DataBase *-JQ Microsistemas *-809-747-2787 * " Si deseas lograr cosas excepcionales debes de hacer cosas fuera de lo comun" *-------------------------------------------------------* _________________________________________________________________ MSN Amor: busca tu ½ naranja http://latam.msn.com/amor/
Edwin Quijada wrote:
Instale Squid y cuando trato de correrlo con squid -z consigo este error
2005/01/04 20:40:22| Creating Swap Directories FATAL: Failed to make swap directory /usr/local/squid/var/cache: (13) Permission denied Squid Cache (Version 2.5.STABLE7): Terminated abnormally. CPU Usage: 0.002 seconds = 0.000 user + 0.002 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 9
Lo trato de hacer como root e igual Alguien puede decirme por q?
Hola Edwin. La partición donde reside la cache debe pertenecer al usuario squid y poder ser leida por el grupo nogroup. Saludos, Jean-François -- Este mensaje ha sido analizado por STEP On Line en busca de virus y otros contenidos peligrosos, y se considera que está limpio. 902 10 18 43
Hola a todos! Compañeros de batalla contra esos cabrones que nos intentan fastidiar los sistemas, necesito ayuda. Tengo un server con apache,ftp y tal y tal. Durante estas vacaciones, se ha estado reiniciando sin motivo, unas 3 veces por semana o asi. Dejando por lo tanto sin servicio a mis alojados. Mirando /var/log/messages veo que se han colado muchisimas personas por ssh ( si, el que dicen que es protocolo seguro ). Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la misma ip ) se han colado en el sistema. La sintaxis del log es algo asin: illegal user pattirick from :fff.256.32.15.12 Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE HAN PODIDO ACCEDER. De momento he quitado sshd pero esa no es la solucion, un saludo. _________________________________________________________________ Dale rienda suelta a tu tiempo libre. Encuentra mil ideas para exprimir tu ocio con MSN Entretenimiento. http://entretenimiento.msn.es/
Historiadores creen que en la fecha Wed, 05 Jan 2005 12:17:05 +0000
"Jesus Antolin Garcia"
Hola a todos!
Compañeros de batalla contra esos cabrones que nos intentan fastidiar los sistemas, necesito ayuda. Tengo un server con apache,ftp y tal y tal. Durante estas vacaciones, se ha estado reiniciando sin motivo, unas 3 veces por semana o asi.
busca algun rootkit y verifica tu sistema... revisa los registros !!!!
Dejando por lo tanto sin servicio a mis alojados. Mirando /var/log/messages veo que se han colado muchisimas personas por ssh ( si, el que dicen que es protocolo seguro ).
Se no es ssh seguro, que otro software sera ??? Se entraron en tu computadora, tengo case que absoluta certeza de que no fue por un fallo en SSH (a no ser que tengas un sistema muy desactualizado), posiblemente : 1 - entraron aprovechando algun fallo en el servidro apache o ftp (sabes tu que ftp, es extremamente inseguro??? ) 2 - algun usuario valido en el sistema decidio juguetear con tuyo servidor !!!
Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la misma ip ) se han colado en el sistema. La sintaxis del log es algo asin: illegal user pattirick from :fff.256.32.15.12 Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE HAN PODIDO ACCEDER.
aver .. creo que entiendes mal !!! segun el log que tu pasaste arriba, ta informando que _intentaron_ acceder a tu maquina con el usuario pattirick, mas este usuario no existe (illegal user).. o sea, simplesmente hiceron una tentativa de login, mas no resulto !!! Se fuera de la manera que tu piensas que es, estaría yo en problemas: cerberos:/var/log# cat auth.log | grep Illegal | wc -l 10133 bye -- Victor Hugo dos Santos Linux Counter #224399 Puerto Montt - Chile "Inmortalidad: Privilegio de los muertos que dejaron huellas." -- Henry Ford
El Miércoles, 5 de Enero de 2005 13:17, Jesus Antolin Garcia escribió:
Compañeros de batalla contra esos cabrones que nos intentan fastidiar los sistemas, necesito ayuda. Tengo un server con apache,ftp y tal y tal. Durante estas vacaciones, se ha estado reiniciando sin motivo, unas 3 veces por semana o asi. Dejando por lo tanto sin servicio a mis alojados. Mirando /var/log/messages veo que se han colado muchisimas personas por ssh ( si, el que dicen que es protocolo seguro ).
* Pues infinitamente mas seguro que apache, ftp y tal y tal , siempre hay un motivo, hay que encontrarlo, chequeo de wtmp, lastlog, verificar arpwatch y acct si se tienen en marcha, ver como estan de espacio las particiones, si los ventiladores funcionan, chequeo de memoria, etc...., ver los historicos .bash_history de los usuarios, etc..., instalar samhain y rkhunter, chrootear los usuarios de ssh paquete chroot_ssh en sourceforge, o con compartm.
Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la misma ip ) se han colado en el sistema. La sintaxis del log es algo asin: illegal user pattirick from
:fff.256.32.15.12
Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE HAN PODIDO ACCEDER. De momento he quitado sshd pero esa no es la solucion, un saludo.
* Con esta informacion no se te puede ayudar, ni quiere decir nada, permite el acceso por ssh desde ip conocidas con tcp-wrappers, ¿estas seguro que el culpable es ssh?, lo veo dificil salvo horrenda configuracion o paquetes de software antiguos con bugs.
El 2005-01-05 a las 12:17 -0000, Jesus Antolin Garcia escribió:
Mirando /var/log/messages veo que se han colado muchisimas personas por ssh ( si, el que dicen que es protocolo seguro ). Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la misma ip ) se han colado en el sistema. La sintaxis del log es algo asin: illegal user pattirick from :fff.256.32.15.12
Tsk, tsk... hay que leer bien los mensajes. Te dice que es un "usuario ilegal", o sea, que no le ha permitido entrar.
Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE HAN PODIDO ACCEDER.
No, que han intentado entrar con un usuario inexistente o ilegal.
De momento he quitado sshd pero esa no es la solucion, un saludo.
Esos ataques son bastante conocidos y han salido en las listas de seguridad hace _meses_. Deberías leerlas. Simplemente intentan encontrar nombres de usuario existentes en un sistema determinado (como admin), y una vez encontrado un usuario existente (se determina por el diferente tiempo de respuesta del ssh según el usuario exista o no exista antes de pedir la pasword), entonces lanzan un ataque de diccionario contra ese servidor. La solución es desabilitar la entrada a ssh por palabra clave, y hacerlo por llave criptografica - si es que necesitas usar ssh desde cualquier IP. En caso contrario, limita las IPs que puedan conectarse a tu sistema. -- Saludos Carlos Robinson
¿Recordais esto? El 2005-01-05 a las 21:48 +0100, escribí:
El 2005-01-05 a las 12:17 -0000, Jesus Antolin Garcia escribió:
Mirando /var/log/messages veo que se han colado muchisimas personas por ssh ( si, el que dicen que es protocolo seguro ). Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la misma ip ) se han colado en el sistema. La sintaxis del log es algo asin: illegal user pattirick from :fff.256.32.15.12
Tsk, tsk... hay que leer bien los mensajes. Te dice que es un "usuario ilegal", o sea, que no le ha permitido entrar.
Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE HAN PODIDO ACCEDER.
No, que han intentado entrar con un usuario inexistente o ilegal.
De momento he quitado sshd pero esa no es la solucion, un saludo.
Esos ataques son bastante conocidos y han salido en las listas de seguridad hace _meses_. Deberías leerlas. Simplemente intentan encontrar nombres de usuario existentes en un sistema determinado (como admin), y una vez encontrado un usuario existente (se determina por el diferente tiempo de respuesta del ssh según el usuario exista o no exista antes de pedir la pasword), entonces lanzan un ataque de diccionario contra ese servidor.
La solución es desabilitar la entrada a ssh por palabra clave, y hacerlo por llave criptografica - si es que necesitas usar ssh desde cualquier IP. En caso contrario, limita las IPs que puedan conectarse a tu sistema.
Bueno, pues ya hay un parche, mediante YOU. |openssh - Secure shell client and server (remote login program) | |This update of openssh fixes a possible timing-attack that could be |abused remotely to determine user-names (CAN-2003-0190). Additionally the |output of failing PAM sessions will now be displayed and the |terminal-setting for aborted login-sessions will get restored correctly. No lo he instalado todavía, pero a los que teneis servidores con IP fija os interesa cantidubi. -- Saludos Carlos Robinson
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Mirando /var/log/messages veo que se han colado muchisimas personas por ssh ( si, el que dicen que es protocolo seguro ).
* Si, lo es. Y muchísimo. Ahora bien, si se configura mal (accesos a root permitidos, concurrencia de accesos elevada.... etc) no es problema del aplicativo, sino del administrador. Tampoco es perfecto claro: uno tiene que estar al día de los bugs, parches y demás. Bugtraq mismo tiene una lista reservada a secure shell ;)
Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la misma ip ) se han colado en el sistema. La sintaxis del log es algo asin: illegal user pattirick from :fff.256.32.15.12 Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE HAN PODIDO ACCEDER.
* Ese log lo que te informa es que, precisamente, han habido intentos NO CONSEGUIDOS de logueo. Es más que normal (bienvenido a la Red!!!). En mi script de iptables cargo un fichero externo que contiene IPs que serán baneadas. Cuando veo que cualquier IP tiene varios intentos de acceso ilegal, pues la incluyo y adiós problemas. Además, te recuerdo que ssh pemite varias opciones de atunticación. Revísalas, pues pueden ser más o menos permisivas. - -- ¡Share your knowledge! Linux user id 332494 # http://counter.li.org/ PGP id 0xC5ABA76A # http://pgp.mit.edu/ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFB3HhNVW601sWrp2oRAoO8AJ9JPBMB6VmwNzWBFOISRuDQcGLuCACfckA1 dRmG9jSM+stbUZLm+d1+c4I= =r8Te -----END PGP SIGNATURE-----
El 2005-01-06 a las 00:29 +0100, Aquiles escribió:
* Ese log lo que te informa es que, precisamente, han habido intentos NO CONSEGUIDOS de logueo. Es más que normal (bienvenido a la Red!!!). En mi script de iptables cargo un fichero externo que contiene IPs que serán baneadas. Cuando veo que cualquier IP tiene varios intentos de acceso ilegal, pues la incluyo y adiós problemas.
Mmmm... sería intersante un proceso automático que cuando viera intentos raros de conexión, automáticamente bloqueara esa IP por un tiempo configurable. Puede que hasta exista :-? -- Saludos Carlos Robinson
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Mmmm... sería intersante un proceso automático que cuando viera intentos raros de conexión, automáticamente bloqueara esa IP por un tiempo configurable. Puede que hasta exista :-?
* Yo de shell-scripting poco, pero lo suficiente para saber que pueden hacerse maravillas. Así a bote pronto estoy pensando en algún grep leyendóse el /var/log/messages y creando un contador cuando encuentre determinada cadena que contenga "Illegal user"; combinado con cron y tal... Sería cuestión de buscarlo. - -- ¡Share your knowledge! Linux user id 332494 # http://counter.li.org/ PGP id 0xC5ABA76A # http://pgp.mit.edu/ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFB3PhIVW601sWrp2oRAqzhAKCgo0joMbNQkJRjl6HyiaA0+YrWbwCgmm9i 15jzM6TgmFznZYh8J3WCZSU= =5ps6 -----END PGP SIGNATURE-----
Historiadores creen que en la fecha Thu, 6 Jan 2005 04:11:31 +0100 (CET)
"Carlos E. R."
El 2005-01-06 a las 00:29 +0100, Aquiles escribió:
* Ese log lo que te informa es que, precisamente, han habido intentos NO CONSEGUIDOS de logueo. Es más que normal (bienvenido a la Red!!!). En mi script de iptables cargo un fichero externo que contiene IPs que serán baneadas. Cuando veo que cualquier IP tiene varios intentos de acceso ilegal, pues la incluyo y adiós problemas.
Mmmm... sería intersante un proceso automático que cuando viera intentos raros de conexión, automáticamente bloqueara esa IP por un tiempo configurable. Puede que hasta exista :-?
snort+ guardian !! bye -- Victor Hugo dos Santos Linux Counter #224399 Puerto Montt - Chile Existen 10 tipos de personas en el mundo: Las que saben binario y las que no! -- www.frases.com
--- Victor Hugo dos Santos
Historiadores creen que en la fecha Thu, 6 Jan 2005 04:11:31 +0100 (CET) "Carlos E. R."
escribio: El 2005-01-06 a las 00:29 +0100, Aquiles escribió:
* Ese log lo que te informa es que,
CONSEGUIDOS de logueo. Es más que normal (bienvenido a la Red!!!). En mi script de iptables cargo un fichero externo que contiene IPs que serán baneadas. Cuando veo que cualquier IP tiene varios intentos de acceso ilegal, pues la incluyo y adiós
precisamente, han habido intentos NO problemas.
Mmmm... sería intersante un proceso automático que
cuando viera intentos
raros de conexión, automáticamente bloqueara esa IP por un tiempo configurable. Puede que hasta exista :-?
snort+ guardian !!
bye
Chequea Sentry tools (portsentry, hostsentry, checklog). ===== Gracias. Atentamente, CARLOS ARTURO TRUJILLO SILVA _________________________________________________________ Do You Yahoo!? Información de Estados Unidos y América Latina, en Yahoo! Noticias. Visítanos en http://noticias.espanol.yahoo.com
Hablas de toda la particion o solo de la carpeta donde esta Squid=/usr/local/squid??? *-------------------------------------------------------* *-Edwin Quijada *-Developer DataBase *-JQ Microsistemas *-809-747-2787 * " Si deseas lograr cosas excepcionales debes de hacer cosas fuera de lo comun" *-------------------------------------------------------*
From: Jean-François Bach
To: suse-linux-s@suse.com Subject: Re: [suse-linux-s] Squid y permisos Date: Wed, 05 Jan 2005 11:01:31 +0000 Edwin Quijada wrote:
Instale Squid y cuando trato de correrlo con squid -z consigo este error
2005/01/04 20:40:22| Creating Swap Directories FATAL: Failed to make swap directory /usr/local/squid/var/cache: (13) Permission denied Squid Cache (Version 2.5.STABLE7): Terminated abnormally. CPU Usage: 0.002 seconds = 0.000 user + 0.002 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 9
Lo trato de hacer como root e igual Alguien puede decirme por q?
Hola Edwin.
La partición donde reside la cache debe pertenecer al usuario squid y poder ser leida por el grupo nogroup.
Saludos,
Jean-François
-- Este mensaje ha sido analizado por STEP On Line en busca de virus y otros contenidos peligrosos, y se considera que está limpio. 902 10 18 43
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
_________________________________________________________________ Charla con tus amigos en línea mediante MSN Messenger: http://messenger.latam.msn.com/
Edwin Quijada wrote:
Hablas de toda la particion o solo de la carpeta donde esta Squid=/usr/local/squid??? *-------------------------------------------------------
No tomé el tiempo suficiente de releerme, con las prisas :-) El directorio chown squid /usr/local/squid/cache/ chmod 755 /usr/local/squid/cache/ Saludos, Jean-François -- Este mensaje ha sido analizado por STEP On Line en busca de virus y otros contenidos peligrosos, y se considera que está limpio. 902 10 18 43
Edwin Quijada wrote:
Instale Squid y cuando trato de correrlo con squid -z consigo este error
2005/01/04 20:40:22| Creating Swap Directories FATAL: Failed to make swap directory /usr/local/squid/var/cache: (13) Permission denied Squid Cache (Version 2.5.STABLE7): Terminated abnormally. CPU Usage: 0.002 seconds = 0.000 user + 0.002 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 9
Lo trato de hacer como root e igual Alguien puede decirme por q?
Permisologia incorrecta en ese directorio Debe ser asi 750 squid root -- ------------------------------------------------------ Una prensa libre es el gran enemigo de los dictadores. Independientemente de sus abusos, sus debilidades, sus errores. Una prensa libre es la gran aliada y defensora de la democracia. Charlos S. Shapiro Embajador de USA en la Rep. de Venezuela Martes, 20 de Mayo 2003
participants (9)
-
Aquiles
-
Carlos E. R.
-
Cartman
-
Edwin Quijada
-
Hipolito A. Gonzalez M.
-
Jean-François Bach
-
Jesus Antolin Garcia
-
jose maria
-
Victor Hugo dos Santos