Hallo zusammen, auf meinem Linux 7.2 System, das Tag und Nacht läuft und auch mit fester IP am Netz hängt, treten manchmal einige Besonderheiten auf. Zum Beispiel kommt es in letzter Zeit häufiger vor, daß im Anmeldefenster ein scheinbar sinnloser Benutzername, wie z.B. "xc gvbm" steht, obwohl sich auf der console sicher niemand einloggen wollte. Die Sitzungsart ist dabei auf mwm gestellt. Meistens sind diese Benutzernamen auch viel länger. Kann sich das jemand erklären? Viele Grüsse, Ulrich Schneider
Hi, Am Dienstag, 5. November 2002 09:47 schrieb Ulrich Schneider:
Hallo zusammen, auf meinem Linux 7.2 System, das Tag und Nacht läuft und auch mit fester IP am Netz hängt, treten manchmal einige Besonderheiten auf.
Zum Beispiel kommt es in letzter Zeit häufiger vor, daß im Anmeldefenster ein scheinbar sinnloser Benutzername, wie z.B. "xc gvbm" steht, obwohl sich auf der console sicher niemand einloggen wollte. Die Sitzungsart ist dabei auf mwm gestellt. Meistens sind diese Benutzernamen auch viel länger.
Kann sich das jemand erklären?
..was soll man dazu sagen? Wer hat den user wann angelegt? /var/log ist dein Freund, bzw. sollte es werden. Da solltest du schon mal deine logfiles anschauen. übliche Werkzeuge in so einem Fall: was sagt tripwire oder aide? was sagen logfiles? was sagt chkrootkit? netstat, lsof Kann natürlich sein. das auch alle diese Werkzeuge kompromittiert sind. vielleicht solltest du den server etwas regelmäßiger kontrollieren? Also: frohes suchen! ciao dieter -- registered linuxuser 199810 it's time to close windows....
..was soll man dazu sagen? Wer hat den user wann angelegt? /var/log ist dein Freund, bzw. sollte es werden. Da solltest du schon mal deine logfiles anschauen. übliche Werkzeuge in so einem Fall: was sagt tripwire oder aide? was sagen logfiles? was sagt chkrootkit? netstat, lsof
Ich schaue meine logfiles jeden Tag an und kann eben nichts erkennen. Ich lasse doch keinen Rechner am Netz ohne die logfiles anzuschauen. tstststs Grüsse, Uli
Hi, Am Dienstag, 5. November 2002 10:28 schrieb Ulrich Schneider:
..was soll man dazu sagen? Wer hat den user wann angelegt? /var/log ist dein Freund, bzw. sollte es werden. Da solltest du schon mal deine logfiles anschauen. übliche Werkzeuge in so einem Fall: was sagt tripwire oder aide? was sagen logfiles? was sagt chkrootkit? netstat, lsof
Ich schaue meine logfiles jeden Tag an und kann eben nichts erkennen. Ich lasse doch keinen Rechner am Netz ohne die logfiles anzuschauen. tstststs
dann mal andersrum: gerade auf servern ist es unabdingbar, nach der fertigen Einrichtung tools wie aide oder tripwire installiert und konfiguriert(!) zu haben und eventuell auf eine andere Maschine zu loggen. Wir haben einen eigenen Logserver, auf dem das ganze Netz geloggt wird. Also: wenn's geht logfiles getrennt vom Maschinchen. Wenn es jetzt nicht mehr nachzuvollziehen ist was passiert ist, oder die Logs kompromittiert sind (schau mal ob du anfällige Installationen auf dem server hast, Pakete bzw, Versionen, zu denen exploits bekannt sind) haste schlechte Karten. Im günstigsten fall haste du Sicherungen, so daß du vergleichen kannst. Schau doch mal, wann dieser ominöse user angelegt wurde (logfiles), wann er sich das erste Mal eingeloggt hat, von wo? Viel Arbeit! Eventuell einfacher: Neuinstallation mit Datenübernahme, keine scripts oder ähnliches übernehmen, was du nicht kennst. ciao dieter -- registered linuxuser 199810 it's time to close windows....
Schau doch mal, wann dieser ominöse user angelegt wurde (logfiles), wann er sich das erste Mal eingeloggt hat, von wo?
Mißverständniss! Den user gibt es nicht. Er ist auch nicht angelegt worden und er hat sich nie eingeloggt. Nur im loginFenster steht das Zeugs drin. Mh, das mit der Putzfrau werde ich mal untersuchen. -- Viele Grüsse, Ulrich Schneider
* Ulrich Schneider
auf meinem Linux 7.2 System, das Tag und Nacht läuft und auch mit fester IP am Netz hängt, treten manchmal einige Besonderheiten auf.
Ich will Dich jetzt nicht provozieren, aber Du bist sicher, dass Du einen Rechner so weit absichern kannst, dass er 24/7 mit statischer Adresse ein Teil des weltweiten Datennetzes ist?
Zum Beispiel kommt es in letzter Zeit häufiger vor, daß im Anmeldefenster ein scheinbar sinnloser Benutzername, wie z.B. "xc gvbm" steht, obwohl sich auf der console sicher niemand einloggen wollte. Die Sitzungsart ist dabei auf mwm gestellt. Meistens sind diese Benutzernamen auch viel länger.
Kann sich das jemand erklären?
Die Logfiles können es. Hier mal ein Beispiel: (Ansonsten gibt es Diagnosetools, auf die Du ja bereits hingewiesen wurdest.) ,---- /var/log/messages | | Nov 5 10:21:18 comone su: (to root) andreas on /dev/pts/2 | Nov 5 10:23:26 comone su: FAILED SU (to root) andreas on /dev/pts/2 `---- Bis Du die Ursachen geklärt hast, wäre es vernünftiger, die Kiste vom Netz zu nehmen, bevor vielleicht jemand die Welt mit Spam beglückt indem er Deinen Rechner zum Verteilen benutzt o. ä.. Gruss, Andreas -- [andreas] > du -hs mutt-manual 328k mutt-manual *WOW!* [andreas] > du -hs gnus-manual 1.9M gnus-manual *GASP!*
Ich will Dich jetzt nicht provozieren, aber Du bist sicher, dass Du einen Rechner so weit absichern kannst, dass er 24/7 mit statischer Adresse ein Teil des weltweiten Datennetzes ist?
Ja, hab einen Firewall, sendmail und samba per hand konfiguriert. Port 25 ist geschlossen, wie auch alle anderen ports. Telnet und ftp sind auch abgeschaltet. Es ist nur eine ssh-verbindung (version 2) offen. Das einzige was ich noch offen habe ist ein http server, den ich aber auch demnächst abschalten will.
Die Logfiles können es. Hier mal ein Beispiel: (Ansonsten gibt es Diagnosetools, auf die Du ja bereits hingewiesen wurdest.) ,---- /var/log/messages | | Nov 5 10:21:18 comone su: (to root) andreas on /dev/pts/2 | Nov 5 10:23:26 comone su: FAILED SU (to root) andreas on /dev/pts/2 `----
Für solche Tips bin ich dankbar, aber messages habe ich bereits überprüft. Trotzdem danke. -- Viele Grüsse, Ulrich Schneider
Hallo Ulrich Am Dienstag, 5. November 2002 09:47 schrieb Ulrich Schneider:
Hallo zusammen, auf meinem Linux 7.2 System, das Tag und Nacht läuft und auch mit fester IP am Netz hängt, treten manchmal einige Besonderheiten auf.
Zum Beispiel kommt es in letzter Zeit häufiger vor, daß im Anmeldefenster ein scheinbar sinnloser Benutzername, wie z.B. "xc gvbm" steht, obwohl sich auf der console sicher niemand einloggen wollte. Die Sitzungsart ist dabei auf mwm gestellt. Meistens sind diese Benutzernamen auch viel länger.
Kann sich das jemand erklären?
Hat die Putzfrau vielleicht die Tastatur abgewischt? Da gabs doch auch mal die Geschichte mit den unerklärlichen, wiederholten Serverabstürzen zu einer bestimmten Uhrzeit. Später hat sich herausgestellt, dass die Putzfrau einfach immer den Stecker abgezogen hat, um ihren Staubsauger in Betrieb zu nehmen. :-) Gruß Achim
Am Dienstag, 5. November 2002 10:48 schrieb Achim Lehmkuhl:
Am Dienstag, 5. November 2002 09:47 schrieb Ulrich Schneider:
Hallo zusammen, auf meinem Linux 7.2 System, das Tag und Nacht läuft und auch mit fester IP am Netz hängt, treten manchmal einige Besonderheiten auf.
Zum Beispiel kommt es in letzter Zeit häufiger vor, daß im Anmeldefenster ein scheinbar sinnloser Benutzername, wie z.B. "xc gvbm" steht, obwohl sich auf der console sicher niemand einloggen wollte. Die Sitzungsart ist dabei auf mwm gestellt. Meistens sind diese Benutzernamen auch viel länger.
Kann sich das jemand erklären?
Hat die Putzfrau vielleicht die Tastatur abgewischt?
Das halte ich auch für das Wahrscheinlichste. Schon wenn man sich die Tastenkombination anschaut. Alles Tasten aus einer (der untersten) Reihe mit Ausrutscher auf die Leertaste.
Da gabs doch auch mal die Geschichte mit den unerklärlichen, wiederholten Serverabstürzen zu einer bestimmten Uhrzeit. Später hat sich herausgestellt, dass die Putzfrau einfach immer den Stecker abgezogen hat, um ihren Staubsauger in Betrieb zu nehmen.
Die Geschichte soll aber nur ein Fake sein, trotzdem ganz amüsant. Gruß Philipp -- registered Linux user number 258854 HOW-TO? -> GOTO http://counter.li.org/
Moin, Achim Lehmkuhl:
Da gabs doch auch mal die Geschichte mit den unerklärlichen, wiederholten Serverabstürzen zu einer bestimmten Uhrzeit. Später hat sich herausgestellt, dass die Putzfrau einfach immer den Stecker abgezogen hat, um ihren Staubsauger in Betrieb zu nehmen.
Philipp Zacharias:
Die Geschichte soll aber nur ein Fake sein, trotzdem ganz amüsant.
Das Problem hatten wir in meiner alten Firma regelmäßig. Dort gab es zahlreiche Ausgabegeräte, Filmrecorder, Posterdrucker, Proofer,... neben jedem stand auf dem Boden ein Postscript-RIP. Und regelmäßig Freitag Abends kam der Putztrupp, ging mit dem Schrubber schööööön weit unter'n Tisch und riß die SCSI-Kabel zwischen Drucker und Rechner raus. :-) Gruß, Ratti (In meinem Serverraum putz' nur ich.) -- http://www.gesindel.de - Fontlinge - Die Fontverwaltung fuer Linux Fontmanagement for Linux
Am Dienstag, 5. November 2002 22:16 schrieb Joerg Rossdeutscher:
(In meinem Serverraum putz' nur ich.)
Hi Ratti, so kenne ich es auch! Zu einem Serverraum hat nur ein sehr kleiner Personenkreis Zugang. Das Ding sollte verrammelt und verriegelt und mit Alarmanlage ausgestattet sein. Was haben irgendwelche Leute in einem Raum zu suchen, in dem u. U. unternehmenskritische Dienste und Daten angesiedelt sind? Gruß Achim
war's die Putzfrau?
Hallo, wir sind noch am analysieren. Zumindest hält das mein Chef für sehr wahrscheinlich (der Rechner steht in seinem Zimmer). Wir haben die Frau noch nicht getroffen, haben aber einen Zettel auf die Tastatur gelegt. Ich melde mich wieder. Aber Du hast schon recht, das ist echt die Erklärung, die am meisten Sinn macht. Wie unsensibel diese Reinamchefrauen gegenüber elektronischen Geräten sind. tststs -- Viele Grüsse, Ulrich Schneider
Hallo Ulrich! Am Donnerstag, 7. November 2002 09:44 schrieb Ulrich Schneider:
war's die Putzfrau?
Hallo, wir sind noch am analysieren. Zumindest hält das mein Chef für sehr wahrscheinlich (der Rechner steht in seinem Zimmer). Wir haben die Frau noch nicht getroffen, haben aber einen Zettel auf die Tastatur gelegt. Ich melde mich wieder. Aber Du hast schon recht, das ist echt die Erklärung, die am meisten Sinn macht. Wie unsensibel diese Reinamchefrauen gegenüber elektronischen Geräten sind. tststs
Noch schlimmer sind übrigens Fensterputztrupps. Da gibts dann immer ausgerissene Netzwerkkabel und ähnlich schlimmes. Bei denen muss es schnell gehen. Die nehmen keine Rücksicht auf Verluste. Gruß Achim
Hi @all From: Achim Lehmkuhl
Hallo Ulrich!
Am Donnerstag, 7. November 2002 09:44 schrieb Ulrich Schneider:
war's die Putzfrau?
Noch schlimmer sind übrigens Fensterputztrupps. Da gibts dann immer ausgerissene Netzwerkkabel und ähnlich schlimmes. Bei denen muss es schnell gehen. Die nehmen keine Rücksicht auf Verluste.
hehe... in einem Vertriebszentrum von Volkswagen ist mal vor ca. 20 Jahren ein Fensterputzer durch die Glasscheibe des Serverraumes gekracht und direkt auf den Strom-Notschalter!!! Fragt man sich wofür da ein Notschalter war und... ...warum muß man sich beim Fensterputzen so gegen eine Scheibe lehnen *grööööhl* CU Ede
participants (7)
-
Achim Lehmkuhl
-
Andreas Kneib
-
dieter franzke
-
Gamundia.Dentalprodukte@t-online.de
-
Joerg Rossdeutscher
-
Philipp Zacharias
-
Ulrich Schneider