Server machte neustart nach komischen logs

W

wanie

bekommt Übersicht
Hi!

Ich bin grad heimgekommen, und bemerkte, das mein windows das netzlaufwerk von meinem samba nicht mounten konnte.
Das liegt wohl daran, das ich samba immer manuell starte, und ich den Server neu gestartet habe und es vargass, dachte ich mir!

Doch als ich ihn das letzte mal hochgefahren habe (vor 6 tagen) habe ich samba gestartet, und erst gestern benutzt!

Also habe ich in die log geschaut, und dort sieht es so aus, als ob zumindest einige daemons beendet worden sind.
könnt ihr mir das vielleicht ein kleinwenig übersetzen:
---------------------------------------------------------------------------------------------------

Apr 28 09:35:07 linux -- MARK --
Apr 28 09:40:16 linux in.identd[5997]: reply to 127.0.0.1: 1983 , 25 : USERID : OTHER :500
Apr 28 09:55:07 linux -- MARK --
Apr 28 10:15:07 linux -- MARK --
Apr 28 10:35:07 linux -- MARK --
Apr 28 10:49:03 linux syslogd 1.4.1: restart.
Apr 28 10:53:00 linux sshd[86]: Received SIGHUP; restarting.
Apr 28 10:53:00 linux sshd[6635]: Server listening on 0.0.0.0 port 22.
Apr 28 11:00:19 linux syslogd 1.3-3: restart.
Apr 28 11:32:18 linux oidentd[8779]: Fatal: Unable to setup listening socket.
Apr 28 11:32:28 linux oidentd[8783]: Fatal: Unable to setup listening socket.
Apr 28 11:34:45 linux 29>Apr 28 11:20:48 in.identd[7023]: reply to 64.124.0.94: 2010 , 6667 : USERID : OTHER :0<29>Apr 28 11:34:45 in.identd[8806]: reply to 129.143.67.242: 2014 , 6667 : USERID : OTHER :1000
Apr 28 11:35:28 linux in.identd[8808]: reply to 141.24.101.9: 2015 , 6667 : USERID : OTHER :1000
Apr 28 11:35:54 linux in.identd[8809]: reply to 129.143.67.242: 2016 , 6667 : USERID : OTHER :1000
Apr 28 11:46:27 linux in.identd[8872]: reply to 129.143.67.242: 2021 , 6667 : USERID : OTHER :1000
Apr 28 11:48:51 linux in.identd[8933]: reply to 129.143.67.242: 2022 , 6667 : USERID : OTHER :1000
Apr 28 11:50:22 linux in.identd[8949]: reply to 141.24.101.9: 2025 , 6667 : USERID : OTHER :1000
Apr 28 11:50:38 linux in.identd[8951]: reply to 194.97.2.2: 2026 , 6667 : USERID : OTHER :1000
Apr 28 11:51:01 linux in.identd[8952]: reply to 141.24.101.9: 2027 , 6667 : USERID : OTHER :1000
Apr 28 11:51:07 linux in.identd[8953]: reply to 141.24.101.9: 2028 , 6667 : USERID : OTHER :1000

---------------------------------------------------------------------------------------------

Ich habe also mal in der /etc/passwd und /etc/shadow nachgesehen, und folgenden NEUEN user bemerkt.
Er steht auserdem ganz unten und ist somit(?) der neuste oder?

/etc/passwd -> php:x:1000:100::/var/php:
/etc/shadow -> php:$1$oQm1VRDQ$lIKgdiIuCChvukl8/Va3W0:12901:0:99999:7:::

Ich habe zwar php instaliert, aber erstens läuft es nicht anständig, was ein anderes thema ist, und zweitens gibt es den user erst seit höchstens vorgesern, weil der vor 4 tagen noch nicht drinstand.

Bitte helft mir, denn für mich sieht es so aus, als ob sich jemand zugriff auf meinem server (der zugegeben noch nicht recht sicher konfiguriert ist) verschafft hat.
sollte ich den user "php" einfach löschen, und welche sicherheitsmaßnahmen sollte ich danach durchführen?

weitere Fragen:
-normalerweise, sollte es einen user namens php überhaupt vom system geben, dann hat der doch keinen login, keine shell, und keine homedir, und somit auch garkein passwort oder?
so wie ich das sehe, hat er nämlich ein paswort und eine shell (/var/php).

Vielleicht ist das ganze ja auch völlig normal, und ich mache mich um sonst so verückt, aber dann frage ich mich ernsthaft, warum es den user erst seit ca. 3 tagen gibt, obwohl php schon viel länger instaliert ist.

-Was bedeutet der eintarg in der log: : USERID : OTHER :1000

Vielen dank schonmal im Voraus!

MfG
wanie
 
Nachtarag:

Ich habe das passwort des php users geändert, und mich eingelogt, und bekam sofort die meldung:
Last login: Thu Apr 28 11:34:37 2005 from duz206.neoplus.adsl.tpnet.pl
Linux 2.4.18.

Das heißt, es ist eindeudig kein maschienen account!
in wie weit kann ich der addresse duz206.neoplus.adsl.tpnet.pl trauen, bzw was ist das überhaupt genau, und kann es nicht sein das es nur ein proxy ist?

Mein samba server lässt sich seitdem nichtmehr starten...
unter /etc/samba existiert keinerlei konfig datei mehr, jedoch die /etc/samba/private ist noch da und in der smbpasswd stehen auch noch alle user drin die vorher drin standen. (Auch kein neuer user)

Die /usr/sbin/smbd und nmbd sind weg!

Ich frage mich wie jemand darauf zugriff bekommen haben kann, da ich unter dem acc "php" keinen zugriff darauf hatte.

/Nochmals ein Nachtrag:

Hier mal ein auszug aus meiner /var/log
Code: 
root@linux:/var/log# ls | more
apache
bandwidth
cron
cron.1
cron.2
cron.3
cron.wanie
debug
debug.1
debug.2
debug.3
faillog
fetchmail
ftp_access.log
ftp_auth.log
lastlog
maillog
maillog.1
maillog.2
maillog.3
messages
messages.1
messages.2
messages.3
news
nfsd
packages
proftpd.log
removed_packages
removed_scripts
samba.440cdt
samba.50163099sp
samba.__
samba._æºÎ__
samba.a-40dgfw5vtzght
samba.aa-tst8k14cq21x
samba.ac1195
samba.acer
samba.alevrius_
samba.allan
samba.alona-3wcwuz29b
samba.andy-3040412087
samba.ap
samba.api-on1dof6z5pw
samba.blorenz
samba.bob-atauqz8wfru
samba.bobbitz
samba.ceh-jtf2pq2bsdo
samba.cheney
samba.compta-bt6cln30
samba.cs-092
samba.denr
samba.df
samba.genetix-mzmjkol
samba.gustavo
samba.hehe-server
samba.home
samba.hong-6vp4kzcjvb
samba.hongjue-dns
samba.hp-server
samba.ilha-sbjz0puasm
samba.image
samba.iwahashi-z91zhb
samba.ixh0h8u52krqtd4
samba.jamcapp-kvjq87h
samba.joe-albero
samba.jw002
samba.kalle
samba.karen
samba.kilic-f0answ3vx
samba.kk1
samba.lab1
samba.lc1
samba.lein
samba.lenovous-zd4on0
samba.ljl
samba.localhost
samba.maffei-res
samba.mail
samba.manu
samba.momerdadd
samba.newton___
samba.newtonto_
samba.nifly
samba.nischl
samba.nod5
samba.notebook
samba.ns
samba.p43328
samba.pc-fixe
samba.point360-1
samba.preinsta-w56ny1
samba.rampeiras
samba.ridgeserv
samba.rob-s1zoknuj2xv
samba.scu
samba.server
samba.server-ejpovice
samba.server1
samba.servidor
samba.shitbanda
samba.siedlik-d
samba.smbd
samba.srv
samba.srxydl
samba.ss-6ptlcpghyn2s
samba.stlmf
samba.talentoaa
samba.user-0nn4juml2w
samba.user-202a87fde3
samba.user-6fcbb70dc1
samba.utsidis1
samba.violet-4465bffd
samba.w5bmk603nf02o2s
samba.wandaspc1
samba.wanie
samba.win2000-89333f7
samba.xgc12
samba.yatou
samba.ybj
samba.you-computer
samba.yz-fsqonsy3h2df
samba.z700905w
samba.º_ÆÐ
samba.Ìì_Å520Á_
scripts
secure
secure.1
secure.2
secure.3
setup
spooler
spooler.1
spooler.2
spooler.3
syslog
syslog.1
syslog.2
syslog.3
wtmp

und somit wird mir einiges klar! varbessert mich bitte wenn ich mich irre!

Mein smb war immernoch so konfiguriert, das auch nach ausen hin zugriff bestand, und somit hatt jemand eine art brute force versucht, stimmt das soweit?

Nun habe ich einem Windowsuser den account "Administrator" und das smbpasswd "kalle" gegeben.
Ich wollte es eigentlich noch ändern, doch habe ich das wohl vergessen!
Nun stand wohl das passort kalle in kombination mit dem user Administrator in dem seiner passwortliste.
Tja, is wohl dann sehr dumm für mich gelaufen, aber aus fehlern lernt man ja bekanntlich!
 
Zuletzt bearbeitet:
Hallo,

zuerst wuerde ich dir raten dir deine Posts vor dem abschicken nochmals durchzulesen und ggf. die Formatierung, Rechtschreibung oder Groß- und Kleinschreibung zu korriegen, da man deinem Post nur ganz schwer folgen kann! Im uebrigen gibt es hier eine Editierfunktion! Das nurmal so am Rande...

Jetzt zu deinem Post:
Ich kann dir nur einzelne Fragen beantworten, da ich, wie schon gesagt, nur die Haelfte verstehe.

In dem Log steht eigentlich nichts auffaelligs drin. Diese Daemons beenden und starten sich auch bei mir nach einem Neustart.

Ich habe also mal in der /etc/passwd und /etc/shadow nachgesehen, und folgenden NEUEN user bemerkt.
Er steht auserdem ganz unten und ist somit(?) der neuste oder?
Zum Vergrößern anklicken....

Ja. Er ist der neuste, wenn er ganz unten steht. Natuerlich kann man das auch einfach mit einem Editor veraendern...

Bitte helft mir, denn für mich sieht es so aus, als ob sich jemand zugriff auf meinem server (der zugegeben noch nicht recht sicher konfiguriert ist) verschafft hat.
sollte ich den user "php" einfach löschen, und welche sicherheitsmaßnahmen sollte ich danach durchführen?
Zum Vergrößern anklicken....

Also wenn es wirklich jemand geschafft hat einen root Zugriff auf dein System zu bekommen, wuerde ich das System an deiner Stelle neu aufsetzen. Alternativ kannst du natuerlich auch alles auf Unregelmaeßigkeiten ueberpruefen, aber das ist nur mit viel Erfahrung zu schaffen.

weitere Fragen:
-normalerweise, sollte es einen user namens php überhaupt vom system geben, dann hat der doch keinen login, keine shell, und keine homedir, und somit auch garkein passwort oder?
so wie ich das sehe, hat er nämlich ein paswort und eine shell (/var/php).
Zum Vergrößern anklicken....

Ja er hat ein Passwort und eine Shell, wobei mir /var/php nicht nach einer normalen Shell aussieht. Was ist das fuer eine Datei oder ist das ein Ordner?

Ich habe das passwort des php users geändert, und mich eingelogt, und bekam sofort die meldung:
Last login: Thu Apr 28 11:34:37 2005 from duz206.neoplus.adsl.tpnet.pl
Linux 2.4.18.

Das heißt, es ist eindeudig kein maschienen account!
in wie weit kann ich der addresse duz206.neoplus.adsl.tpnet.pl trauen, bzw was ist das überhaupt genau, und kann es nicht sein das es nur ein proxy ist?
Zum Vergrößern anklicken....

Du kannst relativ sicher davon ausgehen, dass ein Dritter Zugriff auf deinen Rechner erlangt hat, wenn du sicher bist, dass duz206.neoplus.adsl.tpnet.pl nicht jemand ist, der noch Zugriff auf deinen Rechner hat. Wie oben schon gesagt, wuerde ich den Rechner neu aufsetzen!

Mein samba server lässt sich seitdem nichtmehr starten...
unter /etc/samba existiert keinerlei konfig datei mehr, jedoch die /etc/samba/private ist noch da und in der smbpasswd stehen auch noch alle user drin die vorher drin standen. (Auch kein neuer user)

Die /usr/sbin/smbd und nmbd sind weg!

Ich frage mich wie jemand darauf zugriff bekommen haben kann, da ich unter dem acc "php" keinen zugriff darauf hatte.
Zum Vergrößern anklicken....

Also ich glaube nicht das jemand anderes diese Daten geloescht hat. Was fuer ein Sinn hat es, wenn er dir deine Samba Daten loescht!?
Sollte es wirklich jemand anderes gewesen sein, dann hatte dieser root Zugriff. Wie du schon richtig gesagt hast, sollte er mit dem Account php keinen Zugriff auf diese Daten haben.

und somit wird mir einiges klar! varbessert mich bitte wenn ich mich irre!

Mein smb war immernoch so konfiguriert, das auch nach ausen hin zugriff bestand, und somit hatt jemand eine art brute force versucht, stimmt das soweit?
Zum Vergrößern anklicken....

Das heißt noch gar nichts. Was steht denn in diesen Daten drin? Ich habe auch zigtausend logfiles von Samba, wo fast jedesmal drinsteht, dass mir jemand ein unbekanntes Samba Paket geschickt hat.

Gruß Viper
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben