Frage zu logfiles
Hallo,
ich habe in den logfiles bzw. im logwatch output ein paar komische Dinge gesehen. Sytsem ist Ubuntu 20.04 LTS..
Vll kann mir ja jemand weiterhelfen, diese Einträge hatte ich heute das 1. Mal:
httpd
Connection attempts using mod_proxy:
222.186.19.235 -> fuwu.sogou.com:443: 2 Time(s)
Requests with error response codes
502 Bad Gateway
/push/ws: 464 Time(s)
Ich habe nginx laufen. Wie kann ich die attempts verhindern? Könnte ich in Fail2Ban die Sektion [nginx-http-auth]
aktivieren?
Was hat es mit dem /push/ws auf sich? Ein derartiges Verzeichnis hab ich gar nicht...
Dieser Eintrag taucht jeden Tag auf:
pam_unix
su:
Sessions Opened:
root -> nobody: 3 Time(s)
Und dazu aus dem log:
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy su: pam_unix(su:session): session closed for user nobody
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy su: pam_unix(su:session): session closed for user nobody
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy CRON[90276]: pam_unix(cron:session): session closed for user www-data
Jul 8 06:25:02 xy su: pam_unix(su:session): session closed for user nobody
Wäre super, wenn mir jemand weiterhelfen könnte.
Danke
Thomas
ich habe in den logfiles bzw. im logwatch output ein paar komische Dinge gesehen. Sytsem ist Ubuntu 20.04 LTS..
Vll kann mir ja jemand weiterhelfen, diese Einträge hatte ich heute das 1. Mal:
httpd
Connection attempts using mod_proxy:
222.186.19.235 -> fuwu.sogou.com:443: 2 Time(s)
Requests with error response codes
502 Bad Gateway
/push/ws: 464 Time(s)
Ich habe nginx laufen. Wie kann ich die attempts verhindern? Könnte ich in Fail2Ban die Sektion [nginx-http-auth]
aktivieren?
Was hat es mit dem /push/ws auf sich? Ein derartiges Verzeichnis hab ich gar nicht...
Dieser Eintrag taucht jeden Tag auf:
pam_unix
su:
Sessions Opened:
root -> nobody: 3 Time(s)
Und dazu aus dem log:
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy su: pam_unix(su:session): session closed for user nobody
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy su: pam_unix(su:session): session closed for user nobody
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy CRON[90276]: pam_unix(cron:session): session closed for user www-data
Jul 8 06:25:02 xy su: pam_unix(su:session): session closed for user nobody
Wäre super, wenn mir jemand weiterhelfen könnte.
Danke
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 954540192
Url: https://administrator.de/forum/frage-zu-logfiles-954540192.html
Ausgedruckt am: 21.12.2024 um 14:12 Uhr
10 Kommentare
Neuester Kommentar
Zitat von @itstrue:
Welche "Sektion" aktiviere ich am besten in Fail2Ban
Die von mir angesprochene nginx-http-auth oder andere?
Welche "Sektion" aktiviere ich am besten in Fail2Ban
Die von mir angesprochene nginx-http-auth oder andere?
Prinzipiell sollte dieses Tutorial How To Protect an Nginx Server with Fail2Ban on Ubuntu 14.04 auch mit aktuellem ubuntu funktionieren.
lks
Dazu müsste man einmal wissen wie du die Timer in Fail2ban konfiguriert hast. Wenn du dem Beispiel gefolgt bist sind das unsinnige Werte. Wenn einer im 2 Stunden Rythmus attackiert nutzt Fail2ban mit den o.a. Settings recht wenig mit dem Ban Timmer 3600 (= eine mickrige Stunde). Der würde dann immer wieder diese Meldung generieren.
Das solltest du also deutlich höher setzen auf mindestens 8 Stunden besser gleich einen Tag. Maxretry ist ebenso unsinnig liberal gesetzt. Das sollte höchstens auf 3 stehen besser noch 2 so das nur 2 Fehlversuche erlaubt sind und danach ein Angreifer für 24 Stunden geblockt wird. Sowas wäre bei heutigen Szenarien angebracht und sagt einem doch auch der gesunde IT Menschenverstand ! Mitdenken hilft wirklich !
Fakt ist das Angreifer versuchen den Proxy deines Servers zu benutzen.
https://www.davekb.com/browse_computer_tips:logwatch_connection_attempts ...
https://is.gd/R9K7TA
Das solltest du also deutlich höher setzen auf mindestens 8 Stunden besser gleich einen Tag. Maxretry ist ebenso unsinnig liberal gesetzt. Das sollte höchstens auf 3 stehen besser noch 2 so das nur 2 Fehlversuche erlaubt sind und danach ein Angreifer für 24 Stunden geblockt wird. Sowas wäre bei heutigen Szenarien angebracht und sagt einem doch auch der gesunde IT Menschenverstand ! Mitdenken hilft wirklich !
Fakt ist das Angreifer versuchen den Proxy deines Servers zu benutzen.
https://www.davekb.com/browse_computer_tips:logwatch_connection_attempts ...
https://is.gd/R9K7TA
Perfekt !
Bitte dann nicht vergessen den Thread auch zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
Bitte dann nicht vergessen den Thread auch zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?