|
|
Dziwne logi. Bot ddosnetu?
blaher - 19-01-2009 18:28
Jan 19 18:03:10 host378 sshd[10805]: pam_unix(sshd:session): session closed for user bot
Jan 19 18:03:10 host378 sshd[10815]: pam_unix(sshd:session): session closed for user bot
Jan 19 18:09:01 host378 CRON[11145]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 19 18:09:02 host378 CRON[11150]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 19 18:09:02 host378 CRON[11145]: pam_unix(cron:session): session closed for user root
Jan 19 18:09:02 host378 CRON[11150]: pam_unix(cron:session): session closed for user root
Jan 19 18:17:01 host378 CRON[11309]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 19 18:17:01 host378 CRON[11309]: pam_unix(cron:session): session closed for user root
o czym to swiadczy? jak sprawdzic czy ktos bota ddosnetu mi na serwie nie postawil. prosze o pomoc
Liseeeek - 20-01-2009 01:51
Chyba chodzi Ci o bota botnetu :P, ddos to metoda ataku sieci botnet.
Ale odpowiedzi na pytanie nie znam może więcej logów dasz?
Utumno - 20-01-2009 03:39
Czy to jest /var/log/auth.log?
Czy to jest CALY /var/log/auth.log?
blaher - 20-01-2009 11:26
To jest kawałek auth.log, ten który budzi moje podejrzenia. Może ktoś pomóc?
Utumno - 20-01-2009 11:50
Dwie pierwsze linie rzeczywiscie wygladaja bardzo podejrzanie (reszta jest niegrozna).
Wklej tu:
cat /var/log/auth.log | grep bot
blaher - 20-01-2009 12:44
,,bot'' to akurat część od mojego konta. Więc niegroźne to jest? Dlaczego takie logi pojawiają się w nocy? Czy aby na pewno nikt się nie loguje na konto roota?
lis6502 - 20-01-2009 16:55
Zmień hasło root'a i sprawdź z rana log. Jeśli będizesz miał nieudane próby połączenia, to chyba wiadomo co to znaczy :).
Utumno - 20-01-2009 17:35
eh, myslalem ze martwisz sie o te SSH uzytkownika 'bot' .
Ostatnie 6 linii to jest CRON. Cos ci tam chodzi w cronie.... Calkowicie normalne.
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
