Hej!
2011-02-21 08:22, streber skrev:
> Und sehe da nur von gestern und heute 4MB Eintäge in unten zu sehender
> Art. Gehe ich da recht in der Annahme das da versucht wurde mein
> RootPasswort zu "erraten"?
Schau mal jeweils auf die Quelle, welcher Daemon den jeweiligen Eintrag
schreibt.
Anfang des Logs:
Feb 20 06:29:01 vs2801 CRON[25586]: pam_unix(cron:session): session
closed for user root
Feb 20 06:39:03 vs2801 CRON[7151]: pam_unix(cron:session): session
opened for user root by (uid=0)
Feb 20 06:39:05 vs2801 CRON[7151]: pam_unix(cron:session): session
closed for user root
Feb 20 06:47:01 vs2801 CRON[30980]: pam_unix(cron:session): session
opened for user root by (uid=0)
Feb 20 06:48:46 vs2801 CRON[30980]: pam_unix(cron:session): session
^^^^
closed for user root
Das sind typische CRON-Einträge. Wann immer ein cron-Job mit Rootrechten
zuende geht, gibts so einen Eintrag. Mit irgendwelchen Aktionen von
außen hat das nichts zu tun. Vergleiche auch ältere Logs.
Relevantes Geschehen gibts erst hier (den immerwährend wiederkehrenden
Block isoliert):
Feb 20 06:51:49 vs2801 saslauthd[11068]: pam_unix(smtp:auth): check
pass; user unknown
^^^^^^^^^^^^ (1)
Feb 20 06:51:49 vs2801 saslauthd[11068]: pam_unix(smtp:auth):
authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
^^^^^^^^^^^^ (2)
Feb 20 06:51:51 vs2801 saslauthd[11068]: DEBUG: auth_pam:
pam_authenticate failed: User not known to the underlying authentication
^^^^^^^^^^^^^^ (1)
module
Feb 20 06:51:51 vs2801 saslauthd[11068]: do_auth : auth failure:
^^^^^^^ (3)
[user=inna] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
^^^^ (4)
(1) es wird versucht, sich via sasl anzumelden unter einem deinem
pam_unix (System-Accounts) unbekannten Namen => das kann nicht root sein
(2) die (e)uid vom SASL-Prozess bleibt erstmal 0, da er ja entsprechend
(1) sich nicht als jemand anders authentifizieren und sodann auf dessen
id wechseln konnte (der saslauthd braucht leider Rootrechte, da ohne
diese ein Wechsel der id nicht sinnvoll möglich wäre - dann müsste sudo
oder ähnliches her, was jedoch einen zusätzlichen Angriffsvektor
darstellt und je Anmeldung den Aufruf eines Tocherprozesses hervorrufen
würde -> killt Performance)
(3) Hier hast du etwas "zensiert"?
(4) und hier sagt uns der saslauthd sogar, mit welchem Namen es versucht
wurde.
Ich kann mich Andreas nur beipflichten: Da sucht wohl jemand einen Spamhost.
Beste Grüße
Fabian
_______________________________________________
Lug-dd maillist - Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd
