[Eisfair] Last LogIn Befehlt defekt
Marcus Roeckrath
marcus.roeckrath at gmx.de
Fr Mai 24 08:01:47 CEST 2019
Hallo Daniel,
Daniel Kubein wrote:
>> Du könntest mal folgendes Skript endlos laufen lassen
>>
>> #!/bin/sh
>>
>> Einfach in einer Konsole starten und laufen lassen, Abbruch mit Strg-C.
>
> Wenn ich das in die Konsole kopiere und ENTER passiert rein gar nichts.
> Also müsste man denn visuell irgend etwas sehen?
Da haben wir uns etwas missverstnden.
Das muss erstmal in eine Datei rein, ich schrieb ja ein Skript laufen zu
lassen.
Dann das Skript ausführbar machen
chmod 0755 skriptname
und dann das Skript in der Konsole starten.
>> Ausgegebenen Zeitstempel ist YYMMDDHHmm
>>
>> Dann schauen wir mal z. B. in die Messages, was zu diesen Zeitpunkten
>> passiert.
>
> Unter var log messages erfolgt keine Ausgabe im File.
> Müsste dort etwas drin stehen?
Das Skript schreibt in die Konsole einen Datumsstempel rein. Wenn bei
Skriptlauf in der Konsole ein neues Datum erscheint, kann man nun prüfen,
was zu dieser Zeit passiert ist:
last : Hat sich gerade einer angemeldet; auch smb-Einträge
/var/log/messages : Gibt es hier interessante Einträge zum gleichen
Zeitpunkt, z. B. immer der gleiche cronjob, ...
> Was mir aber in dem File anderes auffällt ist, dass alle
> zehn Minuten folgendes geschrieben wird:
>
> May 24 05:40:00 superkubi fcron[30589]: Job
> '/var/install/bin/vnstat_cron.sh' started for user root (pid 30598)
> May 24 05:40:00 superkubi fcron[30589]: Job
> '/var/install/bin/vnstat_cron.sh' started for user root (pid 30598)
> May 24 05:40:00 superkubi fcron[30589]: Job
> '/var/install/bin/vnstat_cron.sh' completed
> May 24 05:40:00 superkubi fcron[30589]: Job
> '/var/install/bin/vnstat_cron.sh' completed
Zu welchem Paket gehört das?
> und ->
>
> May 24 05:42:15 superkubi sshd[30980]: Unable to negotiate with
> 222.187.225.9 port 11266: no matching key exchange method found. Their
> offer:
>
diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
> [preauth]
> May 24 05:42:15 superkubi sshd[30980]: Unable to negotiate with
> 222.187.225.9 port 11266: no matching key exchange method found. Their
> offer:
>
diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
> [preauth]
> May 24 05:43:47 superkubi sshd[31013]: Unable to negotiate with
> 222.187.221.72 port 48107: no matching key exchange method found. Their
> offer:
>
diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
> [preauth]
> May 24 05:43:47 superkubi sshd[31013]: Unable to negotiate with
> 222.187.221.72 port 48107: no matching key exchange method found. Their
> offer:
>
diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
> [preauth]
> May 24 05:44:13 superkubi sshd[31027]: Unable to negotiate with
> 222.187.225.9 port 49129: no matching key exchange method found. Their
> offer:
>
diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
> [preauth]
> May 24 05:44:13 superkubi sshd[31027]: Unable to negotiate with
> 222.187.225.9 port 49129: no matching key exchange method found. Their
> offer:
>
diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
> [preauth]
# whois 222.187.225.9
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '222.184.0.0 - 222.191.255.255'
% Abuse contact for '222.184.0.0 - 222.191.255.255' is
'anti-spam at ns.chinanet.cn.net'
inetnum: 222.184.0.0 - 222.191.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
Ist der ssh von außen erreichbar?
Die IP kommt aus China!
Wegen in unserem ssh-Server inzwischen abgeschalteter älterer
Verschlüsselungs/Authentifizierungsverfahren, schlagen die Zugriffe fehl,
wenn der "Angreifer" das bei seinem ssh-Client anpasst, käme er druch, wenn
die Passwörter nicht stark genug sind.
Wenn du den ssh von außen nicht brauchst, schalte das ab: Also das
Portforwarding auf dem Router auf den Server.
Diese fehlgeschlagenen Connectversuche könnten ein Grund für das Überlaufen
der wtmp sein.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair