Daniel Kubein
2021-06-03 04:19:47 UTC
Guten Morgen,
mein eis eis 2.8.25 friert seid zwei Tagen ein und meine Vermutung
sind zu massive Attacken von außen.
Wie äußert sich das? Er reagiert nicht mehr, ich komme per SSH oder
FTP nicht mehr drauf und der Apache ist auch nicht erreichbar.
Was habe ich geändert?
Ich hatte bis dato eine generelle IP-Sperre in der Firewall, die
ich für ***@home rausnehmen musste, da dort sonst die RM von
deren Server-IP nicht durchkommt.
In /var/log/messages füllt sich das LOG massiv im Sekundentakt mit
diesen Einträgen und sind dann auch irgendwann das letzte
Lebenszeichen vom eisfair.
"...
Jun 1 16:12:34 superkubi su: (to exim) root on none
Jun 1 16:12:34 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:12:34 superkubi su: pam_unix(su-l:session): session closed for
user exim
Jun 1 16:16:34 superkubi su: (to exim) root on none
Jun 1 16:16:34 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:16:34 superkubi su: pam_unix(su-l:session): session closed for
user exim
Jun 1 16:20:35 superkubi su: (to exim) root on none
Jun 1 16:20:35 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:20:35 superkubi su: pam_unix(su-l:session): session closed for
user exim
Jun 1 16:24:35 superkubi su: (to exim) root on none
Jun 1 16:24:35 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:24:35 superkubi su: pam_unix(su-l:session): session closed for
user exim
Jun 1 16:28:36 superkubi su: (to exim) root on none
Jun 1 16:28:36 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:28:36 superkubi su: pam_unix(su-l:session): session closed for
user exim
Jun 1 16:32:36 superkubi su: (to exim) root on none
Jun 1 16:32:36 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:32:36 superkubi su: pam_unix(su-l:session): session closed for
user exim
..."
Liege ich mit meiner Vermutung richtig, dass ich von außen wieder
attackiert werde oder weist der Eintrag auf ein anderes, zufällig
parallel aufgetretenes Problem hin?
Die Einträge gab es bis vor zwei Tagen nicht!
Gruß Daniel
mein eis eis 2.8.25 friert seid zwei Tagen ein und meine Vermutung
sind zu massive Attacken von außen.
Wie äußert sich das? Er reagiert nicht mehr, ich komme per SSH oder
FTP nicht mehr drauf und der Apache ist auch nicht erreichbar.
Was habe ich geändert?
Ich hatte bis dato eine generelle IP-Sperre in der Firewall, die
ich für ***@home rausnehmen musste, da dort sonst die RM von
deren Server-IP nicht durchkommt.
In /var/log/messages füllt sich das LOG massiv im Sekundentakt mit
diesen Einträgen und sind dann auch irgendwann das letzte
Lebenszeichen vom eisfair.
"...
Jun 1 16:12:34 superkubi su: (to exim) root on none
Jun 1 16:12:34 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:12:34 superkubi su: pam_unix(su-l:session): session closed for
user exim
Jun 1 16:16:34 superkubi su: (to exim) root on none
Jun 1 16:16:34 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:16:34 superkubi su: pam_unix(su-l:session): session closed for
user exim
Jun 1 16:20:35 superkubi su: (to exim) root on none
Jun 1 16:20:35 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:20:35 superkubi su: pam_unix(su-l:session): session closed for
user exim
Jun 1 16:24:35 superkubi su: (to exim) root on none
Jun 1 16:24:35 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:24:35 superkubi su: pam_unix(su-l:session): session closed for
user exim
Jun 1 16:28:36 superkubi su: (to exim) root on none
Jun 1 16:28:36 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:28:36 superkubi su: pam_unix(su-l:session): session closed for
user exim
Jun 1 16:32:36 superkubi su: (to exim) root on none
Jun 1 16:32:36 superkubi su: pam_unix(su-l:session): session opened for
user exim(uid=494) by (uid=0)
Jun 1 16:32:36 superkubi su: pam_unix(su-l:session): session closed for
user exim
..."
Liege ich mit meiner Vermutung richtig, dass ich von außen wieder
attackiert werde oder weist der Eintrag auf ein anderes, zufällig
parallel aufgetretenes Problem hin?
Die Einträge gab es bis vor zwei Tagen nicht!
Gruß Daniel