Einträge in auth.log verschwinden!?

realdarkman71

realdarkman71

Well-Known Member
Hallo Leute,

in der letzten security run output Mail von meinem root-Server stand u.a.:

login failures:
Jan 9 05:51:14 sshd[43274]: Failed password for invalid user lynx from 85.95.xxx.xxx port 38291 ssh2
Jan 9 05:51:20 sshd[43276]: Failed password for invalid user monkey from 85.95.xxx.xxx port 38488 ssh2
Jan 9 05:51:22 sshd[43278]: Failed password for invalid user lion from 85.95.xxx.xxx port 38775 ssh2
Jan 9 05:51:29 sshd[43280]: Failed password for invalid user heart from 85.95.xxx.xxx port 38885 ssh2
Jan 9 05:51:38 sshd[43282]: Failed password for invalid user michel from 85.95.xxx.xxx port 39256 ssh2
Jan 9 05:51:45 sshd[43284]: Failed password for invalid user alibaba from 85.95.xxx.xxx port 39690 ssh2
Zum Vergrößern anklicken....

In der /var/log/auth.log steht davon aber nichts drin! Bin ich jetzt völlig verwirrt oder verschwinden da Einträge? Ausserdem sind solche Bot-Angriffe eigentlich unmöglich, da ich per IP-Filter alles blocke, ausser den üblichen Diensten (http, mail, etc.) natürlich! Bei Port 22 lasse ich nur den IP-Adressenbereich durch, den ich zu Hause habe, um auf den Server zu kommen! Hier mal die Regeln:

pass out all keep state
pass in quick on lo0 all keep state
pass in quick on bge0 from xxx.xxx.0.0/16 to any port = 22
pass in quick on bge0 from any to any port = 25
pass in quick on bge0 from any to any port = 80
pass in quick on bge0 from any to any port = 110
pass in quick on bge0 from any to any port = 143
pass in quick on bge0 from any to any port = 443
block in all
Zum Vergrößern anklicken....

Kann dazu jemand was sagen? Das ist alles etwas seltsam!

Thx!
Chris
 
realdarkman71 schrieb:
Bei Port 22 lasse ich nur den IP-Adressenbereich durch, den ich zu Hause habe, um auf den Server zu kommen! Hier mal die Regeln:
Zum Vergrößern anklicken....

Hast du deine Regeln denn auch mal von einer externen Quelle getestet?

realdarkman71 schrieb:
block in all
pass out all keep state
pass in quick on lo0 all keep state
pass in quick on bge0 from xxx.xxx.0.0/16 to any port = 22
pass in quick on bge0 from any to any port = 25
pass in quick on bge0 from any to any port = 80
pass in quick on bge0 from any to any port = 110
pass in quick on bge0 from any to any port = 143
pass in quick on bge0 from any to any port = 443
Zum Vergrößern anklicken....

Bin mir gerade zwar nicht hunderprozentig sicher, aber mir fällt auch kein Beispiel ein wo ein Whitelisting vor ein block all hingehört...

Grüße
 
Die Einträge in auth.log werden wegarchiviert. Siehe die bz2-Dateien mit gleichem Präfix. Irgendwann verschinden Sie laut den Einstellungen in Deinem newsyslog.conf.

Ist das wirklich alles was Du in Deiner pf.conf stehen hast?
 
Oh man! Ich hatte mir die auth.log unter Webmin angeschaut, da waren die Einträge irgendwie nicht zu finden (weiß auch nicht warum). Direkt auf dem Server sind sie zu sehen! :o

Habe das block in all jetzt erstmal an die erste Stelle verschoben ... mal sehen, ob da noch Bot-Angriffe kommen!

Welcher IP-Filter ist denn zu empfehlen? Was sind die Unterschiede? Ist ipfw besser als ipf?
 
realdarkman71 schrieb:
Habe das block in all jetzt erstmal an die erste Stelle verschoben ... mal sehen, ob da noch Bot-Angriffe kommen!
Zum Vergrößern anklicken....
Wieso testest du das nicht einfach mal von einer IP Adresse die nicht in deinem Range liegt, also gefiltert werden müsste? Gibt doch auch so web based port scanner [1].

realdarkman71 schrieb:
Welcher IP-Filter ist denn zu empfehlen? Was sind die Unterschiede? Ist ipfw besser als ipf?
Zum Vergrößern anklicken....

pf ist einfach. Pf ist mächtig. öhm... naja, hier werden jetzt alle unterschiedlicher Meinung sein. Ich würde dir pf empfehlen, rein subjektive Meinung ;)

[1]http://www.t1shopper.com/tools/port-scanner/#

Grüße
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben