Re: bin ich gehackt ? - Spurensuche
Bernd Lentes schrieb: nachdem ich mich ein wenig vertröstet habe nach dem Motto "da hast Du viell. doch die Firewall runtergefahren und kannst Dich nur nicht mehr daran erinnern Hallo Bernd, ich habe bei mir auf dem Server die admintools von djb (http://cr.yp.to), eigentlich nur weil die zum von mir eingesetzten qmail gehören. Als ich mal das Problem hatte, dass bei Lastspitzen der Server stehenblieb, habe ich einfach ein Projektchen gebastelt, um das System zu überwachen. Das war unter dem Namen "run" ein perl-Skript, das regelmässig /proc ausgelesen und nach stdout gemeldet hat, wieviele Prozesse gerade (existent bzw aktiv) zu mail, spam, antivirus (auch mail), apache, sql im System waren. Ich würde vermutlich so etwas ähnliches machen, um die symlinks zu prüfen (evtl statt regelmässiger abfrage notify, allerdings beruhigt es auch, wenn man sieht dass die logeinträge regelmässig gesammelt werden) Wenn man dann mal weiss, wann das passiert, kann man dann die systemlogs absuchen Noch Kommentar zu diesen Tools: es ist erstaunlich, dass auf einem halbtoten Server diese Überwachungstools noch weiter gearbeitet haben, während in /v/l/m wie in den apache logs nichts mehr ankam... Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 hamann.w@t-online.de [22.06.2012 09:03]:
Bernd Lentes schrieb: nachdem ich mich ein wenig vertröstet habe nach dem Motto "da hast Du viell. doch die Firewall runtergefahren und kannst Dich nur nicht mehr daran erinnern
Hallo Bernd,
ich habe bei mir auf dem Server die admintools von djb (http://cr.yp.to), eigentlich nur weil die zum von mir eingesetzten qmail gehören. Als ich mal das Problem hatte, dass bei Lastspitzen der Server stehenblieb, habe ich einfach ein Projektchen gebastelt, um das System zu überwachen. Das war unter dem Namen "run" ein perl-Skript, das regelmässig /proc ausgelesen und nach stdout gemeldet hat, wieviele Prozesse gerade (existent bzw aktiv) zu mail, spam, antivirus (auch mail), apache, sql im System waren. Ich würde vermutlich so etwas ähnliches machen, um die symlinks zu prüfen (evtl statt regelmässiger abfrage notify, allerdings beruhigt es auch, wenn man sieht dass die logeinträge regelmässig gesammelt werden) Wenn man dann mal weiss, wann das passiert, kann man dann die systemlogs absuchen
Noch Kommentar zu diesen Tools: es ist erstaunlich, dass auf einem halbtoten Server diese Überwachungstools noch weiter gearbeitet haben, während in /v/l/m wie in den apache logs nichts mehr ankam...
Man kann auch Monit (von mmonit.org) installieren und die Existenz des FW-Prozesses und der Symlinks überwachen lassen. Monit mailt Dir dann, wenn sie verschwinden, startet bei entsprechender Konfiguration die FW neu und kann auch die Symlinks neu anlegen (ist ja einfach mit "insserv SuSEfirefwall2" geschehen). Ich überwache damit Printserver, SAProuter, ... Gruß Werner - -- -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.18 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAk/kPmMACgkQk33Krq8b42PGMACbBRaU8NNcxBm0NRroHoAnIyN0 yZkAn2Zmx2+CPvbEttmD5a3w8gs2LZqP =7Y6k -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
hamann.w@t-online.de
-
Werner Flamme