Hallo, als ich heute Nachmittag an meinen Rechner ging, waren ein paar Programme an, die ich nicht gestartet hatte. daraufhin habe ich in der /var/log/messages nachgeschaut, und dort ein paar verdächtige Meldungen gefunden: darauf hat ein grep ssh /var/log/messages folgendes im Anhang stehendes Resultat gegeben. Scheinbar hat jemand bereits seit ein paar Tagen versucht bei mir einzubrechen. Und heute hat er es geschafft. Ausserdem bemerke ich seit ein paar Tagen, dass Mails von Leuten zurückkommen, die ich gar nicht kenne. Die Mails habe ich allerdings tatsächlich geschrieben. Was tun? Gruss Karl ____________________________________________________________ Jan 27 07:03:36 linux sshd[2664]: Did not receive identification string=20 from ::ffff:83.64.23.58 Jan 27 07:10:32 linux sshd[2665]: Illegal user jordan from ::ffff:83.64.23.= 58 Jan 27 07:10:32 linux sshd[2665]: input_userauth_request: illegal user jord= an Jan 27 07:10:33 linux sshd[2665]: reverse mapping checking getaddrinfo for= =20 ns1.ulrichseidl.com failed - POSSIBLE BREAKIN ATTEMPT! Jan 27 07:10:33 linux sshd[2665]: Failed password for illegal user jordan=20 from ::ffff:83.64.23.58 port 37082 ssh2 Jan 27 07:10:33 linux sshd[2665]: Connection closed by ::ffff:83.64.23.58 Jan 27 10:26:07 linux sshd[1379]: Received signal 15; terminating. Jan 27 10:41:58 linux sshd[1300]: Server listening on :: port 22. Jan 27 22:47:47 linux sshd[1300]: Received signal 15; terminating. Jan 28 10:43:35 linux sshd[1315]: Server listening on :: port 22. Jan 29 00:52:59 linux sshd[1315]: Received signal 15; terminating. Jan 29 19:30:17 linux sshd[1218]: Server listening on :: port 22. Jan 29 19:58:50 linux sshd[1218]: Received signal 15; terminating. Jan 30 18:13:35 linux sshd[1300]: Server listening on :: port 22. Jan 30 19:28:23 linux sshd[1300]: Received signal 15; terminating. Jan 31 00:45:06 linux sshd[1300]: Server listening on :: port 22. Jan 31 01:14:24 linux sshd[1300]: Received signal 15; terminating. Jan 31 14:22:48 linux sshd[1218]: Server listening on :: port 22. Jan 31 16:16:02 linux sshd[1218]: Received signal 15; terminating. Jan 31 17:15:15 linux sshd[1300]: Server listening on :: port 22. =46eb 1 03:53:11 linux sshd[6056]: Did not receive identification string=20 from ::ffff:209.152.182.194 =46eb 1 04:00:05 linux sshd[6080]: Illegal user jordan=20 from ::ffff:209.152.182.194 =46eb 1 04:00:05 linux sshd[6080]: input_userauth_request: illegal user jo= rdan =46eb 1 04:00:05 linux sshd[6080]: Failed password for illegal user jordan= =20 from ::ffff:209.152.182.194 port 54998 ssh2 =46eb 1 04:00:05 linux sshd[6080]: Received disconnect=20 from ::ffff:209.152.182.194: 11: Bye Bye =46eb 1 04:00:06 linux sshd[6081]: Illegal user michael=20 from ::ffff:209.152.182.194 =46eb 1 04:00:06 linux sshd[6081]: input_userauth_request: illegal user mi= chael =46eb 1 04:00:06 linux sshd[6081]: Failed password for illegal user michae= l=20 from ::ffff:209.152.182.194 port 55198 ssh2 =46eb 1 04:00:06 linux sshd[6081]: Received disconnect=20 from ::ffff:209.152.182.194: 11: Bye Bye =46eb 1 04:00:07 linux sshd[6082]: Illegal user nicole=20 from ::ffff:209.152.182.194 =46eb 1 04:00:07 linux sshd[6082]: input_userauth_request: illegal user ni= cole =46eb 1 04:00:07 linux sshd[6082]: Failed password for illegal user nicole= =20 from ::ffff:209.152.182.194 port 55452 ssh2 =46eb 1 04:00:08 linux sshd[6082]: Received disconnect=20 from ::ffff:209.152.182.194: 11: Bye Bye =46eb 1 04:00:09 linux sshd[6083]: Illegal user daniel=20 from ::ffff:209.152.182.194 =46eb 1 04:00:09 linux sshd[6083]: input_userauth_request: illegal user da= niel =46eb 1 04:00:09 linux sshd[6083]: Failed password for illegal user daniel= =20 from ::ffff:209.152.182.194 port 55674 ssh2 =46eb 1 04:00:09 linux sshd[6083]: Received disconnect=20 from ::ffff:209.152.182.194: 11: Bye Bye =46eb 1 04:00:10 linux sshd[6084]: Illegal user andrew=20 from ::ffff:209.152.182.194 =46eb 1 04:00:10 linux sshd[6084]: input_userauth_request: illegal user an= drew =46eb 1 04:00:10 linux sshd[6084]: Failed password for illegal user andrew= =20 from ::ffff:209.152.182.194 port 55838 ssh2 =46eb 1 04:00:10 linux sshd[6084]: Received disconnect=20 from ::ffff:209.152.182.194: 11: Bye Bye =46eb 1 04:00:11 linux sshd[6085]: Illegal user nathan=20 from ::ffff:209.152.182.194 =46eb 1 04:00:11 linux sshd[6085]: input_userauth_request: illegal user na= than =46eb 1 04:00:11 linux sshd[6085]: Failed password for illegal user nathan= =20 from ::ffff:209.152.182.194 port 56030 ssh2 =46eb 1 04:00:11 linux sshd[6085]: Received disconnect=20 from ::ffff:209.152.182.194: 11: Bye Bye =46eb 1 04:00:13 linux sshd[6086]: Illegal user matthew=20 from ::ffff:209.152.182.194 =46eb 1 04:00:13 linux sshd[6086]: input_userauth_request: illegal user ma= tthew =46eb 1 04:00:13 linux sshd[6086]: Failed password for illegal user matthe= w=20 from ::ffff:209.152.182.194 port 56293 ssh2 =46eb 1 04:00:13 linux sshd[6086]: Received disconnect=20 from ::ffff:209.152.182.194: 11: Bye Bye [.....] Apr 12 01:55:19 linux sshd[1329]: Received signal 15; terminating. Apr 12 10:49:07 linux sshd[1329]: Server listening on :: port 22. Apr 12 15:04:10 linux sshd[1329]: Received signal 15; terminating. Apr 12 15:23:25 linux sshd[1328]: Server listening on :: port 22. Apr 12 16:32:43 linux sshd[1328]: Received signal 15; terminating. Apr 12 20:27:33 linux sshd[1330]: Server listening on :: port 22. Apr 12 21:58:51 linux sshd[1330]: Received signal 15; terminating. Apr 12 23:22:41 linux sshd[1329]: Server listening on :: port 22. Apr 12 23:48:56 linux sshd[1329]: Received signal 15; terminating. Apr 13 09:11:36 linux sshd[1333]: Server listening on :: port 22. Apr 13 19:43:34 linux sshd[1333]: Received signal 15; terminating. Apr 13 22:26:08 linux sshd[1233]: Server listening on :: port 22. Apr 13 22:52:10 linux sshd[1233]: Received signal 15; terminating. Apr 13 23:04:48 linux sshd[1386]: Server listening on :: port 22. Apr 13 23:40:52 linux sshd[1386]: Received signal 15; terminating. Apr 14 00:02:38 linux sshd[1386]: Server listening on :: port 22.
Hallo, Am Fri, 15 Apr 2005, Karl Sinn schrieb:
als ich heute Nachmittag an meinen Rechner ging, waren ein paar Programme an, die ich nicht gestartet hatte.
Welche?
daraufhin habe ich in der /var/log/messages nachgeschaut, und dort ein paar verdächtige Meldungen gefunden: darauf hat ein
grep ssh /var/log/messages
folgendes im Anhang stehendes Resultat gegeben.
Scheinbar hat jemand bereits seit ein paar Tagen versucht bei mir einzubrechen. Und heute hat er es geschafft.
Und wo siehst du da einen Einbruch? Ich seh da nur ein paar Versuche.
Jan 27 07:10:33 linux sshd[2665]: reverse mapping checking getaddrinfo for= =20 ns1.ulrichseidl.com failed - POSSIBLE BREAKIN ATTEMPT!
Meinst du das? Das ist nur ein zusaetzlicher Hinweis. Also in den von dir gemailten Meldungen sehe ich nix. -dnh -- "Absolute power corrupts absolutely. Which is a problem. If you're powerless." -- Drago Museveni, "Manifesto" CY 8433
Hallo David, Am Freitag, 15. April 2005 01:45 schrieb David Haller:
als ich heute Nachmittag an meinen Rechner ging, waren ein paar Programme an, die ich nicht gestartet hatte.
Welche?
Kann ich nicht genau sagen, war meine Freundin, und die hat alles weggeklickt. Muss aber entweder der Konqueror oder Xine mit einem Porno gewesen sein. Heute Morgen finde ich, folgendes in meiner /var/log/messages: ______________________________________________________________Apr 15 04:15:35 linux syslogd 1.4.1: restart. Apr 15 04:42:24 linux -- MARK -- Apr 15 04:59:00 linux /USR/SBIN/CRON[13194]: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly) Apr 15 05:22:24 linux -- MARK -- Apr 15 05:42:24 linux -- MARK -- Apr 15 05:59:00 linux /USR/SBIN/CRON[13411]: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly) Apr 15 06:22:24 linux -- MARK -- Apr 15 06:42:24 linux -- MARK -- Apr 15 06:59:00 linux /USR/SBIN/CRON[13614]: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly) Apr 15 07:22:24 linux -- MARK -- Apr 15 07:42:24 linux -- MARK -- Apr 15 07:59:00 linux /USR/SBIN/CRON[13825]: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly) Apr 15 08:22:24 linux -- MARK -- Apr 15 08:42:24 linux -- MARK -- Apr 15 08:59:00 linux /USR/SBIN/CRON[14027]: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly) Apr 15 09:22:24 linux -- MARK -- Apr 15 09:42:24 linux -- MARK -- Apr 15 09:59:00 linux /USR/SBIN/CRON[14231]: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly) Apr 15 10:22:24 linux -- MARK -- Apr 15 10:42:24 linux -- MARK -- Apr 15 10:48:56 linux su: (to root) Karl on /dev/pts/6 Apr 15 10:48:56 linux su: pam_unix2: session started for user root, service su Apr 15 10:51:57 linux su: pam_unix2: session finished for user root, service su Apr 15 10:52:03 linux su: (to root) Karl on /dev/pts/6 Apr 15 10:52:03 linux su: pam_unix2: session started for user root, service su ____________________________________________________________________ Kommentar:Ich bin um 1 Uhr ins Bett, und um 4 macht der Rechner einen Restart??? Ist das Hinweis genug?? Ich hänge mal ein ps -A an, vielleicht ist da ein verdächtiger Prozess. Einen Prozess habe ich schon gekillt, er hies krand... oder kgrand..., irgenwie sowas. Gruss Karl ____________________________________________________ PID TTY TIME CMD 1 ? 00:00:04 init 2 ? 00:00:00 keventd 3 ? 00:00:00 kapmd 4 ? 00:00:00 ksoftirqd_CPU0 5 ? 00:00:08 kswapd 6 ? 00:00:00 bdflush 7 ? 00:00:01 kupdated 8 ? 00:00:01 kinoded 9 ? 00:00:00 mdrecoveryd 12 ? 00:00:02 kreiserfsd 373 ? 00:00:00 lvm-mpd 804 ? 00:00:00 eth0 856 ? 00:00:00 dhcpcd 938 ? 00:00:00 syslogd 941 ? 00:00:00 klogd 1000 ? 00:00:00 khubd 1129 ? 00:00:00 resmgrd 1172 ? 00:00:00 portmap 1257 ? 00:00:00 cannaserver 1343 ? 00:00:00 mysqld_safe 1376 ? 00:00:00 mysqld 1383 ? 00:00:00 smpppd 1391 ? 00:00:00 mysqld 1394 ? 00:00:00 mysqld 1395 ? 00:00:00 pure-ftpd 1551 ? 00:00:01 cupsd 1593 ? 00:00:00 hfaxd 1594 ? 00:00:00 faxq 1875 ? 00:00:00 cron 1878 ? 00:00:00 nscd 1879 ? 00:00:00 nscd 1880 ? 00:00:00 nscd 1881 ? 00:00:00 nscd 1882 ? 00:00:00 nscd 1883 ? 00:00:00 nscd 1884 ? 00:00:00 nscd 1885 ? 00:00:00 httpd2-prefork 1900 ? 00:00:00 httpd2-prefork 1901 ? 00:00:00 httpd2-prefork 1902 ? 00:00:00 httpd2-prefork 1903 ? 00:00:00 httpd2-prefork 1904 ? 00:00:00 httpd2-prefork 1977 ? 00:00:00 kdm 2028 ? 00:42:03 X 2029 ? 00:00:00 kdm 2031 tty1 00:00:00 mingetty 2032 tty2 00:00:00 mingetty 2033 tty3 00:00:00 mingetty 2034 tty4 00:00:00 mingetty 2035 tty5 00:00:00 mingetty 2036 tty6 00:00:00 mingetty 2042 ? 00:00:00 startkde 2090 ? 00:00:01 kdeinit 2093 ? 00:00:02 kdeinit 2095 ? 00:00:00 kdeinit 2098 ? 00:00:37 kdeinit 2103 ? 00:00:00 kdeinit 2104 ? 00:00:00 kdeinit 2105 ? 00:00:08 kdeinit 2106 ? 00:00:00 kdeinit 2110 ? 00:00:00 kdeinit 2116 ? 00:00:01 kdeinit 2122 ? 00:00:02 artsd 2123 ? 00:00:00 kwrapper 2125 ? 00:00:00 kdeinit 2126 ? 00:00:17 kdeinit 2128 ? 00:00:10 kdeinit 2130 ? 00:02:20 kdeinit 2135 ? 00:00:04 kdeinit 2137 ? 00:00:01 kamix 2140 ? 00:00:01 oooqs 2167 ? 00:00:01 kwalletmanager 2176 ? 00:00:00 kalarmd 2178 ? 00:20:04 kopete 2208 ? 00:00:00 kopete 2223 ? 00:00:01 kdeinit 2558 ? 02:33:42 amule 2559 ? 00:00:00 amule 2921 ? 00:05:44 kmail 6889 ? 00:00:00 ispell 8469 ? 00:00:00 httpd2-prefork 8738 ? 00:01:32 X 8739 ? 00:00:00 kdm 8752 ? 00:00:00 startkde 8797 ? 00:00:00 kdeinit 8800 ? 00:00:00 kdeinit 8802 ? 00:00:00 kdeinit 8805 ? 00:00:15 kdeinit 8809 ? 00:00:00 kdeinit 8810 ? 00:00:00 kdeinit 8811 ? 00:00:00 kdeinit 8812 ? 00:00:00 kdeinit 8820 ? 00:00:01 kdeinit 8822 ? 00:00:00 kdeinit 8823 ? 00:00:01 artsd 8824 ? 00:00:00 kwrapper 8826 ? 00:00:00 kdeinit 8827 ? 00:00:03 kdeinit 8829 ? 00:00:02 kdeinit 8831 ? 00:00:05 kdeinit 8832 ? 00:00:00 kdeinit 8835 ? 00:00:02 kdeinit 8839 ? 00:00:01 kinternet 8842 ? 00:00:00 kwalletmanager 8844 ? 00:00:01 korgac 8847 ? 00:13:52 kopete 8934 ? 00:00:00 kopete 8975 ? 00:00:13 kdeinit 9007 ? 00:00:00 ispell 9270 ? 00:00:29 akregator 9273 ? 00:00:00 kdeinit 12646 ? 00:00:05 soffice.bin 12666 ? 00:00:00 soffice.bin 12667 ? 00:00:00 soffice.bin 12668 ? 00:00:00 soffice.bin 12669 ? 00:00:00 soffice.bin 14410 ? 00:00:02 kdeinit 14411 pts/6 00:00:00 bash 14461 pts/6 00:00:00 su 14462 pts/6 00:00:00 bash 14481 ? 00:00:00 ispell 14483 ? 00:00:00 kdeinit 14484 ? 00:00:00 kdeinit 14485 ? 00:00:00 kdeinit 14486 ? 00:00:00 kdeinit 14488 ? 00:00:00 kdeinit 14492 ? 00:00:00 kdeinit 14493 ? 00:00:00 kdeinit 14494 ? 00:00:00 kdeinit 14535 ? 00:00:00 kdeinit 14536 ? 00:00:00 kdeinit 14537 ? 00:00:00 kdeinit 14538 ? 00:00:00 kdeinit 14539 ? 00:00:00 kdeinit 14540 ? 00:00:00 kdeinit 14541 ? 00:00:00 kdeinit 14542 ? 00:00:00 kdeinit 14587 ? 00:00:00 usb-storage-0 14588 ? 00:00:00 scsi_eh_1 14619 pts/6 00:00:00 ps
Hallo Karl, Karl Sinn schrieb:
Hallo David,
Am Freitag, 15. April 2005 01:45 schrieb David Haller:
als ich heute Nachmittag an meinen Rechner ging, waren ein paar Programme an, die ich nicht gestartet hatte.
Welche?
Kann ich nicht genau sagen, war meine Freundin, und die hat alles weggeklickt. Muss aber entweder der Konqueror oder Xine mit einem Porno gewesen sein.
Heute Morgen finde ich, folgendes in meiner /var/log/messages:
______________________________________________________________Apr 15 04:15:35 linux syslogd 1.4.1: restart.
...
Kommentar:Ich bin um 1 Uhr ins Bett, und um 4 macht der Rechner einen Restart???
das ist noch kein Zeichen für einen Neustart des Rechners. Der syslog wird z.B. dann neu gestartet, wenn logrotate gelaufen ist. Sieh mal nach, was da für cron-Jobs durchgeführt wurden...
Ist das Hinweis genug??
Nein. ;-) Gruß Martin
On Friday 15 April 2005 10:13, Hans-Martin Flesch wrote:
Heute Morgen finde ich, folgendes in meiner /var/log/messages:
______________________________________________________________Apr 15 04:15:35 linux syslogd 1.4.1: restart.
...
Kommentar:Ich bin um 1 Uhr ins Bett, und um 4 macht der Rechner einen Restart???
das ist noch kein Zeichen für einen Neustart des Rechners. Der syslog wird z.B. dann neu gestartet, wenn logrotate gelaufen ist. Sieh mal nach, was da für cron-Jobs durchgeführt wurden...
$ uptime Bootet Dein Rechner nach nem Stromausfall neu oder bleibt er aus? (Das kann man im Bios einstellen) cu, Ruediger
Hallo, Am Freitag, 15. April 2005 10:28 schrieb Ruediger Meier:
$ uptime
uptime 2:23pm an 1 Tag 14:21, 5 Benutzer, Durchschnittslast: 0,58, 0,27, 0,14 Was bedeutet das? 5 Benutzer? Wann werden Benutzer gezählt? Jedesmal wenn ich unter dem gleichen Namen einlogge? Wenn ich ein su mache?
Bootet Dein Rechner nach nem Stromausfall neu oder bleibt er aus? (Das kann man im Bios einstellen)
Bleibt aus Gruss Karl
Karl Sinn schrieb:
uptime 2:23pm an 1 Tag 14:21, 5 Benutzer, Durchschnittslast: 0,58, 0,27, 0,14
Was bedeutet das? 5 Benutzer? Wann werden Benutzer gezählt? Jedesmal wenn ich unter dem gleichen Namen einlogge? Wenn ich ein su mache?
Ergänzung: Gib doch mal ein "w" ein, dann siehst du die eingeloggten Benutzer... Martin
Am Freitag, 15. April 2005 14:13 schrieb Hans-Martin Flesch:
Ergänzung: Gib doch mal ein "w" ein, dann siehst du die eingeloggten Benutzer...
ok, das bin 3 mal ich und zwei mal meine Freundin. Das seht ja alles normal aus. Wie kann ich denn jetzt herausfinden, ob der Eindringling es geschafft hat sich einzuloggen oder nicht? Gruss Karl
Hallo, Karl Sinn wrote:
Am Freitag, 15. April 2005 14:13 schrieb Hans-Martin Flesch:
Ergänzung: Gib doch mal ein "w" ein, dann siehst du die eingeloggten Benutzer...
ok, das bin 3 mal ich und zwei mal meine Freundin.
Das seht ja alles normal aus.
Wie kann ich denn jetzt herausfinden, ob der Eindringling es geschafft hat sich einzuloggen oder nicht?
Im Endeffekt: mit einer ordentlichen forensischen Analyse. Entweder fängst Du jetzt an _sehr_ intensiv zu lernen, dann hast Du vielleicht schon nach wenigen Wochen ein Ergebnis... oder Du bezahlst jemanden dafür. Ansonsten: der Befehl last ist interessant. Es wird sich aber kaum jemand Zugang verschafft haben, denn wer das ernsthaft betreibt verwischt seine Spuren. Und eben das ist ja nicht geschehen. Im übrigen waren die "Einbruchsversuche" nicht unbedingt aktuell, oder? Laut log ja Jan / Feb, wenn meine Erinnerung mich nicht trügt... Es gibt bei einem gelungenen Einbruchsversuch letztlich keine absolut wirksame Methode den zu entdecken und evtl. Änderungen am System aufzuspüren ohne einen genauen Vergleich des ganzen Systems mit einem gut dokumentierten Sollzustand, und den hast Du nicht. Ansonsten hilft nur Rettungssystem booten, Festplatte leermachen, neu installieren, kein Backup einspielen, nur so kannst Du halbwegs sicher sein dass keine rootkits installiert bleiben. Arno
Gruss Karl
-- IT-Service Lehmann al@its-lehmann.de Arno Lehmann http://www.its-lehmann.de
On Fri, Apr 15, 2005 at 08:32:03PM +0200, Karl Sinn wrote:
Wie kann ich denn jetzt herausfinden, ob der Eindringling es geschafft hat sich einzuloggen oder nicht?
Mit dem Kommando "last", solange der Angreifer noch keine root-Rechte erhalten hat. (Dann waere aber wohl auch dein syslog verschwunden) -- Peter
Also sprach Karl Sinn:
Am Freitag, 15. April 2005 14:13 schrieb Hans-Martin Flesch:
Ergänzung: Gib doch mal ein "w" ein, dann siehst du die eingeloggten Benutzer...
ok, das bin 3 mal ich und zwei mal meine Freundin.
Das seht ja alles normal aus.
Wie kann ich denn jetzt herausfinden, ob der Eindringling es geschafft hat sich einzuloggen oder nicht?
Gruss Karl
Hallo Karl, gib doch einmal als root den Befehl "last" ein, dann siehst du wer wann eingeloggt war. Gruß Peter
Hallo Hans, Am Freitag, 15. April 2005 10:13 schrieb Hans-Martin Flesch:
das ist noch kein Zeichen für einen Neustart des Rechners. Der syslog wird z.B. dann neu gestartet, wenn logrotate gelaufen ist. Sieh mal nach, was da für cron-Jobs durchgeführt wurden...
Wie mache ich das? Ich habe cron noch nie angefasst. Gruss Karl
Karl Sinn, Freitag, 15. April 2005 11:31:
Wie mache ich das? Ich habe cron noch nie angefasst.
Wenn Du den cron noch nie angefaßt hast, dann laufen gegen vier Uhr nachts allerlei Jobs. Wann die laufen siehst Du (jedenfalls bei SL 9.2 und darunter) hier: /etc/crontab Welche das sind siehst Du hier: /etc/cron.{hourly;daily;weely;monthly} Dich interessiert vermutlich vor allem der Mist, der in cron.daily rumliegt. Wie schon Rüdiger schrieb: was sagt uptime? Wurde wirklich der Rechner neu gebootet, oder nur der syslog? -- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen. Andreas Feile www.feile.net
On Friday 15 April 2005 10:39, Andreas Feile wrote:
Wenn Du den cron noch nie angefaßt hast, dann laufen gegen vier Uhr nachts allerlei Jobs. Wann die laufen siehst Du (jedenfalls bei SL 9.2 und darunter) hier:
/etc/crontab
Du kannst auch mal unter /var/log/ schauen ob es dort ein(ige) *.gz Files gibt von heute, 4 Uhr - wenn ja dann wurde etwas rotiert. BTW, da wir gerade bei Uhrzeiten sind koentest Du auch gleich mal auf Sommerzeit umstellen ;) cu, Ruediger
Am Fr, den 15.04.2005 schrieb Ruediger Meier um 10:53:
BTW, da wir gerade bei Uhrzeiten sind koentest Du auch gleich mal auf Sommerzeit umstellen ;)
Das geht doch automatisch. Das müsste mittlerweile jedes OS/Viren (Windows) hinbekommen. :-) Bye Michael -- As far as we know, our computer has never had an undetected error. -- Weisert ________________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://dattuxi.de/
Am Freitag, 15. April 2005 10:53 schrieb Ruediger Meier:
On Friday 15 April 2005 10:39, Andreas Feile wrote: Du kannst auch mal unter /var/log/ schauen ob es dort ein(ige) *.gz Files gibt von heute, 4 Uhr - wenn ja dann wurde etwas rotiert.
nur eine Datei: 2005-04-15 04:14 messages-20050415.gz Was bedeutet das?
BTW, da wir gerade bei Uhrzeiten sind koentest Du auch gleich mal auf Sommerzeit umstellen ;)
Das hatte er automatisch gemacht, und jetzt ist er wieder auf Winterzeit. Wie mache ich das manuell? Gruss Karl
Hallo, Am Freitag, 15. April 2005 10:39 schrieb Andreas Feile:
/etc/crontab
SHELL=/bin/sh PATH=/usr/bin:/usr/sbin:/sbin:/bin:/usr/lib/news/bin MAILTO=root # # check scripts in cron.hourly, cron.daily, cron.weekly, and cron.monthly # -*/15 * * * * root test -x /usr/lib/cron/run-crons && /usr/lib/cron/run-crons
/dev/null 2>&1 59 * * * * root rm -f /var/spool/cron/lastrun/cron.hourly 14 4 * * * root rm -f /var/spool/cron/lastrun/cron.daily 29 4 * * 6 root rm -f /var/spool/cron/lastrun/cron.weekly 44 4 1 * * root rm -f /var/spool/cron/lastrun/cron.monthly
Welche das sind siehst Du hier:
/etc/cron.{hourly;daily;weely;monthly}
Dich interessiert vermutlich vor allem der Mist, der in cron.daily rumliegt.
cron.daily: clean_catman do_mandb faxcron logrotate suse.de-backup-rc.config suse.de-backup-rpmdb suse.de-check-battery suse.de-clean-tmp suse.de-clean-vi suse.de-cron-local
Wie schon Rüdiger schrieb: was sagt uptime? Wurde wirklich der Rechner neu gebootet, oder nur der syslog?
Siehe Antwort an Ruediger, Hilfet das? Gruss Karl
Karl Sinn, Freitag, 15. April 2005 14:29:
/etc/crontab [...] 14 4 * * * root rm -f /var/spool/cron/lastrun/cron.daily 29 4 * * 6 root rm -f /var/spool/cron/lastrun/cron.weekly 44 4 1 * * root rm -f /var/spool/cron/lastrun/cron.monthly
Ergo: Um 4:14, 4:29 und 4:44 werden die entsprechenden Status-Files gelöscht, sodaß eine Minute später der entsprechende cronjob anläuft. Das ist normal so.
cron.daily: [...] logrotate [...]
Na also. Da wird halt die Rotation eines Logfiles gelaufen sein. Ob dazu der Syslog angehalten und wieder gestartet wird weiß ich nicht. Aber vermutlich ist das so. -- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen. Andreas Feile www.feile.net
Hallo, Am Fri, 15 Apr 2005, Karl Sinn schrieb:
Am Freitag, 15. April 2005 01:45 schrieb David Haller:
als ich heute Nachmittag an meinen Rechner ging, waren ein paar Programme an, die ich nicht gestartet hatte.
Welche?
Kann ich nicht genau sagen, war meine Freundin, und die hat alles weggeklickt. Muss aber entweder der Konqueror oder Xine mit einem Porno gewesen sein.
*tsk*
Heute Morgen finde ich, folgendes in meiner /var/log/messages:
______________________________________________________________Apr 15 04:15:35 linux syslogd 1.4.1: restart. [..] Kommentar:Ich bin um 1 Uhr ins Bett, und um 4 macht der Rechner einen Restart???
Nein. Nur der syslogd. Das hat sich inzwischen wohl geklaert.
Ist das Hinweis genug??
Ich hänge mal ein ps -A an, vielleicht ist da ein verdächtiger Prozess. Einen Prozess habe ich schon gekillt, er hies krand... oder kgrand..., irgenwie sowas.
Nimm mal 'ps ax'. Wenn das "krand*" war und der Prozessname in "[]" erscheint, dann ist das der "Kernel Randomness Daemon" (oder so) und ein Kernelthread...
1172 ? 00:00:00 portmap
Wozu brauchst du den?
2558 ? 02:33:42 amule 2559 ? 00:00:00 amule
?
8844 ? 00:00:01 korgac 9270 ? 00:00:29 akregator
Kenn ich nicht. -dnh -- Na ja, wenigstens gab es auf Borkum viele hübsche[6] Frauen. [6] zumindest könnten sie mal hübsch gewesen sein. Ab 60 Jahren kann man das immer so schwer sagen. -- Oliver Schad erzählt vom Urlaub
Hallo David, Am Samstag, 16. April 2005 02:15 schrieb David Haller:
1172 ? 00:00:00 portmap
Wozu brauchst du den?
Keine Ahnung, was macht der?
2558 ? 02:33:42 amule 2559 ? 00:00:00 amule
Filesharing
8844 ? 00:00:01 korgac 9270 ? 00:00:29 akregator
Kenn ich nicht.
korgac, weiss ich nicht was es ist. Soll ich den mal abschiessen? akregator ist ein rss-feed Reader. Gruss Karl
Am Montag 18 April 2005 00:26 schrieb Karl Sinn:
korgac, weiss ich nicht was es ist. Soll ich den mal abschiessen?
Dem Namen nach würde ich es für irgendeine Komponente des KOrganizers halten. Läuft bei mir auch unter meinem User-Kontext, daher glaube ich jetzt nicht, daß Du diesen Prozess abschiessen mußt. Helga -- ## OpenSource-Werkstatt in Reutlingen -- http://www.eschkitai.de/ ## Etikette - Nein Danke? -- http://www.suse-etikette.de.vu/ ## Wer hilft? -- http://hsqldb.sourceforge.net/web/openoffice.html
Hallo David, Karl, Am Montag, 18. April 2005 00:26 schrieb Karl Sinn:
Hallo David,
Am Samstag, 16. April 2005 02:15 schrieb David Haller:
1172 ? 00:00:00 portmap
Wozu brauchst du den?
Keine Ahnung, was macht der?
Portmapper braucht man um überhaupt (heute) etwas im Netz (Internet) tun zu können wie brausen usw. Wenn du ihn abschaltest wirst du entweder gar nicht mehr oder eben shr beschränkt surfen können. Da der Portmapper eines der Grundlegensten Dienste ist auf dem das Netzwerk aufbaut wird er vor dem "network" gestartet. Gruß Frank
Hallo,
Portmapper braucht man um überhaupt (heute) etwas im Netz (Internet) tun zu können wie brausen usw. Wenn du ihn abschaltest wirst du entweder gar nicht mehr oder eben shr beschränkt surfen können. Da der Portmapper eines der Grundlegensten Dienste ist auf dem das Netzwerk aufbaut wird er vor dem "network" gestartet.
sorry, aber das ist quatsch. den Portmapper braucht man NICHT um im internet surfen zu können oder so. Man braucht ihn eigentlich nur, wenn man NFS laufwerke einbinden will. Der Portmap dienst handelt RPC Aufrufe. http://www.rt.com/man/portmap.8.html Nochmal: Für die gebräuchlichen Internetdienste (sei es als Client oder als Server) (www,mail,news,ftp) braucht man PORTMAP **NICHT** cu stonki -- www.stonki.de www.krename.net www.kbarcode.net www.proftpd.de
Hallo Stefan, Am Montag, 18. April 2005 09:31 schrieb Stefan Onken:
Hallo,
Portmapper braucht man um überhaupt (heute) etwas im Netz (Internet) tun zu können wie brausen usw. Wenn du ihn abschaltest wirst du entweder gar nicht mehr oder eben shr beschränkt surfen können. Da der Portmapper eines der Grundlegensten Dienste ist auf dem das Netzwerk aufbaut wird er vor dem "network" gestartet.
sorry, aber das ist quatsch. den Portmapper braucht man NICHT um im internet surfen zu können oder so. Man braucht ihn eigentlich nur, wenn man NFS laufwerke einbinden will. Der Portmap dienst handelt RPC Aufrufe.
http://www.rt.com/man/portmap.8.html
Nochmal: Für die gebräuchlichen Internetdienste (sei es als Client oder als Server) (www,mail,news,ftp) braucht man PORTMAP **NICHT**
Danke für den Hinweis. Da war ich immer auf dem falschen Pferd. Ich habe das irgendwoher, weis aber nicht mehr wo. ich dachte immer ich wüsste es... Danke Frank
Hallo, Am Montag, 18. April 2005 09:31 schrieb Stefan Onken:
Nochmal: Für die gebräuchlichen Internetdienste (sei es als Client oder als Server) (www,mail,news,ftp) braucht man PORTMAP **NICHT**
oki, ich habe Ihn jetzt mal abgeschaltet, ausserdem habe ich den sshd abgeschaltet. Kann ich noch was tun? Gruss Karl
Am Montag, 18. April 2005 09:26 schrieb Frank Babies:
Portmapper braucht man um überhaupt (heute) etwas im Netz (Internet) tun zu können wie brausen usw. Wenn du ihn abschaltest wirst du entweder gar nicht mehr oder eben shr beschränkt surfen können. Da der Portmapper eines der Grundlegensten Dienste ist auf dem das Netzwerk aufbaut wird er vor dem "network" gestartet.
Das halte ich für ein Gerücht. :) Das Teil war bei mir noch NIE an, aber surfen, E-Mail schreiben usw. funktioniert ..... :) Gruß Jens
participants (13)
-
Andreas Feile
-
Arno Lehmann
-
David Haller
-
Frank Babies
-
Hans-Martin Flesch
-
Helga Fischer
-
Jens Wolf
-
Karl Sinn
-
Michael Raab
-
Peter Bergmann
-
Peter Wiersig
-
Ruediger Meier
-
Stefan Onken