PDA

Bekijk de volledige versie : Versuche den FTP-Server zu "hacken" und DynDNS



akbor
14-09-2008, 10:52
Hi,

mir ist etwas merkwürdiges aufgefallen. Ich gehe davon aus, dass alle von Euch, die einen über WAN sichtbaren FTP-Server betreiben, öfters mal irgendwelche nicht authorisierte Login-Versuche von extern im System-Log sehen. Bei mir wird ganz oft (bruteforce) versucht, sich als "Administrator" einzuloggen. Gut, dass ich so einen FTP-Usernamen überhaupt nicht vergeben habe :D

Jetzt zu meiner Beobachtung. Diese Versuche häufen sich, nachdem ich z.B. selber über DynDNS auf meinen FTP authorisiert zugegriffen habe. Spinne ich jetzt? Bin ich paranoid, oder ist da jemand am Sniffen? Ich war früher der Meinung, dass diese Angriffe aus zufälligen Port-Scans resultieren. Wenn jemand den Traffic von DynDNS snifft, dann frage ich mich, warum sind alle Login-Versuche so dämlich erfolglos? Es wird ja alles im Klartext übertragen, soweit ich weiss, der Username wie das Passwort.

Was könnt Ihr zu dem Thema berichten?

Gruß

Robert

newbiefan
14-09-2008, 12:18
Hallo Akbor!

Alles absolut richtig - Dyndns ist mild ausgedrückt ein Scheunentor - wenn ich meinen FTP-Server einige Tage laufen lasse, habe ich tausende von Einträgen in den Log-Files. Aber die Versuche sind eher stümperhaft geblieben, und da ich nur sehr gute Passwörter und gute User benutze (immer mit etlichen Nummern usw.) werden die Versuche wohl auch das bleiben was sie sind - stümperhafte Versuche. Lästig ist es allemal, man könnte ja Logfiles auswerten und dann die IP sperren, dazu gibt es schon etliche Beiträge. Mir ist das noch zuviel Aufwand, solange meine Bandbreite nicht darunter leidet, sollen diese Deppen doch tippen wie die Irren - ein brauchbares Programm haben die noch nicht, manchmal dauert es mehrere Sekunden bis ein neuer Versuch erfolgt.
Ganz schlimm wird es, wenn man VPN hat, deshalb habe ich nur mehr FTP und Web laufen. Ist ausserdem wesentlich schneller.....

Schönen Sonntag noch.....

legolas
14-09-2008, 13:51
Hi,

was meinst Du damit "ganz schlimm wird es wenn man VPN hat"? Was passiert denn dann genau?

Ich konnte bei mir noch nichts feststellen, verwende jedoch nicht den Standard-Port.

Norbert

thE_29
14-09-2008, 14:17
Diesen Administrator bruteforce hatte ich auch vor ein paar Tage!
Habe mir dann ein gloabl_ban Script geschrieben ;)

Alle Scripte liegen in /usr/local/sbin

commit:

#!/bin/sh
flashfs save && flashfs commit && flashfs enable

chmod +x commit

global_ban_ip:

#!/bin/sh
if [ -z $1 ] ; then
echo "Usage: $0 IP_to_ban"
else
iptables -I INPUT -p tcp -s $1 -j DROP
echo $1 >> /usr/local/sbin/.global_ban_file
/usr/local/sbin/commit > /dev/null 2>&1 &
fi

chmod +x global_ban_ip

unglobal_ban_ip:

#!/bin/sh
if [ -z $1 ] ; then
echo "Usage: $0 IP_to_unban"
else
iptables -D INPUT -p tcp -s $1 -j DROP
cat /usr/local/sbin/.global_ban_file | grep -v $1 >> /tmp/.global_ban_file
mv /tmp/.global_ban_file /usr/local/sbin
/usr/local/sbin/commit > /dev/null 2>&1 &
fi

chmod +x unglobal_ban_ip

.addGlobalBans:

#!/bin/sh
while read X
do
iptables -I INPUT -p tcp -s $X -j DROP
done < /usr/local/sbin/.global_ban_file

chmod +x .addGlobalBans

Am Ende von post-firewall gehört noch das dazu.
post-firewall:

.... # Inhalt deiner post-firewall
/usr/local/sbin/.addGlobalBans

Also wenn du in den LOG das siehst, dass dich jemand beim FTP angreift, bist du ja wahrscheinlich mit ssh/telnet drauf (Ansonsten wirds schwierig für dich).
Danach sagste einfach global_ban_ip und gibst die IP ein
diese wird ganz vorne auf die regel drop gestellt, dh, es verwirft jede Anfrage von dieser IP.
Der Befehl global_ban_ip added die IP zu den Firewall regeln und speichert es in die .global_ban_file und führt ein commit == speichern des /usr/local/sbin Verzeichnisses (und mehr) aus.

Das Script/Befehl unglobal_ban_ip remoed die IP von der Firewall und auch aus der Datei (falls vorhanden) und commited auch.

Nach einem reboot wird die post-firewall ausgeführt, deren letzter Befehl auf .addGlobalBans zeigt und dieser liest die datei .global_ban_file aus und setzt diese IPs auf DROP ANY, sodaß auch nach einem Reboot die IPs gebannt bleiben.

Das ist halt meine Lösung ;)
Wenn man sich mit ssh/telnet nicht so auskennt, bräuchte man ein besseres HowTO und maybe eine grafische Lösung (man kann die GUI ja übermounten ;))
Für mich reicht diese Lösung aber.

akbor
14-09-2008, 14:27
...man könnte ja Logfiles auswerten und dann die IP sperren,...

da bist du aber lange besch&#228;ftigt ;) eine Black-List n&#252;tzt an der Stelle nicht viel, es gibt einfach zu viele IP-Adressen, die der Angreifer benutzen kann. Vern&#252;nftig w&#228;re ein Script, das z.B. nach dem dritten Fehlversuch eine einst&#252;ndige Sperre reinhaut. Damit w&#228;re ein Bruteforce-Angriff unm&#246;glich. Noch vern&#252;nftiger w&#228;re eine White-List, du schaltest bestimmte IP-Adressen frei, bei DSL/DHCP von mir aus den ganzen Pool/Subnet.

Wie gesagt, ich habe das Gef&#252;hl, dass sich die Versuche h&#228;ufen, nachdem ich meinen FTP-Server mal selber benutzt habe. Das riecht mir nach einem Sniffer, entwerder bei meinem ISP oder bei DynDNS ("man in the middle" in meinem LAN gibt es garantiert nicht). In diesem Fall m&#252;ssten aber die Anmeldeversuche erfolgreich sein, oder der Sniffer ist eine absolute Pappnase. Das ist es, was ich nicht zusamenreimen kann.

Gru&#223;

Robert

newbiefan
14-09-2008, 17:20
@the_29
nicht schlecht, wenn es noch mehr werden, werde ich mir deine Scripts leihen und einfach alles automatisieren - zumindest für einige Minuten sperren....;)

Geht aber bei mir etwas anders als wie in den einschlägigen tuts beschrieben, da ja mein Asus hinter dem Dlink hängt.

@legolas
habe das sehr gute http://www.administrator.de/Fernzugriff_aufs_Firmen-Intranet_-_sicher%2C_einfach_und_kostenlos.html benutzt, aber eben nur auf Port22, kurz danach hatte ich enorme Mengen an Portscans inkl. ebenfalls stümperhafte Versuche, auf mein Netzwerk zuzugreifen. Jedenfalls war mein Webserver u. FTP auf Grund der massiven Scans kaum zu erreichen - bis hin zu DOS Attacken über den Webserver. Ich konnte zeitweilig nicht mal ins Internet.

@Akbor
Eine Blacklist hilft schon, man muss nur die jeweilige IP für etliche Minuten sperren. Ist aber ja genau was du auch meinst.....

Dass hier Sniffer unterwegs sind, glaube ich fast nicht, eher dass die Adressen von Dyndns leicht "erhältlich" sind. Wenn jemand wirklich gut sniffen kann und dabei auch noch deinen Namen "ersnifft", dann verwendet dieser ja eine Datenbank mit allen möglichen (gängigen) Usern und Passwörter. Das ginge dann wesentlich schneller und einfacher.
Also habe die halt nur deinen Namen, denn diese Dilletanten schaffen es ja nicht einmal mittels Ping MeinName meine IP zu holen, die verwenden doch glatt immer wieder meinen Namen!!!

LG

Ach ja, Sniffer aus dem Profibereich gibts ja schon lange:
http://de.wikipedia.org/wiki/Carnivore
http://www.dradio.de/dlf/sendungen/hintergrundpolitik/643770/
http://www.abendblatt.de/daten/2008/06/20/896285.html

akbor
14-09-2008, 17:52
@the_29

ich gebe es gleich zu, ich habe mich mit deinen Scripten noch nicht sehr intensiv auseinander gesetzt. Habe aber gleich ein Bedenken, du scheinst deine Ban-List im Flash zu speichern. Es w&#228;re sehr ratsam, sie im RAM zu halten! Ich weiss nicht, wie es bei den Asus-Ger&#228;ten mit Wear Leveling verh&#228;lt, vermutlich gibt es so etwas nicht, wozu auch. Wenn irgendein Idiot dein Script dazu n&#246;tigt, die Ban-List 100.000 Male zu aktualisieren, dann war's das mit dem Flash.

Gru&#223;

Robert

thE_29
14-09-2008, 20:48
Wie meinst du, er will sie öfter aktualisieren?

Und wenn man per ssh/telnet auf dem Teil ist, hoffe ich doch schon, dass man sich auskenn ;)

akbor
14-09-2008, 21:08
Wie meinst du, er will sie öfter aktualisieren?Ich meine, wenn diese Datei mehrere Tausend Male im Flash gespeichert wird, dann ist Flash hin&#252;ber.

Gru&#223;

Robert

legolas
14-09-2008, 22:36
Hi,

im Netz gibt es immer irgend welche Idioten, die Rechner hacken müssen. Die suchen wohl Speicherplatz für Ihren Tauschbörsen-Kram.

Wenn man Standard-Ports verwendet, dann läuft man immer die Gefahr, dass jemand auf diesen Ports mitsnifft. Man in the middle Atacken sind auch nicht ohne, da man an einem Knoten sitzen muss, um mitlauschen zu können. Wer da sitzt, hat es einfach.

Die genannten Angriffe kommen vermutlich aus anderen Netzen und können gar keine Man in the middle Atacken ausführen und müssen daher stur die Passwörter ausprobieren.

Ich gehe ausschliesslich immer über SSH oder VPN. Es gibt nur einen Port der offen ist und SSH annehmen kann. Damit hatte ich bis jetzt immer Ruhe. Zum Fileaustausch benutze ich SCP oder gehe über VPN.

Wozu benötigt Ihr denn den FTP-Server? Geht es denn nicht auch mit SCP oder SFTP?

Norbert

akbor
15-09-2008, 07:37
Wozu benötigt Ihr denn den FTP-Server? Geht es denn nicht auch mit SCP oder SFTP?

Gehen tut es schon. Ich benutze FTP aus reiner Bequemlichkeit. Es hat einen gewissen Charm, mal schnell einen User einzurichten und einem Bekannten/Freund/etc., der sich mit dem Kram übrigens nicht immer so gut auskennt, mal schnell einen Link a-la ftp://user:passwort@servername.dyndns.org/ zu geben, den er einfach mit Internet Explorer öffnen kann, ohne ihm stundenlang erklären zu müssen, welche FTP-Clients SFTP unterstützen und wie sie einzurichten sind.

Gruß

Robert

thE_29
15-09-2008, 10:40
So, da der User scheinbar noch immer meint er könne meinen FTP Server auch hacken, schreibe ich mir gerade ein Programm für den vsftpd Server!

Also ein Programm das den VSFTPD Log auslesen kann und den Benutzer nach der IP sperrt.

Nachtrag: So Programm ist fertig! Funktioniert nach 2 Tests von meinen Freunden eigentlich Tip Top! Warte nur noch ob die BanAufhebung auch zu 100% klappt und dann release ich es ;)

akbor
15-09-2008, 19:37
So, jetzt wird die Ban-List bei dir automatisch aktualisiert. Das ist super! Denk' bloss an meine Worte und speichere sie nicht im Flash :)

Gru&#223;

Robert

thE_29
15-09-2008, 21:05
Naja, er merkt sich ja nix!
Es liegt im /opt Verzeichnis und von daher sollte nix im Flash sein!
Auto unban funktioniert auch.

Hier der Link: ftp://ipkg:ipkg@the29.ath.cx/vsftpd_banner_thE29.ipk

Installiert die Datei vsftpd_banner nach /opt/bin/

einfach mal vsftpd_banner --help ausführen, dann werden die Parameter ausgelistet!
Und mit vsftpd_banner -lf:/opt/var/log/banvsftpd.log & starten
Dann werden die Aktionen nach /opt/var/log/banvsftpd.log geloggt.

Defaultmäßig greift er auf die /opt/var/log/vsftpd.log Datei zu.
Nach 3 Fehlschlägen sperrt er die IP für 10 Minuten. Er sieht alle 2.5 Sekunden im Logfile nach Änderungen nach.
Achja, er springt beim Start ans Ende von der Logdatei und erst ab dann wertet er falsche Loginversuche aus.

Btw.: Der Hauptunterschied ist ja, dass es sich jetzt um ein C++ Programm handelt und um kein Script mehr.

Sehr gut funktionierts! Auszug aus meiner Logdatei ;)


Mon Sep 15 20:54:02 2008: Failed login attempt: Mon Sep 15 20:54:02 2008 [pid 6512] [Administrator] FAIL LOGIN: Client "208.87.24.229"
Mon Sep 15 20:54:02 2008: New Fail user registered: Administrator IP: 208.87.24.229
Mon Sep 15 20:54:04 2008: Failed login attempt: Mon Sep 15 20:54:03 2008 [pid 6512] [Administrator] FAIL LOGIN: Client "208.87.24.229"
Mon Sep 15 20:54:04 2008: Found user: Administrator with IP: 208.87.24.229 and error cnt 1 in list!
Mon Sep 15 20:54:04 2008: Raise user error count(2): 208.87.24.229[Administrator]
Mon Sep 15 20:54:04 2008: Failed login attempt: Mon Sep 15 20:54:04 2008 [pid 6512] [Administrator] FAIL LOGIN: Client "208.87.24.229"
Mon Sep 15 20:54:04 2008: Found user: Administrator with IP: 208.87.24.229 and error cnt 2 in list!
Mon Sep 15 20:54:04 2008: Raise user error count(3): 208.87.24.229[Administrator]
Mon Sep 15 20:54:04 2008: BAN this ass with IP: 208.87.24.229
Mon Sep 15 21:04:05 2008: UNBAN user (Administrator) with IP: 208.87.24.229

wengi
16-09-2008, 07:23
Mon Sep 15 20:54:04 2008: BAN this ass with IP: 208.87.24.229:D:D:D

Ich bin gerade am überlegen, ob es Sinn macht dieses Script auf andere Dienste auszudehnen.
Prinzipiell könnte man jeden Dienst, der das ins Syslog schreibt, mit aufnehmen.

wengi

thE_29
16-09-2008, 10:06
Prinzipiell könnte das Programm schon für mehrere Dinge gehen!

Aber zZ (das kann man nicht via Parameter ändern) sehe ich in der angegeben Vsftpd Log Datei nach ob das hier vorkommt:
FAIL LOGIN:

Danach zerlege ich den String
Also das steht ja da:
Sat Sep 13 19:26:29 2008 [pid 5057] [Administrator] FAIL LOGIN: Client "200.68.66.94"
Nach der letzten Stelle + Benutzername (obwohl man den gar nicht bräuchte, ich banne ja die IP).

Aber man könnte es auf alles anwenden ;)

thE_29
17-09-2008, 07:44
Hrhr!

Er hats schon wieder probiert.


Wed Sep 17 01:43:37 2008: Failed login attempt: Wed Sep 17 01:43:36 2008 [pid 6862] [Administrator] FAIL LOGIN: Client "87.241.52.130"
Wed Sep 17 01:43:37 2008: New Fail user registered: Administrator IP: 87.241.52.130
Wed Sep 17 01:43:40 2008: Failed login attempt: Wed Sep 17 01:43:39 2008 [pid 6862] [Administrator] FAIL LOGIN: Client "87.241.52.130"
Wed Sep 17 01:43:40 2008: Found user: Administrator with IP: 87.241.52.130 and error cnt 1 in list!
Wed Sep 17 01:43:40 2008: Raise user error count(2): 87.241.52.130[Administrator]
Wed Sep 17 01:43:42 2008: Failed login attempt: Wed Sep 17 01:43:41 2008 [pid 6862] [Administrator] FAIL LOGIN: Client "87.241.52.130"
Wed Sep 17 01:43:42 2008: Found user: Administrator with IP: 87.241.52.130 and error cnt 2 in list!
Wed Sep 17 01:43:42 2008: Raise user error count(3): 87.241.52.130[Administrator]
Wed Sep 17 01:43:42 2008: BAN this ass with IP: 87.241.52.130
Wed Sep 17 01:53:45 2008: UNBAN user (Administrator) with IP: 87.241.52.130

akbor
20-09-2008, 17:04
Mal eine bl&#246;de Frage, in welchem Verzeichnis speichert vsftpd standardm&#228;&#223;ig seinen Log? Ich habe weder unter /var/log/ (das Verzeichnis in dem Samba-Logs liegen) noch unter /tmp/ (das Verzeichnis in dem Sys-Log liegt) eine vsftpd.log

Gru&#223;

Robert

thE_29
20-09-2008, 20:45
Läuft den bei dir der Standard vsftpd Server der FW?
Oder hast du wo eine config Datei?

akbor
20-09-2008, 22:05
Standard!

Gru&#223;

Robert

thE_29
20-09-2008, 22:44
Und der läuft bei dir?
Was hast du für Dinge eingestellt?
Bei mir is der nie gelaufen.

Habe dann ne vsftpd.conf nach /etc kopiert und in .files umgeleitet, sodaß es auch nachher noch da ist.
Da kannste auch Log angeben. Wo er defaultmäßig hinlogt weiß ich nicht. Müsstes oleg fragen..

akbor
21-09-2008, 11:47
Ja klar l&#228;uft es. Es l&#228;uft zumindest so gut, dass ich nicht auf die Idee gekommen bin, irgendetwas an der Standard-Konfig zu &#228;ndern.

Alle Einstellungen aus dem Webinterface sind unter /etc/ zu finden (die Dateien vsftpd.conf, vsftpd.passwd und die ganzen Benutzer in /etc/vsftpd.users/) Aber eine Datei namens vsftpd.log kann ich nirgends finden :(

Vielleicht wird vsftpd standardm&#228;&#223;ig so gestartet, dass es nur in syslog schreibt und keine eigene Logdatei anlegt?

Gru&#223;

Robert

thE_29
21-09-2008, 14:10
Also bei mir ist der nie gelaufen!
Und bei mir sind auch keine Konfig files in /etc mit vsftpd!
Könntest du mir einen Screenshot von der FTP Konfig zeigen?

Bei mir will und will der nicht starten! Eventuell schau in die /etc/vsftpd.conf nach ob irgendwo was von log steht!

Der Eintrag gibt die LogDatei an
vsftpd_log_file=....

akbor
21-09-2008, 15:26
klar!

es ist aber im grossen ganzen nur Enable FTP Server auf "Yes" zu setzen und Benutzer mit den n&#246;tigen Rechen anlegen, schon funktioniert's.

ich habe keinen Parameter vsftpd_log_file=.... unter /etc/vsftpd.conf, also loggt mei vsftpd nirgendwo hin ausser in syslog. Das heisst, du hast dein /etc/ nach /opt/etc/ (also auf die Platte) &#252;bermountet, oder wie?


[admin@wlanrouter etc]$ cat vsftpd.conf
anonymous_enable=no
dirmessage_enable=yes
download_enable=no
dirlist_enable=no
hide_ids=yes
syslog_enable=yes
local_enable=yes
local_umask=022
chmod_enable=no
chroot_local_user=yes
check_shell=no
user_config_dir=/etc/vsftpd.users
passwd_file=/etc/vsftpd.passwd
listen=yes
listen_port=21
background=yes
max_clients=3
idle_session_timeout=240
utf8=yes
use_sendfile=no
anon_max_rate=0
local_max_rate=0
[admin@wlanrouter etc]$


Gru&#223;

Robert

thE_29
30-09-2008, 18:06
Schau mal nach /tmp/syslog.log ob dort was steht zwecks ftp!

Ich werde das Programm vsftp_banner nicht mehr weiterführen und den log_banner weitermachen.

Der log_banner kann dann individuel auf das vsftpd oder auf das syslog zugreifen.
Es geht zwar nur eine Log Datei aufeinmal auswerten, aber mehrere Programme.

Bin zZ noch bei der Logik vom Logfile aufbauen und einlesen!

akbor
30-09-2008, 18:59
ja, im Syslog sthehen auch die Meldungen von vsftpd, z.B.:

Sep 29 18:13:25 vsftpd[2952]: CONNECT: Client "59.108.108.100"
Sep 29 18:13:25 vsftpd[2951]: [admin] FAIL LOGIN: Client "59.108.108.100"
Sep 29 18:13:27 vsftpd[2951]: [admin] FAIL LOGIN: Client "59.108.108.100"
Sep 29 18:13:28 vsftpd[2951]: [admin] FAIL LOGIN: Client "59.108.108.100"

die meisten gehen nach wie vor auf den "admin" der "Administrtor" los. Ich &#252;berlege schon ernsthaft, einen FTP-User namens admin mit dem Passwort 12345 oder so im Private-Bereich einzurichten und eine readme.txt mit ungef&#228;hr folgendem Inhalt (in 5 g&#228;ngigen Sprachen oder so) anzulegen:

"Leber Hacker, du bist soeben erfolgreich in den Honey-Pod #94456 des Federal Bureau of Investigations eingedrungen. Deine IP-Adresse wurde protokolliert. Du wirst in den n&#228;chsten Tagen Post von dem f&#252;r deinen Wohnort zust&#228;ndigen Staatsanwalt bekommen."

W&#228;re doch ein Spass, oder? Ich werde leider nie erfahren, ob sich jemand ins Hemd maht, oder nicht :(

:D

auf welche Dienste willst du deinen Banner ausweiten?

Gru&#223;

Robert

thE_29
30-09-2008, 19:42
Naja, man kann es auf syslog zeigen lassen und dann so ziemlich jedes Programm hinzukonfigurieren.

Also ich werte erst nach den ersten 3 Token aus.

Also ersten 3 Leerzeichen texte weg == datum. Dann kan man sagen wenn vsftpd steht und es steht FAIL LOGIN dann suche IP + USER raus (gibt man auch an).

Man kann es für dropbear auch konfigurieren und halt eigentlich alles was da was reinloggt mit IP + Error Nachricht.

legolas
30-09-2008, 22:28
Hi,

wäre nicht schlecht, wenn Du Dein Programm universell machen könntest. Dann kann man alles blocken.

Hab mal in meinem Log nachgesehen und musste leider feststellen, dass beim mir auch die Einbruchversuche von IP 222.216.28.224 über SSH durchgeführt werden. Es sieht sehr unbedarft aus, da alle Ports zufällig oder teilsystematisch durchprobiert werden.



Sep 27 08:15:12 dropbear[6527]: exit before auth: Disconnect received
Sep 27 08:15:13 dropbear[6528]: Child connection from ::ffff:222.216.28.224:8322
Sep 27 08:15:15 dropbear[6528]: login attempt for nonexistent user from ::ffff:222.216.28.224:8322
Sep 27 08:15:16 dropbear[6528]: exit before auth: Disconnect received
Sep 27 08:15:17 dropbear[6529]: Child connection from ::ffff:222.216.28.224:8911
Sep 27 08:15:19 dropbear[6529]: login attempt for nonexistent user from ::ffff:222.216.28.224:8911
Sep 27 08:15:20 dropbear[6529]: exit before auth: Disconnect received
Sep 27 08:15:21 dropbear[6530]: Child connection from ::ffff:222.216.28.224:9505
Sep 27 08:15:23 dropbear[6530]: login attempt for nonexistent user from ::ffff:222.216.28.224:9505
Sep 27 08:15:24 dropbear[6530]: exit before auth: Disconnect received
Sep 27 08:15:25 dropbear[6531]: Child connection from ::ffff:222.216.28.224:9750
Sep 27 08:15:27 dropbear[6531]: login attempt for nonexistent user from ::ffff:222.216.28.224:9750
Sep 27 08:15:28 dropbear[6531]: exit before auth: Disconnect received
Sep 27 08:15:29 dropbear[6532]: Child connection from ::ffff:222.216.28.224:10340
Sep 27 08:15:31 dropbear[6532]: login attempt for nonexistent user from ::ffff:222.216.28.224:10340
Sep 27 08:15:32 dropbear[6532]: exit before auth: Disconnect received
Sep 27 08:15:33 dropbear[6533]: Child connection from ::ffff:222.216.28.224:10888
Sep 27 08:15:35 dropbear[6533]: login attempt for nonexistent user from ::ffff:222.216.28.224:10888
Sep 27 08:15:36 dropbear[6533]: exit before auth: Disconnect received
Sep 27 08:15:36 dropbear[6534]: Child connection from ::ffff:222.216.28.224:11482
Sep 27 08:15:39 dropbear[6534]: login attempt for nonexistent user from ::ffff:222.216.28.224:11482
Sep 27 08:15:40 dropbear[6534]: exit before auth: Disconnect received
Sep 27 08:15:40 dropbear[6535]: Child connection from ::ffff:222.216.28.224:12050
Sep 27 08:15:43 dropbear[6535]: login attempt for nonexistent user from ::ffff:222.216.28.224:12050
Sep 27 08:15:44 dropbear[6535]: exit before auth: Disconnect received
Sep 27 08:15:44 dropbear[6536]: Child connection from ::ffff:222.216.28.224:12319


Ich hab den bzw. die Rechner mal über traceroute rückverfolgt. Dabei kam heraus, dass der Rechner in China steht.



Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Norbert>ping 222.216.28.224

Ping wird ausgeführt für 222.216.28.224 mit 32 Bytes Daten:

Antwort von 222.216.28.224: Bytes=32 Zeit=355ms TTL=44
Antwort von 222.216.28.224: Bytes=32 Zeit=372ms TTL=42
Antwort von 222.216.28.224: Bytes=32 Zeit=394ms TTL=42
Antwort von 222.216.28.224: Bytes=32 Zeit=417ms TTL=44

Ping-Statistik für 222.216.28.224:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 355ms, Maximum = 417ms, Mittelwert = 384ms

C:\Dokumente und Einstellungen\Norbert>tracert 222.216.28.224

Routenverfolgung zu 222.216.28.224 über maximal 30 Abschnitte

1 91 ms 100 ms 7 ms fritz.fonwlan.box [192.168.1.251]
2 112 ms 100 ms 101 ms rdsl-dsdf-de01.nw.mediaways.net [213.20.58.193]

3 121 ms 100 ms 203 ms xmwc-dsdf-de01-chan-18.nw.mediaways.net [195.71.
242.114]
4 111 ms 203 ms 102 ms Ge6-1-0-0-grtfraix1.red.telefonica-wholesale.net
.9.16.84.in-addr.arpa [84.16.9.101]
5 115 ms 100 ms 101 ms GE7-0-0-0-grtfraix3.red.telefonica-wholesale.net
[213.140.36.10]
6 118 ms 203 ms 100 ms 202.97.73.13
7 427 ms 408 ms 407 ms 202.97.52.105
8 420 ms 408 ms 409 ms 202.97.52.89
9 423 ms 407 ms 409 ms 202.97.60.205
10 427 ms 409 ms 408 ms 202.97.34.13
11 424 ms 408 ms 408 ms 202.97.40.226
12 415 ms 368 ms 448 ms 218.65.137.6
13 362 ms 407 ms 408 ms 218.65.137.22
14 422 ms 408 ms 409 ms 222.216.5.130
15 427 ms 408 ms 511 ms 222.216.28.224

Ablaufverfolgung beendet.


Eine Anfrage beim NIC ergab folgenden Betreiber für dieses Netz:



Request: 222.216.28.224
connected to whois.arin.net [192.149.252.44:43] ...
connected to whois.apnic.net [202.12.29.13:43] ...
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 222.216.0.0 - 222.218.255.255
netname: CHINANET-GX
descr: CHINANET Guangxi province network
descr: China Telecom
descr: No1,jin-rong Street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CR766-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-GX
mnt-routes: MAINT-CHINANET-GX
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20040324
source: APNIC

role: CHINANET GUANGXI
address: No.35,Minzhu Road,Nanning 530015
country: CN
phone: +86-771-2815987
fax-no: +86-771-2839278
e-mail: hostmaster@gx163.net
trouble: send spam reports to hostmaster@gx163.net
trouble: send abuse reports to hostmaster@gx163.net
trouble: times in GMT+8
admin-c: CR76-AP
tech-c: BD37-AP
nic-hdl: CR766-AP
remarks: http://www.gx.cninfo.net
notify: hostmaster@gx163.net
mnt-by: MAINT-CHINANET-GX
changed: hostmaster@gx163.net 20021024
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: dingsy@cndata.com 20070416
mnt-by: MAINT-CHINANET
source: APNIC


Wir haben es also mit einer gelben Invasion zu tun. Teilweise kommen auch Einbruchversuche aus Japan. Vermutlich sind diese Rechner von Chinesen gehackt worden und sniffen von dort aus.

Bin daher also auch an einer guten Lösung interessiert.

Norbert

akbor
01-10-2008, 06:02
Es ist alles vertreten, Polen, Brasilien, China. Die Whois-Abfragen machen im allgemeinen wenig Sinn, es handelt sich meistens um die DHCP-Pools der grossen DSL-Provider. Auch wenn du die Kopie deines Syslogs an abuse@xxx.xxx sendest, kommt sowieso nichts dabei raus, du wirst nur m&#252;de. ;)

Gru&#223;

Robert

thE_29
01-10-2008, 14:22
Also ich kann schon auf syslog Message reagieren und zwischen Programmen unterscheiden!

Problem ist aber das rausparsen der IP!

Man kann Zeichen eintragen (in der conf) welche immer weggelöscht werden sollen.
Aber hier: ::ffff:222.216.28.224:9750
Kann man nicht sagen lösche alle : und f weg, weil dann die ip das ist
222.216.28.2249750 :eek:

Da ich das ganze aber dynamisch halten will, weiß ich nicht wie ich das am besten einstelle!
Hab schon überlegt irgendwie mit regex das angeben zu lassen, nur geht regex unter C++ wieder nicht so super...


Nachtrag: So habe mir eine IP Filtermethode geschrieben die eigentlich recht gut klappt. Das Teil funktioniert auch schon wunderbar auf dem /tmp/syslog.log mit dropbear!
Muss jetzt noch testen wenn 2 verschieden Programme etwas machen wollen und wenn ich es zb auf /opt/var/log/vsftpd.log lege!

wolder
27-10-2009, 08:25
Hallo,

gibts mitlerweile ein Programm, um diese dämlichen idioten auszusperren?!
Ich hab mir gerade mal mein Logfile angeschaut.
6MB gespickt mit diesen blöden Angriffen. Und das in 1 Woche!

Irgendwie nervt das total!

Gruß wolder

akbor
27-10-2009, 08:42
Ich meine, die "Googlecode-Firmware" hat den Schutz gegen Bruteforce jetzt sogar integriert.

Gruß

Robert

wolder
27-10-2009, 08:53
Ich hab aktuell die:
WL500gpv2-1.9.2.7-d-r566.trx
Version drauf.

gibts da irgendwie die Möglichkeit das zu aktivieren?
Muß ich irgendwas beachten?
Gruß wolder

newbiefan
27-10-2009, 12:05
Es gibt sogar eine ganz einfache Möglichkeit, aber die Lösung bedingt einen Start von vsftpd aus der Post-mount. Inder vsftpd.conf einfach folgenden Eintrag hinzu fügen: max_login_fails=20
Dann muss ein falscher Login 20 Sekunden warten. Das hat noch jedem Hacker die Lust vertrieben.
Zur Vorgangsweise siehe Alle HowTos, vsftpd/Fileserver. Du kannst alles weg lassen, lediglich die normalen Einträge (gleich wie bei built in) kopieren und in der .files speichern.
Nach dem flashfs save
flashfs commit
flashfs enable
reboot
startet der vsftpd ohne im Webinterface enabled zu sein.
Dieser Schutz ist super!

Eine weitere Möglichkeit mit ipt_recent ist bereits eingebaut. Leider bin ich nicht am Router, deshalb kann ich vorerst nicht nachsehen - geht mit Sicherheit im Webif.
Am Abend kann ich dir mehr sagen...
LG
newbiefan

carterb
27-10-2009, 12:12
Hallo zusammen,


max_login_fails=20
richtig!

bedingt einen Start von vsftpd aus der Post-mount
Schöner finde ich die Lösung über xinetd:
Script sieht so aus:

service ftp
{
disable = no
socket_type = stream
user = admin
server = /opt/sbin/vsftpd
server_args = /opt/etc/vsftpd.conf
wait = no
nice = 10
only_from = 0.0.0.0/0
}

Ich steh halt auf xinetd :D
Software soll nur dann laufen wenn Sie benötigt wird ;)

newbiefan
27-10-2009, 12:25
Klar Oliver, wenn xinetd läuft, ist es besser!
Jedoch nur, wenn mehrere Server über xinetd gestartet werden, denn xinetd braucht ja auch Platz.
Ansonsten könnte man nachsehen, was mehr Speicher frisst, xinetd oder vsftpd. Ja und nachsehen müsste man auch was passiert, wenn keine ftp Verbindung mehr steht - soweit ich weiss beendet xinetd dann vsftpd nicht mehr, was heissen würde der Platzbedarf wird grösser als vorher.

Aber bei seltenen FTP Verbindungen, bzw, wenn selten alle Server benutzt werden, hast du natürlich recht - dann ist xinetd das Maß der Dinge.
Viel Spass
Newbiefan

wolder
27-10-2009, 19:15
Hallo,

Ich hab jetzt das avbf von Newbiefan installiert und max_login_fails=20 in der config eingetragen.

Heute über Tag war es relativ ruhig. heute abend gings jetzt wieder los!



Oct 27 17:07:31 dropbear[1284]: login attempt for nonexistent user from 201.33.229.246:53313
Oct 27 17:07:31 dropbear[1284]: exit before auth: Disconnect received
Oct 27 17:07:35 dropbear[1285]: login attempt for nonexistent user from 201.33.229.246:53733
Oct 27 17:07:35 dropbear[1285]: exit before auth: Disconnect received
Oct 27 17:07:38 dropbear[1286]: login attempt for nonexistent user from 201.33.229.246:54097
Oct 27 17:07:39 dropbear[1286]: exit before auth: Disconnect received
Oct 27 17:07:43 dropbear[1287]: login attempt for nonexistent user from 201.33.229.246:54544
Oct 27 17:07:44 dropbear[1287]: exit before auth: Disconnect received
Oct 27 17:07:47 dropbear[1288]: login attempt for nonexistent user from 201.33.229.246:55039
Oct 27 17:07:48 dropbear[1288]: exit before auth: Disconnect received
Oct 27 17:07:54 dropbear[1289]: login attempt for nonexistent user from 201.33.229.246:55421
Oct 27 17:07:55 dropbear[1289]: exit before auth: Disconnect received
Oct 27 17:07:59 dropbear[1290]: login attempt for nonexistent user from 201.33.229.246:56159
Oct 27 17:08:00 dropbear[1290]: exit before auth: Disconnect received
Oct 27 17:08:03 dropbear[1291]: login attempt for nonexistent user from 201.33.229.246:56667
.....

usw.
was kann ich noch tun?!
Mir geht das ganz schön auf den s...

Das dumme ist nur, dass ich absoluter Anfänger bin...

Gruß wolder

newbiefan
27-10-2009, 19:27
Hallo,

Ich hab jetzt das avbf von Newbiefan installiert und max_login_fails=20 in der config eingetragen.

Heute über Tag war es relativ ruhig. heute abend gings jetzt wieder los!



usw.
was kann ich noch tun?!
Mir geht das ganz schön auf den s...

Das dumme ist nur, dass ich absoluter Anfänger bin...

Gruß wolder

Warte kurz, stelle dir meine Sperrliste hier hinein, die brauchst du nur nach /opt/etc/hosts.deny kopieren. Avbf liest genau diese Liste ein.
Die Liste habe ich in monatelanger Arbeit zusammen gestellt und jeden Angriff dokumentiert. Letztendlich habe ich alle Laender aus dem APNIC (Asia-Pacific Region) sperren muessen, sowie ein paar kleinere Netze aus verschiedenen Laendern. Falls du einen Webserver usw. betreibst, unbedingt eine Robots Datei anlegen und alle Suchmaschinen verbieten.
Wie startest du avbf (und ev. checklog)?
Irgend etwas stimmt nicht mit deiner avbf, denn mehr als 3 Angriffe von einer IP sind nicht moeglich!
Uebrigens: Mache unbedingt den Port 22 zu, ich vermute, du startest avbf und loescht deine Firewall - also nimm einmal den Start von avbf heraus, ich schreibe dir avbf um.
Benutzt du den Router als reines Gateway/Router?
Kannst du einmal die Ausgabe von iptables -n -L posten? Falls die Ausgabe zu lang wird, leite die Ausgabe in eine Datei und poste diese.
iptables -n -L > /tmp/mnt/ipt.txt (Alles steht dann in der Datei /tmp/mnt/ipt.txt)
Bis gleich....
LG
Newbiefan

wolder
27-10-2009, 19:31
Ich hab gerade gesehen, dass ich avbf nicht richtig gestartet habe.
Ich hatte es heute mittag in die post-mount geschrieben. jetzt hab ich gerade nachgeschaut und es war wohl nicht gespeichert.

checklog hab ich nicht mitgemacht. Ist das wichtig. wo anders hast du geschrieben, dass das nicht mehr so wichtig sei.

Sorry.
Ich muß aufhören. Die gute Seele des hauses kommt nach hause.
Ich meld mich morgen früh wieder!

Danke
und Gruß
Wolder

akbor
27-10-2009, 19:35
Hi,

das sind die Einstellungsm&#246;glichkeiten im Webinterface der Googlecode-FW.

http://online.schwaben-net.de/~s_002496/Images_for_Asus_Forum/Anti_Bruteforce.png

Doch eigentlich genau das, was du haben willst. Ist quasi geschenkt.

Gru&#223;

Robert

wolder
27-10-2009, 20:31
Hallo newbiefan,

mein Router ist im AP-Mode.
Vermutlich sehe ich deshalb auch nicht das Menü von Akbor oder ich hab doch eine ältere Version installiert.

Hier mal die ausgabe von iptables -n -L

newbiefan
27-10-2009, 21:15
Hallo newbiefan,

mein Router ist im AP-Mode.
Vermutlich sehe ich deshalb auch nicht das Menü von Akbor oder ich hab doch eine ältere Version installiert.

Hier mal die ausgabe von iptables -n -L

Danke, soweit ich bis jetzt sehen kann, fehlt die komplette brute Chain, da steht nichts mehr drinnen......
Ich poste den Script nochmals, angepasst auf den Betrieb ohne checklog.
Den kannst du 1 zu 1 uebernehmen. Weiters bekommst du die neue hosts.deny -Liste.
Diese speicherst du in /opt/etc/hosts.deny und startest danach avbf.
Du brauchst keinen Cron Eintrag mehr vorzunehmen, falls du einen erstellt hast (fuer checklog), bitte entfernen.

Stelle den Aufruf fuer avbf beim Booten in die post-mount vor der Zeile mit dem rc.unslung
Kontrolliere einmal pro Woche mit iptables -nv -L wieviele Zugriffe aus welchem Netz gekommen sind.

Kommen zu viele durch, erweitere deine /opt/etc/hosts.deny einfach um diese ip
Das machst du so: z.Bspl. 214.22.14.87 kommt oefter durch (nicht wegen einmal),
dann fuegst du hinzu 214.22.0.0/16
Kommt immer noch etwas aus dem 214 er Netz, einfach 214.0.0.0/8 in die hosts.deny einfuegen.
Vergiss nicht, avbf danach neu zu starten.
Deine Eintraege sind fuer port22, dropbear. Falls du den ssh Zugang nicht brauchst, Port 22 sperren.

Eventuell wird ipt_recent nicht geladen, bitte noch die Ausgabe von "lsmod" , da muss ipt_recent drinnen stehen.

LG
Newbiefan

Im Anhang der neue avbf und die neue, aktuelle hosts.deny Liste, genau so wie ich sie verwende.

wolder
28-10-2009, 08:33
Vielen Dank.

Ich brauch den port 22, da ich auf der Arbeit mehr Zeit hab mit dem Router zu spielen als zu hause.

Leider hab ich heute morgen das Problem, dass ich gar nicht mehr auf den Router komme....
Kann aber auch an die Verbindung zur Fritzbox liegen.
Zur not muss ich heute abend mal dran, wenn die gute Seele mitspielt!
avbf muss in der post-mount vor rc.unslug?!
Ok, das muss ich noch ändern.

Ich meld mich wieder!
Gruß wolder

carterb
28-10-2009, 08:45
Hi,


Ich brauch den port 22, da ich auf der Arbeit mehr Zeit hab mit dem Router zu spielen als zu hause.

Das ist mal ne klasse Aussage LOL :D:D:D

Frohes Schaffen!

wolder
28-10-2009, 08:51
:p:p:p

Danke!
:D:D:D

wolder
28-10-2009, 11:33
kann es sein, dass ich mir mit dem Programm die Ports zu gemacht habe?
Ich kann weder auf dem Webserver, auf port 22 noch auf port 21 zugreifen!

Die Verbindung ist ok!
Habs gerade telefonisch nachgefragt.

gruß wolder

newbiefan
28-10-2009, 13:00
Ja, kann schon sein - nach 3 x Verbindungsaufbau ist die IP für 3 Minuten geblockt.
Nach wenigen Minuten erfolgt wieder eine automatische Entsperrung
Newbiefan

wolder
28-10-2009, 13:06
Ich habs aber auch schon nach 3 min wieder versucht.
Immer das gleiche...

Kann es an meiner IP liegen.
Die liegt im 62.72.... Bereich?
Ist die zufällig im der host.deny mit aufgeführt.
Ich weiß, das eine im 62...-Breich aufgelistet ist, aber ich weiß nicht, ob alle aus dem 62.x.x.x bereich gesperrt werden.

Gruß wolder

newbiefan
28-10-2009, 19:19
Ich habs aber auch schon nach 3 min wieder versucht.
Immer das gleiche...

Kann es an meiner IP liegen.
Die liegt im 62.72.... Bereich?
Ist die zufällig im der host.deny mit aufgeführt.
Ich weiß, das eine im 62...-Breich aufgelistet ist, aber ich weiß nicht, ob alle aus dem 62.x.x.x bereich gesperrt werden.

Gruß wolder

Die IP 62.72.x.x wird nicht gesperrt, lediglich 62.14.x.x
Keine Bange, einfach systematisch vorgehen.

In der nachfolgenden Ausgabe muss ipt_recent zu finden sein:
ls /lib/modules/2.4.37/

Dann wie bereits geschrieben
/opt/sbin/avbf &

in die /tmp/local/sbin/post-mount schreiben, unmittelbar vor der Zeile /opt/etc/init.d/rc.unslung

danach einmal:
flashfs save
flashfs commit
flashfs enable
reboot

Nach dem Reboot nochmals einloggen und mit
lsmod
nachsehen, ob das Modul ipt_recent geladen ist.

Ist soweit alles in Ordnung, Kontrolle mit
iptables -nv -L

Falls sich etwas anderes zeigt oder meldet, bitte Nachricht, wenn es geht ebenfalls. Du kannnst die Funktion nur von extern probieren, intern funktioniert das nicht.
Wenn du drei mal einen Zugriff innerhalb von 3 Minuten aufbaust, wirst du fuer drei Minuten geblockt. Achtung bei FTP-Verbindungen, die bauen manchmal viele parallele Verbindungen auf - steht eine Verbindung, wird diese nicht mehr gezaehlt.

Hinweis:
Wenn du eine Fritzbox benutzt, erlaube auf die Fritzbox einen https Zugriff von aussen und waehle einen seltenen Usernamen und ein super Passwort. Dann sperre ich den Port 22 auf den Asus. Wenn ich einen Zugang brauche, kann ich diesen von extern auf der Fritzbox oeffnen, das war fuer mich die endgueltige Loesung, nebst einem Eintrag in die Robots Datei, dass kein Suchdienst meine Seiten indiziert.
Seitdem ist absolute Ruhe - kein einziger, verdaechtiger Eintrag mehr im Syslog.

LG
Newbiefan

P.S. Script Kiddies scannen im Netz meist nur Port 21/22.
So sieht z.Bspl. meine Iptables -nv -L nach einem Tag aus.
Die SSH Verbindung war fuer ca. 4 Stunden offen. Wenn ich an frueher denke - da waren tausende Eintraege am Abend...........heute fast nichts mehr.

wolder
28-10-2009, 19:55
In der nachfolgenden Ausgabe muss ipt_recent zu finden sein:
ls /lib/modules/2.4.37/

1. Fehler:
Das modul heißt bei mir nicht 2.4.37 sondern 2.4.37.5, warum auch immer?!
Ich habs händisch in avbf geändert. Und gleichzeitig auch den Port für lighttpd, der noch auf 8081 stand. (8000 auf 8081 geändert)


Dann wie bereits geschrieben
/opt/sbin/avbf &
2. Fehler:
Ich dachte das & hätte nix zu bedeuten. Hatte ich weggelassen.


in die /tmp/local/sbin/post-mount schreiben, unmittelbar vor der Zeile /opt/etc/init.d/rc.unslung
3. Fehler:
war natürlich dahinter...

Ob die Iptables in Ordnung ist, kann ich so nicht beurteilen.
Aber das sieht schon mal ganz gut aus.
Ich häng sie aber mal mit an.

Ich habs jetzt mal ausprobiert.
Mit Putty angewählt und 4! mal versucht falsch einzuloggen.
Danach konnte keine Verbindung mehr hergestellt werden.

Scheint also zu klappen! Wenn auch nur nach dem 4. Mal! Aber egal.

Beim FTP ist es wirklich nach 3 mal.
Egal. Es scheint zu funktionieren.
Ich werd mir morgen nochmal das syslog anschauen.

Den Hinweis kann ich leider nicht befolgen.
Die Fritzbox gehört nicht mir, sondern meinem Nachbarn.
Da will ich nicht zu viel ändern, sonst gibts Ärger.
Aber ich hab die Portweiterleitung geändert. Jetzt darf Putty nicht mehr mit dem Standardport geöffnet werden, sondern ein anderer Port benutzt werden.
Mal schauen ob es sich bessert!

Vielen, vielen Dank für die Geduld und gute Hilfe!
Ich meld mich morgen nochmal, ob es wirklich geklappt hat.

Danke und schöne Grüße
wolder

wolder
28-10-2009, 19:58
Sorry,
iptables vergessen

newbiefan
28-10-2009, 22:21
Sorry,
iptables vergessen

Perfekt, jetzt geht es - freut mich.

Man sieht sofort, ob jemand in der Brute Chain geblockt wurde.
Gratuliere
LG Newbiefan

newbiefan
29-10-2009, 23:10
@wolder

Sorry, hatte einen kleinen Fehler in den Postings vorher.
Stelle in der vsftpd.conf folgende Zeilen um bzw. hinzu fuegen:


max_login_fails=1
delay_failed_login=15
use_localtime=yes
ftpd_banner="welcome to wolders ftp server, be aware everything is logged"


Erklaerung:
max_login_fails laesst eine Verbindung zu, wenn falscher Login muss man delay_failed_login Sekunden warten, bis eine neue Verbindung aufgebaut werden kann.
use_localtime stellt die Zeit richtig (wird sonst an der Gegenstellt falsch angezeigt).
Und ftpd_banner wird immer bei Verbindungsaufbau an die Gegenstelle uebermittelt.

Vergiss nicht
flashfs save
flashfs commit
flashfs enable
reboot

Zusammen mit avbf bist du sehr sicher unterwegs........
LG
newbiefan

wolder
30-10-2009, 10:45
Vielen Dank.

Das funktioniert soweit ganz gut.
Ich hab noch nen Problem mit dem Cronjob!
Hier ein Eintrag aus dem syslog:

cron[381]: (CRON) DEATH (can't lock /opt/var/run/cron.pid, otherpid may be 160: Resource temporarily unavailable)

Hab folgenden Eintrag in der crontab:

*/1 * * * * root /opt/sbin/logwrite.sh


Ich wollte das der das minütlich ausführt, erstmal um zu testen. Danach vielleicht jede Stunde.
Die Datei ist vorhanden und funktioniert auch. Von hand kann ich sie starten und sie schreibt mir das syslog auf der homepage.
Aber der cron funktioniert nicht!

Gruß wolder

newbiefan
30-10-2009, 20:02
Hab folgenden Eintrag in der crontab:

*/1 * * * * root /opt/sbin/logwrite.sh

Die Datei ist vorhanden und funktioniert auch. Von hand kann ich sie starten und sie schreibt mir das syslog auf der homepage.
Aber der cron funktioniert nicht!
Das ist natuerlich nicht ganz so einfach, hier eine brauchbare Ferndiagnose zu stellen.
1.) Bist du wirklich root und nicht admin oder sonstwer (User)?
2.) Wenn du mittels Script den Logfile irgendwo hinkopierst, kann ich dir schon jetzt sagen, dass du frueher oder spaeter gewaltige Probleme bekommst. Alle Programme schreiben in das Syslog, bei mir kam es zu Problemen wenn gleichzeitig zugegriffen wurde=Absturz.
Ein Tip kam von al37919, habe ich aber nie probiert: (z.Bspl.)

logfile=/opt/var/log/syslog.log
[ -r $logfile ] && cat $logfile > irgendwohin
3.) kannst du einmal deine crontab, sowie die Datei /opt/etc/init.d/S10cron posten?
4.) Falls trotzdem alles richtig ist, verwende im script logwrite.sh fuer jeden Befehl den vollen Pfad. Jedenfalls kenne ich diese Art der Cronfehlermeldung nicht.
Aber ich weiss, dass Cron etwas anders reagiert als die normale Shell. Damit hatte ich gelegentlich Probleme. Notfalls mache dir einen kurzen Script und rufe diesen von Cron auf:
#!/bin/sh
echo $PATH > /tmp/mnt/pfad.txt

und schaue dir die Ausgabe an.
LG
Newbiefan

wolder
02-11-2009, 11:05
Mir fällt gerade ein, dass ich den Benutzername geändert habe...

Ich logge mich nicht mehr mit root ein sondern mit einem andren Namen.
Wahrscheinlich liegts daran.

Ich muss es nachher mal ausprobieren. Heute hab ich leider wenig Zeit.

Die Crontab bzw. /opt/etc/init.d/S10cron ist so wie in Wengi´s Howto.

Liegt wahrscheinlich wirklich am namen. Ich hatte es mit root und mit admin probiert.

Das script kann ich von hand starten und funktioniert auch. Daran kann es eigentlich nicht liegen.

Ich meld mich morgen nochmal.

Gruß wolder

newbiefan
02-11-2009, 21:43
einfach :

cat /etc/passwd

dann bekommst du den Namen, welchen du in die Crontab eintragen musst.
newbiefan

wolder
03-11-2009, 07:20
Jo, alles klar.
Jetzt läufts!

Besten Dank!

Gruß wolder