Jag funderar på vad det är för loggar man bör kika på i Ubuntu
(Karmic Koala 9.10), om man plötsligt blir urloggad?
Jag satt och kikade på ett avsnitt av "Fringe", precis när detta var slut loggades jag ur från fluxbox till login-skärmen.
Med mitt paranoida tänkande ryckte jag ur nätverkskabeln och började gå igenom "/var" efter loggar som skulle kunna förklara vad som hänt. Men jag hittade ingenting....... mer än JÄVLIGT mycket loggfiler såklart
Någon som skulle vilja förklara vad jag letar efter och i vilken logg? tänkte att man kanske kan se om ett okänt IP avgett något kommando eller dylikt?
Jag antar att det kanske inte är så stor chans att någon behörig har tillgång till systemet, men det är ju absolut inte en omöjlighet heller.
Jag såg förresten i någon logg att det hade hänt något skevt med "pulseaudio". Kan detta resultera i att man blir utloggad kanske?
Om det hände samtidigt som du blev utloggad skulle jag inte säga att det är omöjligt.
Har du ssh på mot nätet ? (öppen fw och liknande)?
Om du ska kolla loggar så vore ju /var/log/auth.log passande att se om en session öppnades innan problemet.
DenyHosts is a script intended to be run by Linux system administrators to help thwart SSH server attacks (also known as dictionary based attacks and brute force attacks).
jag har ganska många fina loggar på blockade bruteforcers senaste var idag
Jan 22 07:31:25 xxx denyhosts: Added the following hosts to /etc/hosts.deny - xxx.xxx.xxx.xxx(xx-xxx-xxx-xxx.dhcp.mdsn.wi.charter.com)
edit: du vill inte visa pulsaudio loggen föressten? kanske blir lättare att se vad som hände då =)
Om det hände samtidigt som du blev utloggad skulle jag inte säga att det är omöjligt.
Har du ssh på mot nätet ? (öppen fw och liknande)?
Om du ska kolla loggar så vore ju /var/log/auth.log passande att se om en session öppnades innan problemet.
jag har ganska många fina loggar på blockade bruteforcers senaste var idag
Jan 22 07:31:25 xxx denyhosts: Added the following hosts to /etc/hosts.deny - xxx.xxx.xxx.xxx(xx-xxx-xxx-xxx.dhcp.mdsn.wi.charter.com)
edit: du vill inte visa pulsaudio loggen föressten? kanske blir lättare att se vad som hände då =)
Jag har otroligt taskig säkerhetskoll, är helt grön i Linuxvärlden så jag har då inte mig veterligen SSH mot nätet. Men det låter som att det är något jag bör ta reda på hur man gör!?
Det enda i säkerhetsväg jag VET att jag kör är ju då iptables, och oftast har jag igång dess frontend "firestarter".
Jag har kopierat in lite loggutdrag här nedan. Jag tycker att det ser lite knepigt ut, eller? jag låg ju och sov jag mellan..... tja, säg halv nio och 16:00.
/var/log/auth.log
Jan 22 08:03:29 burken gdm-session-worker[3355]: pam_unix(gdm:session): session closed for user anvandare
Jan 22 08:04:00 burken gdm-session-worker[24739]: pam_unix(gdm:session): session opened for user anvandare by (uid=0)
Jan 22 08:04:00 burken gdm-session-worker[24739]: pam_ck_connector(gdm:session): nox11 mode, ignoring PAM_TTY :0
Jan 22 08:09:51 burken su[25054]: pam_unix(su:auth): authentication failure; logname=anvandare uid=1000 euid=0 tty=/dev/pts/0 ruser=anvandare rhost= user=root
Jan 22 08:09:53 burken su[25054]: pam_authenticate: Authentication failure
Jan 22 08:09:53 burken su[25054]: FAILED su for root by anvandare
Jan 22 08:09:53 burken su[25054]: - /dev/pts/0 anvandare:root
Jan 22 08:10:09 burken sudo: anvandare : TTY=pts/0 ; PWD=/var/run/rsyslog ; USER=root ; COMMAND=/bin/cat kmsg
Jan 22 08:11:11 burken sudo: anvandare : TTY=pts/0 ; PWD=/var/run/network ; USER=root ; COMMAND=/bin/cat ifstate
Jan 22 08:17:01 burken CRON[25456]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 22 08:17:01 burken CRON[25456]: pam_unix(cron:session): session closed for user root
Jan 22 08:20:35 burken gnome-keyring-daemon[24827]: removing removable location: /media/Elements
Jan 22 08:20:35 burken gnome-keyring-daemon[24827]: no volume registered at: /media/Elements
Jan 22 09:17:01 burken CRON[25885]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 22 09:17:01 burken CRON[25885]: pam_unix(cron:session): session closed for user root
Jan 22 10:17:01 burken CRON[25890]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 22 10:17:01 burken CRON[25890]: pam_unix(cron:session): session closed for user root
Jan 22 11:17:01 burken CRON[25896]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 22 11:17:01 burken CRON[25896]: pam_unix(cron:session): session closed for user root
Jan 22 12:17:01 burken CRON[25901]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 22 12:17:01 burken CRON[25901]: pam_unix(cron:session): session closed for user root
Jan 22 13:17:01 burken CRON[25906]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 22 13:17:01 burken CRON[25906]: pam_unix(cron:session): session closed for user root
Jan 22 14:17:01 burken CRON[25911]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 22 14:17:01 burken CRON[25911]: pam_unix(cron:session): session closed for user root
Jan 22 15:17:01 burken CRON[25916]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 22 15:17:01 burken CRON[25916]: pam_unix(cron:session): session closed for user root
/var/log/syslog
Jan 22 08:03:39 burken pulseaudio[24738]: alsa-mixer.c: Your kernel driver is broken: it reports a volume range from 6.00 dB to 6.00 dB which makes no sense.
Jan 22 08:03:39 burken pulseaudio[24738]: last message repeated 6 times
Jan 22 08:03:39 burken pulseaudio[24738]: module-alsa-card.c: Failed to find a working profile.
Jan 22 08:03:39 burken pulseaudio[24738]: module.c: Failed to load module "module-alsa-card" (argument: "device_id="2" name="2" card_name="alsa_card.2" tsched=yes ignore_dB=no card_properties="module-udev-detect.discovered=1""): initialization failed.
Jan 22 08:03:43 burken kernel: [22560.204074] eth1: link down
Jan 22 08:03:43 burken NetworkManager: <info> (eth1): carrier now OFF (device state 8, deferring action for 4 seconds)
Jan 22 08:03:48 burken NetworkManager: <info> (eth1): device state change: 8 -> 2 (reason 40)
Jan 22 08:03:48 burken NetworkManager: <info> (eth1): deactivating device (reason: 40).
Jan 22 08:03:48 burken NetworkManager: <info> (eth1): canceled DHCP transaction, dhcp client pid 918
Jan 22 08:03:48 burken NetworkManager: <WARN> check_one_route(): (eth1) error -34 returned from rtnl_route_del(): Sucess#012
Jan 22 08:03:48 burken nm-dispatcher.action: Script '/etc/NetworkManager/dispatcher.d/01ifupdown' exited with error status 1.
Jan 22 08:04:19 burken wpa_supplicant[914]: CTRL-EVENT-SCAN-RESULTS
Jan 22 08:04:19 burken wpa_supplicant[914]: WPS-AP-AVAILABLE
Jan 22 08:04:27 burken pulseaudio[24945]: alsa-mixer.c: Your kernel driver is broken: it reports a volume range from 6.00 dB to 6.00 dB which makes no sense.
Jan 22 08:04:27 burken pulseaudio[24945]: last message repeated 6 times
Jan 22 08:04:27 burken pulseaudio[24945]: module-alsa-card.c: Failed to find a working profile.
Jan 22 08:04:27 burken pulseaudio[24945]: module.c: Failed to load module "module-alsa-card" (argument: "device_id="2" name="2" card_name="alsa_card.2" tsched=yes ignore_dB=no card_properties="module-udev-detect.discovered=1""): initialization failed.
Jag måste fan läsa in mig lite på säkerhet, paranoian växer ju bara annars
Citat:
Låter mer som din X-session kraschade
Jag tror säkert att det var såpass simpelt, men jag blir ändå lite paranoid när det händer skumma saker. Så tänkte att det var ju vettigt att vända mig till mer erfarna linuxanvändare. Har ju ingen i bekantskapskretsen som använder linux mer än mig.
Det sista jag kommer ihåg att jag gjorde innan jag lade mig för att sova, var att rycka ur externa disken och sätta ett alarm via kukuklok.com samt ryckte nätverkskabeln förresten. Men den klockan kan väl inte på något vis interagera med cron på något vis? tänkte det är ju en massa sessioner som öppnas och stängs...
Det sista jag kommer ihåg att jag gjorde innan jag lade mig för att sova, var att rycka ur externa disken och sätta ett alarm via kukuklok.com samt ryckte nätverkskabeln förresten. Men den klockan kan väl inte på något vis interagera med cron på något vis? tänkte det är ju en massa sessioner som öppnas och stängs...
Cronjob är oftast inte något farligt då den kör lite processer i som root med bla logrotate om jag inte har helt fel.
I övrigt ser det helt ok ut vad jag ser.
Antagligen bara en crashad X
Cronjob är oftast inte något farligt då den kör lite processer i som root med bla logrotate om jag inte har helt fel.
I övrigt ser det helt ok ut vad jag ser.
Antagligen bara en crashad X
Ahh, då känns det bra mkt lugnare.
Man tackar så mycket
Några tips sådär till en nybörjare om vad man bör använda sig av för säkerhetsverktyg? jag kör ju ingen server eller så.
Hittills är brandväggen det enda jag har, har tänkt sätta mig bakom en router i dagarna också dock, så då blir det dubbla väggar.
Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!
