---

Jeg har fundet nogen linier i min secure log der ser sådan her ud:

Apr 30 23:36:53 birke xinetd[1121]: START: ftp pid=25309 from=24.225.136.154
Apr 30 23:37:04 birke xinetd[1121]: EXIT: ftp pid=25309 duration=11(sec)

Har et par stykker fra forskellige adresser, hvad sker der er der nogen
der har brudt ind på den??

---

Rudi Hansen <fjern_rsh_fjern@pobox.dk> skrev 2006-05-01:
> Jeg har fundet nogen linier i min secure log der ser sådan her ud:
>
> Apr 30 23:36:53 birke xinetd[1121]: START: ftp pid=25309 from=24.225.136.154
> Apr 30 23:37:04 birke xinetd[1121]: EXIT: ftp pid=25309 duration=11(sec)
>
> Har et par stykker fra forskellige adresser, hvad sker der er der nogen
> der har brudt ind på den??

Der er nogle der har brugt din ftp server i 11 sekunder. Og et er xinetd der
har startet servicen.

Thomas
--

---

Jo men jeg kan bare ikke rigtigt finde nogen spor af ip adressen i andre
logs, det eneste der er er nogen linier i messages, men det ser ud som
om det er det samme.

Kan det bare være en der forsøger at logge ind på min maskine?

Sikkerheden på serveren er rimelig høj, men man bliver jo altid lidt nervøs.

Thomas S. Iversen wrote:
> Rudi Hansen <fjern_rsh_fjern@pobox.dk> skrev 2006-05-01:
>> Jeg har fundet nogen linier i min secure log der ser sådan her ud:
>>
>> Apr 30 23:36:53 birke xinetd[1121]: START: ftp pid=25309 from=24.225.136.154
>> Apr 30 23:37:04 birke xinetd[1121]: EXIT: ftp pid=25309 duration=11(sec)
>>
>> Har et par stykker fra forskellige adresser, hvad sker der er der nogen
>> der har brudt ind på den??
>
> Der er nogle der har brugt din ftp server i 11 sekunder. Og et er xinetd der
> har startet servicen.
>
> Thomas

---

Rudi Hansen <fjern_rsh_fjern@pobox.dk> wrote:

>Jo men jeg kan bare ikke rigtigt finde nogen spor af ip adressen i andre
>logs, det eneste der er er nogen linier i messages, men det ser ud som
>om det er det samme.
>
>Kan det bare være en der forsøger at logge ind på min maskine?
>
>Sikkerheden på serveren er rimelig høj, men man bliver jo altid lidt nervøs.

Du har en ftp-server kørende - Så må du også være forberedt på at der er
nogen der banker på

Prøv at checke ftp-serverens log - Den bør fortælle lidt mere om hvad
der sker.

Samtidig kan du checke ftp-serverens diretories - Hvis de fyldt op med
porno, cracks og mp3-filer så har du haft besøg




<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

---

Rudi Hansen <fjern_rsh_fjern@pobox.dk> skrev 2006-05-01:
> Jo men jeg kan bare ikke rigtigt finde nogen spor af ip adressen i andre
> logs, det eneste der er er nogen linier i messages, men det ser ud som
> om det er det samme.

Det vil være de samme.

> Kan det bare være en der forsøger at logge ind på min maskine?

Sagtens. Det sker meget jævnligt. Oftest er det bare script kiddies og
nysgerrige folk der lige skal se hvad du har.

> Sikkerheden på serveren er rimelig høj, men man bliver jo altid lidt nervøs.

Hvis ikke du regnede med at få gæster på din ftp konto, så var sikkerheden
jo ikke høj nok

Thomas
--

---

> Sagtens. Det sker meget jævnligt. Oftest er det bare script kiddies og
> nysgerrige folk der lige skal se hvad du har.
Ja og jeg har også massere af forsøg på at logge ind på min ftp server,
dette er bare første gang der i min LogWatch mail, står at der er en der
er logget ind på serveren, som ikke skulle være der.

------------ Connections (secure-log) Begin ------------------------
Connections:
Service ftp:
24.225.136.154: 2 Time(s)

Normalt står de bare senere i loggen, som mislykkedes forsøg.

>> Sikkerheden på serveren er rimelig høj, men man bliver jo altid lidt nervøs.
> Hvis ikke du regnede med at få gæster på din ftp konto, så var sikkerheden
> jo ikke høj nok


Nej det kan der være noget om, men der er jo ikke så meget andet at gøre
end at forsøge at lave gode passwords.
Nå men nu har jeg prøvet at sætte ftp serverens logging til at logge alt.

---

> Ja og jeg har også massere af forsøg på at logge ind på min ftp server,
> dette er bare første gang der i min LogWatch mail, står at der er en der
> er logget ind på serveren, som ikke skulle være der.

Ahh. /me tænder en prås. Følgende side:

http://66.249.93.104/search?q=cache:vydf0X5yXN0J:rpmfind.net/linux/0/redhat-archive/7.2/de/doc/RH-DOCS/rhl-rg-en-7.2/s1-tcpwrappers-xinetd.html+xinetd+ftp+secure+log+duration&hl=da&ct=clnk&cd=2

vise, at når der står hvor lang tid det har taget, så kan det være et tegn
på at folk er kommet ind.

Thomas
--

---

Den Mon, 01 May 2006 20:35:30 +0200 skrev Rudi Hansen:
>
> Nej det kan der være noget om, men der er jo ikke så meget andet at gøre
> end at forsøge at lave gode passwords.

Man kunne jo overveje om FTP er den rigtigt protokol.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On Mon, 01 May 2006 18:56:42 +0000, Kent Friis wrote:

>
> Man kunne jo overveje om FTP er den rigtigt protokol.
Hvis man har en FTP server kørende, hvor der ikke kræves password, kan
jeg ikke lige komme på en mere velegnet løsning.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Den Mon, 01 May 2006 21:16:25 +0200 skrev Michael Rasmussen:
> On Mon, 01 May 2006 18:56:42 +0000, Kent Friis wrote:
>
>>
>> Man kunne jo overveje om FTP er den rigtigt protokol.
> Hvis man har en FTP server kørende, hvor der ikke kræves password, kan
> jeg ikke lige komme på en mere velegnet løsning.

Anonymous FTP? Prøv HTTP i stedet for, ftp-servere har generelt ry
for at være mere hullede en http-servere, og derudover slipper man
for problemer med NAT og firewalls.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.