[Eisfair] [E1] grep und BFB

[Olaf Jaehrling]

Hallo Jürgen,

vorab. Sorry für die späte Rückmeldung. Durch einen HW-Schaden war ich
komplett offline.


Jürgen Pfautsch schrieb am 09.07.2016 um 06:23:
> Moin,
> hatte eben mal top beim laufen beobachtet und da tauchte folgende
> Meldung einige Male pro Minute immer mal wieder auf:
> 22535 root      20   0    3292   1072    936 S 2.695 0.052   0:00.10
> /bin/sh /usr/bin/grep -E Failed keyboard-interactive|illegal user|Failed
> publickey|ad password attempt|Authentication failure|ailed
> password|nonexistent user

Danach sucht BFB im Logfile um zu erkennen, ob jemand mittels brute
force dein Passwort knacken will
> 
> In messages tauchen zu der Zeit als einzige Einträge nur erfolgreiche
> BFB-Meldungen auf a la
> Jul  9 11:45:21 eis2 kernel: BCNNET_BLOCK:IN=eth0 OUT=
> MAC=00:26:b9:04:9d:77:f4:ec:38:b5:60:ec:08:00 SRC=210.57.236.150
> DST=192.168.1.11 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=10814 DF PROTO=TCP
> SPT=57519 DPT=6882 WINDOW=8192 RES=0x00 SYN
> URGP=0

Das ist eine Meldung von BCN, dass die geblockte Adresse 210.57.236.150
auf deinen Server zugreifen wollte. (Aber halt geblockt wurde)

Beides hat nichts miteinander zu tun.

> 
> Port 6882 ist offen und auf den Eis weitergeleitet, mein Server steht
> nicht in D. Der Torrentclient war zu diesem Zeitpunkt auch ausgeschaltet.
> 
> Jetzt meine Frage:
> Nach meinem Verständnis sollte es da eigentlich keinen Zusammenhang
> geben, denn wenn BFB blockt, gibt es auch kein grep, oder?

Doch, genau umgekehrt. BFB greppt, nicht BCN.

> Wo also kann da ein grep her kommen? Bzw. wie kann ich da noch tiefer
> nachverfolgen, wer oder was da aktiv ist?

Der grep taucht ja nicht im Logfile sondern im top auf. Da tauchen alle
Befehle auf, die der eisfair macht.
Der grep taucht da auch mehrmals auf, weil in verschiedenen Logfiles
gesucht wird (werden muss). Also pro Logfile 1x

Gruß

Olaf

> 
> Danke
> Jürgen