Re: ssh Meldung
Moin, * Klaus Schuehler wrote (2005-10-31 21:59): >mal ein wenig getestet schein alles korrekt zu sein: Wie heißt der Client? Wie sieht Deine Kommandozeile aus? Welche OS laufen auf Client und Server? Wie ergeben die host-Kommandos auf dem Client? Thorsten -- The reasonable man adapts himself to the world; the unreasonable one persists in trying to adapt the world to himself. Therefore all progress depends on the unreasonable man. - George Bernard Shaw pgpWszNPiGDMV.pgp Description: PGP signature
Re: ssh Meldung
Am Montag, 31. Oktober 2005 15:35 schrieb Thorsten Haude: > Moin, > > * Klaus Schuehler wrote (2005-10-31 15:06): > >habe von ssh folgende Meldung bekommen: > > > >Oct 31 14:55:03 srv1 sshd[22246]: Address 83.246.73.98 maps to > > srv1.skon.com, but this does not map back to the address - POSSIBLE > > BREAKIN ATTEMPT! > > > >Kann mir ein sagen was maps bedeutet. > > In diesem Zusammenhang: paßt > > > Wie sieht Deine Kommandozeile aus? Welches OD läuft auf srv1.skon.com? > Was ergeben denn 'host 83.246.73.98' und 'host srv1.skon.com'? > > > Thorsten Hi, mal ein wenig getestet schein alles korrekt zu sein: srv1:/home/klaus# host srv1.skon.com srv1.skon.com has address 83.246.73.98 srv1:/home/klaus# host 83.246.73.98 98.73.246.83.in-addr.arpa domain name pointer srv1.skon.com. srv1:/home/klaus# dig -x 83.246.73.98 ; <<>> DiG 9.2.4 <<>> -x 83.246.73.98 ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21105 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;98.73.246.83.in-addr.arpa. IN PTR ;; ANSWER SECTION: 98.73.246.83.in-addr.arpa. 0IN PTR srv1.skon.com. ;; AUTHORITY SECTION: 73.246.83.in-addr.arpa. 10723 IN NS ns1.vanager.de. 73.246.83.in-addr.arpa. 10723 IN NS ns2.vanager.de. ;; ADDITIONAL SECTION: ns1.vanager.de. 46101 IN A 83.246.77.132 ns2.vanager.de. 57382 IN A 83.246.76.132 ;; Query time: 3898 msec ;; SERVER: 81.3.3.81#53(81.3.3.81) ;; WHEN: Mon Oct 31 21:56:45 2005 ;; MSG SIZE rcvd: 173 srv1:/home/klaus# Es werden auch ausliefernte Mails abgelehnt: [EMAIL PROTECTED]>: host mx0.gmx.de[213.165.64.100] said: 550-5.7.1 {mx006} The IP address of the server you are using to connect to GMX does not have 550-5.7.1 a DNS PTR record (reverse record). The recipient does not want to receive 550-5.7.1 mail from such servers. 550 5.7.1 ( http://www.gmx.net/serverrules ) (in reply to RCPT TO command) Ist also etwas komisch das ganze. Gruss Klaus
Re: ssh Meldung
Am Montag, den 31.10.2005, 15:33 +0100 schrieb Klaus Schuehler: > > Am Montag, den 31.10.2005, 15:06 +0100 schrieb Klaus Schuehler: > >> Hallo, > >> > >> habe von ssh folgende Meldung bekommen: > >> > >> Oct 31 14:55:03 srv1 sshd[22246]: Address 83.246.73.98 maps to > >> srv1.skon.com, > >> but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT! > >> > >> Kann mir ein sagen was maps bedeutet. > > man sshd_config ->> UseDNS > > > Dein Server meldet dir, dass der per Reverse-DNS ermittelte Name zu > > 83.246.73.98 srv1.skon.com ergibt, dieser Name sich jedoch nicht > > auflösen lässt oder zu einer anderen IP als 83.246.73.98 auflöst. > > das heisst also das der Reverseeintrag (ptr) falsch ist. Hmm. Du bist der Admin der Domain. Sag du es mir :) BTW: Kann auch einfach ein temporäres DNS-Problem in dem Netz sein, in dem der SSH-Server steht. Denn hier erhalte ich: $ ping -c3 srv1.skon.com PING srv1.skon.com (83.246.73.98): 56 data bytes 64 bytes from 83.246.73.98: icmp_seq=0 ttl=52 time=108.8 ms 64 bytes from 83.246.73.98: icmp_seq=1 ttl=52 time=98.9 ms 64 bytes from 83.246.73.98: icmp_seq=2 ttl=52 time=104.6 ms Scheint also zu funktionieren. MfG Daniel
Re: ssh Meldung
On Monday 31 October 2005 15:06, Klaus Schuehler wrote: > habe von ssh folgende Meldung bekommen: > > Oct 31 14:55:03 srv1 sshd[22246]: Address 83.246.73.98 maps to > srv1.skon.com, but this does not map back to the address - POSSIBLE > BREAKIN ATTEMPT! > > Kann mir ein sagen was maps bedeutet. Das heißt, dass die DNS-Auflösung von 83.246.73.98 auf srv1.skon.com klappt. Aber der umgekehrte Weg vom Namen auf die IP gab ein anderes (oder kein) Ergebnis. Jemand hat sich bei dir am SSH-Daemon anmelden wollen (oder hat sich angemeldet) und dein SSH-Daemon war leicht irritiert. Dass das ein Angriff war, wage ich mal zu bezweifeln. Und die DNS-Auflösung bei mir klappt auch. :) Christoph -- ~ ~ ~ ".signature" [Modified] 3 lines --100%--3,41 All
Re: ssh Meldung
Moin, * Klaus Schuehler wrote (2005-10-31 15:06): >habe von ssh folgende Meldung bekommen: > >Oct 31 14:55:03 srv1 sshd[22246]: Address 83.246.73.98 maps to srv1.skon.com, >but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT! > >Kann mir ein sagen was maps bedeutet. In diesem Zusammenhang: paßt Wie sieht Deine Kommandozeile aus? Welches OD läuft auf srv1.skon.com? Was ergeben denn 'host 83.246.73.98' und 'host srv1.skon.com'? Thorsten -- Emacs is for people who desperately want to get drunk, but feel guilty doing so without a reason. - Miles O'Neal pgp7MXWmyTbZb.pgp Description: PGP signature
Re: ssh Meldung
> Am Montag, den 31.10.2005, 15:06 +0100 schrieb Klaus Schuehler: >> Hallo, >> >> habe von ssh folgende Meldung bekommen: >> >> Oct 31 14:55:03 srv1 sshd[22246]: Address 83.246.73.98 maps to srv1.skon.com, >> but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT! >> >> Kann mir ein sagen was maps bedeutet. man sshd_config ->> UseDNS > Dein Server meldet dir, dass der per Reverse-DNS ermittelte Name zu > 83.246.73.98 srv1.skon.com ergibt, dieser Name sich jedoch nicht > auflösen lässt oder zu einer anderen IP als 83.246.73.98 auflöst. > MfG Daniel Hallo, das heisst also das der Reverseeintrag (ptr) falsch ist. Also die Rückwärtsauflösung. Gruss Klaus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh Meldung
Am Montag, den 31.10.2005, 15:06 +0100 schrieb Klaus Schuehler: > Hallo, > > habe von ssh folgende Meldung bekommen: > > Oct 31 14:55:03 srv1 sshd[22246]: Address 83.246.73.98 maps to srv1.skon.com, > but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT! > > Kann mir ein sagen was maps bedeutet. man sshd_config -> UseDNS Dein Server meldet dir, dass der per Reverse-DNS ermittelte Name zu 83.246.73.98 srv1.skon.com ergibt, dieser Name sich jedoch nicht auflösen lässt oder zu einer anderen IP als 83.246.73.98 auflöst. MfG Daniel
Re: ssh Meldung in auth.log
Wolf Wiegand wrote: Das Problem hatte ich auch mal. weiß leider nicht mehr genau, was ich da gemacht habe :-) IIRC habe ich in /etc/pam.d/ssh was geändert. Vergleich mal das hier mit den Einträgen bei Dir: auth required pam_nologin.so auth required pam_unix.so auth required pam_env.so # [1] accountrequired pam_unix.so sessionrequired pam_unix.so sessionoptional pam_lastlog.so # [1] sessionoptional pam_motd.so # [1] sessionoptional pam_mail.so standard Bei mir stand da: sessionoptional pam_mail.so standard noenv # [1] sessionrequired pam_limits.so password required pam_unix.so Ich habe also "noenv # [1]" gelöscht und das funtioniert so, wie ich mir das vorstelle. Was ich da genau wegkonfiguriert habe, bleibt ein Rätsel ... Besten Dank für deine Hilfe Gruss, Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh Meldung in auth.log
On Sat, Apr 30, 2005 at 02:52:28PM +0200, Michael Gunsch wrote: > Nach jedem Zugriff auf den Mail-Server per ssh, wenn die > Verbindung geschlossen wird, werden folgende Meldungen in > auth.log geschrieben: > > Apr 27 17:40:18 mail PAM_unix[16939]: (ssh) session closed for > user abc > Apr 27 17:40:18 mail sshd[16939]: PAM pam_putenv: delete > non-existent entry; MAIL Das Problem hatte ich auch mal. weiß leider nicht mehr genau, was ich da gemacht habe :-) IIRC habe ich in /etc/pam.d/ssh was geändert. Vergleich mal das hier mit den Einträgen bei Dir: auth required pam_nologin.so auth required pam_unix.so auth required pam_env.so # [1] accountrequired pam_unix.so sessionrequired pam_unix.so sessionoptional pam_lastlog.so # [1] sessionoptional pam_motd.so # [1] sessionoptional pam_mail.so standard sessionrequired pam_limits.so password required pam_unix.so hth, Wolf -- Büroschimpfwort des Tages: Intelligenzallergiker - Inkompetenter Mitarbeiter. (Diana) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)