[Eisfair_dev] eisfair friert ein - session opened for user exim - IP-Sperre

Daniel Kubein kuba_ at web.de
Do Jun 3 06:19:47 CEST 2021 

Guten Morgen,

mein eis eis 2.8.25 friert seid zwei Tagen ein und meine Vermutung
sind zu massive Attacken von außen.
Wie äußert sich das? Er reagiert nicht mehr, ich komme per SSH oder
FTP nicht mehr drauf und der Apache ist auch nicht erreichbar.

Was habe ich geändert?
Ich hatte bis dato eine generelle IP-Sperre in der Firewall, die
ich für folding at home rausnehmen musste, da dort sonst die RM von
deren Server-IP nicht durchkommt.


In /var/log/messages füllt sich das LOG massiv im Sekundentakt mit
diesen Einträgen und sind dann auch irgendwann das letzte
Lebenszeichen vom eisfair.

"...
Jun  1 16:12:34 superkubi su: (to exim) root on none
Jun  1 16:12:34 superkubi su: pam_unix(su-l:session): session opened for 
user exim(uid=494) by (uid=0)
Jun  1 16:12:34 superkubi su: pam_unix(su-l:session): session closed for 
user exim
Jun  1 16:16:34 superkubi su: (to exim) root on none
Jun  1 16:16:34 superkubi su: pam_unix(su-l:session): session opened for 
user exim(uid=494) by (uid=0)
Jun  1 16:16:34 superkubi su: pam_unix(su-l:session): session closed for 
user exim
Jun  1 16:20:35 superkubi su: (to exim) root on none
Jun  1 16:20:35 superkubi su: pam_unix(su-l:session): session opened for 
user exim(uid=494) by (uid=0)
Jun  1 16:20:35 superkubi su: pam_unix(su-l:session): session closed for 
user exim
Jun  1 16:24:35 superkubi su: (to exim) root on none
Jun  1 16:24:35 superkubi su: pam_unix(su-l:session): session opened for 
user exim(uid=494) by (uid=0)
Jun  1 16:24:35 superkubi su: pam_unix(su-l:session): session closed for 
user exim
Jun  1 16:28:36 superkubi su: (to exim) root on none
Jun  1 16:28:36 superkubi su: pam_unix(su-l:session): session opened for 
user exim(uid=494) by (uid=0)
Jun  1 16:28:36 superkubi su: pam_unix(su-l:session): session closed for 
user exim
Jun  1 16:32:36 superkubi su: (to exim) root on none
Jun  1 16:32:36 superkubi su: pam_unix(su-l:session): session opened for 
user exim(uid=494) by (uid=0)
Jun  1 16:32:36 superkubi su: pam_unix(su-l:session): session closed for 
user exim
..."


Liege ich mit meiner Vermutung richtig, dass ich von außen wieder
  attackiert werde oder weist der Eintrag auf ein anderes, zufällig
  parallel aufgetretenes Problem hin?

Die Einträge gab es bis vor zwei Tagen nicht!

Gruß Daniel

Mehr Informationen über die Mailingliste Eisfair_dev