Hi!
Ich bin grad heimgekommen, und bemerkte, das mein windows das netzlaufwerk von meinem samba nicht mounten konnte.
Das liegt wohl daran, das ich samba immer manuell starte, und ich den Server neu gestartet habe und es vargass, dachte ich mir!
Doch als ich ihn das letzte mal hochgefahren habe (vor 6 tagen) habe ich samba gestartet, und erst gestern benutzt!
Also habe ich in die log geschaut, und dort sieht es so aus, als ob zumindest einige daemons beendet worden sind.
könnt ihr mir das vielleicht ein kleinwenig übersetzen:
---------------------------------------------------------------------------------------------------
Apr 28 09:35:07 linux -- MARK --
Apr 28 09:40:16 linux in.identd[5997]: reply to 127.0.0.1: 1983 , 25 : USERID : OTHER :500
Apr 28 09:55:07 linux -- MARK --
Apr 28 10:15:07 linux -- MARK --
Apr 28 10:35:07 linux -- MARK --
Apr 28 10:49:03 linux syslogd 1.4.1: restart.
Apr 28 10:53:00 linux sshd[86]: Received SIGHUP; restarting.
Apr 28 10:53:00 linux sshd[6635]: Server listening on 0.0.0.0 port 22.
Apr 28 11:00:19 linux syslogd 1.3-3: restart.
Apr 28 11:32:18 linux oidentd[8779]: Fatal: Unable to setup listening socket.
Apr 28 11:32:28 linux oidentd[8783]: Fatal: Unable to setup listening socket.
Apr 28 11:34:45 linux 29>Apr 28 11:20:48 in.identd[7023]: reply to 64.124.0.94: 2010 , 6667 : USERID : OTHER :0<29>Apr 28 11:34:45 in.identd[8806]: reply to 129.143.67.242: 2014 , 6667 : USERID : OTHER :1000
Apr 28 11:35:28 linux in.identd[8808]: reply to 141.24.101.9: 2015 , 6667 : USERID : OTHER :1000
Apr 28 11:35:54 linux in.identd[8809]: reply to 129.143.67.242: 2016 , 6667 : USERID : OTHER :1000
Apr 28 11:46:27 linux in.identd[8872]: reply to 129.143.67.242: 2021 , 6667 : USERID : OTHER :1000
Apr 28 11:48:51 linux in.identd[8933]: reply to 129.143.67.242: 2022 , 6667 : USERID : OTHER :1000
Apr 28 11:50:22 linux in.identd[8949]: reply to 141.24.101.9: 2025 , 6667 : USERID : OTHER :1000
Apr 28 11:50:38 linux in.identd[8951]: reply to 194.97.2.2: 2026 , 6667 : USERID : OTHER :1000
Apr 28 11:51:01 linux in.identd[8952]: reply to 141.24.101.9: 2027 , 6667 : USERID : OTHER :1000
Apr 28 11:51:07 linux in.identd[8953]: reply to 141.24.101.9: 2028 , 6667 : USERID : OTHER :1000
---------------------------------------------------------------------------------------------
Ich habe also mal in der /etc/passwd und /etc/shadow nachgesehen, und folgenden NEUEN user bemerkt.
Er steht auserdem ganz unten und ist somit(?) der neuste oder?
/etc/passwd -> php:x:1000:100::/var/php:
/etc/shadow -> php:$1$oQm1VRDQ$lIKgdiIuCChvukl8/Va3W0:12901:0:99999:7:::
Ich habe zwar php instaliert, aber erstens läuft es nicht anständig, was ein anderes thema ist, und zweitens gibt es den user erst seit höchstens vorgesern, weil der vor 4 tagen noch nicht drinstand.
Bitte helft mir, denn für mich sieht es so aus, als ob sich jemand zugriff auf meinem server (der zugegeben noch nicht recht sicher konfiguriert ist) verschafft hat.
sollte ich den user "php" einfach löschen, und welche sicherheitsmaßnahmen sollte ich danach durchführen?
weitere Fragen:
-normalerweise, sollte es einen user namens php überhaupt vom system geben, dann hat der doch keinen login, keine shell, und keine homedir, und somit auch garkein passwort oder?
so wie ich das sehe, hat er nämlich ein paswort und eine shell (/var/php).
Vielleicht ist das ganze ja auch völlig normal, und ich mache mich um sonst so verückt, aber dann frage ich mich ernsthaft, warum es den user erst seit ca. 3 tagen gibt, obwohl php schon viel länger instaliert ist.
-Was bedeutet der eintarg in der log: : USERID : OTHER :1000
Vielen dank schonmal im Voraus!
MfG
wanie
Ich bin grad heimgekommen, und bemerkte, das mein windows das netzlaufwerk von meinem samba nicht mounten konnte.
Das liegt wohl daran, das ich samba immer manuell starte, und ich den Server neu gestartet habe und es vargass, dachte ich mir!
Doch als ich ihn das letzte mal hochgefahren habe (vor 6 tagen) habe ich samba gestartet, und erst gestern benutzt!
Also habe ich in die log geschaut, und dort sieht es so aus, als ob zumindest einige daemons beendet worden sind.
könnt ihr mir das vielleicht ein kleinwenig übersetzen:
---------------------------------------------------------------------------------------------------
Apr 28 09:35:07 linux -- MARK --
Apr 28 09:40:16 linux in.identd[5997]: reply to 127.0.0.1: 1983 , 25 : USERID : OTHER :500
Apr 28 09:55:07 linux -- MARK --
Apr 28 10:15:07 linux -- MARK --
Apr 28 10:35:07 linux -- MARK --
Apr 28 10:49:03 linux syslogd 1.4.1: restart.
Apr 28 10:53:00 linux sshd[86]: Received SIGHUP; restarting.
Apr 28 10:53:00 linux sshd[6635]: Server listening on 0.0.0.0 port 22.
Apr 28 11:00:19 linux syslogd 1.3-3: restart.
Apr 28 11:32:18 linux oidentd[8779]: Fatal: Unable to setup listening socket.
Apr 28 11:32:28 linux oidentd[8783]: Fatal: Unable to setup listening socket.
Apr 28 11:34:45 linux 29>Apr 28 11:20:48 in.identd[7023]: reply to 64.124.0.94: 2010 , 6667 : USERID : OTHER :0<29>Apr 28 11:34:45 in.identd[8806]: reply to 129.143.67.242: 2014 , 6667 : USERID : OTHER :1000
Apr 28 11:35:28 linux in.identd[8808]: reply to 141.24.101.9: 2015 , 6667 : USERID : OTHER :1000
Apr 28 11:35:54 linux in.identd[8809]: reply to 129.143.67.242: 2016 , 6667 : USERID : OTHER :1000
Apr 28 11:46:27 linux in.identd[8872]: reply to 129.143.67.242: 2021 , 6667 : USERID : OTHER :1000
Apr 28 11:48:51 linux in.identd[8933]: reply to 129.143.67.242: 2022 , 6667 : USERID : OTHER :1000
Apr 28 11:50:22 linux in.identd[8949]: reply to 141.24.101.9: 2025 , 6667 : USERID : OTHER :1000
Apr 28 11:50:38 linux in.identd[8951]: reply to 194.97.2.2: 2026 , 6667 : USERID : OTHER :1000
Apr 28 11:51:01 linux in.identd[8952]: reply to 141.24.101.9: 2027 , 6667 : USERID : OTHER :1000
Apr 28 11:51:07 linux in.identd[8953]: reply to 141.24.101.9: 2028 , 6667 : USERID : OTHER :1000
---------------------------------------------------------------------------------------------
Ich habe also mal in der /etc/passwd und /etc/shadow nachgesehen, und folgenden NEUEN user bemerkt.
Er steht auserdem ganz unten und ist somit(?) der neuste oder?
/etc/passwd -> php:x:1000:100::/var/php:
/etc/shadow -> php:$1$oQm1VRDQ$lIKgdiIuCChvukl8/Va3W0:12901:0:99999:7:::
Ich habe zwar php instaliert, aber erstens läuft es nicht anständig, was ein anderes thema ist, und zweitens gibt es den user erst seit höchstens vorgesern, weil der vor 4 tagen noch nicht drinstand.
Bitte helft mir, denn für mich sieht es so aus, als ob sich jemand zugriff auf meinem server (der zugegeben noch nicht recht sicher konfiguriert ist) verschafft hat.
sollte ich den user "php" einfach löschen, und welche sicherheitsmaßnahmen sollte ich danach durchführen?
weitere Fragen:
-normalerweise, sollte es einen user namens php überhaupt vom system geben, dann hat der doch keinen login, keine shell, und keine homedir, und somit auch garkein passwort oder?
so wie ich das sehe, hat er nämlich ein paswort und eine shell (/var/php).
Vielleicht ist das ganze ja auch völlig normal, und ich mache mich um sonst so verückt, aber dann frage ich mich ernsthaft, warum es den user erst seit ca. 3 tagen gibt, obwohl php schon viel länger instaliert ist.
-Was bedeutet der eintarg in der log: : USERID : OTHER :1000
Vielen dank schonmal im Voraus!
MfG
wanie