intrång?

gimli · Inlägg av **gimli** » 11 maj 2012, 13:13

Fick en pulshöjare när jag såg vad som fram efter

$ lsof -i | grep root

sshd 23157 root 3r IPv4 1001499 0t0 TCP <hostnamn>:ssh->xxx.xxx.xxx.xxx:54303 (ESTABLISHED)

Själv har jag inte loggat in som root.
Hostnamn=namnet på min dator.
En nslookup på det för mig okända ip numret xxx.xxx.xxx.xxx gav inget resultat.
Hittade inget annat misstänkt i någon loggfil och inga rootkits.
Vad kan ha hänt?

andol · Inlägg av **andol** » 11 maj 2012, 13:27

I bästa/troliga fall, ingenting.

Att en TCP-anslutning har upprättats betyder ju inte att personen faktiskt har lyckats logga in. Innan sshd:en vet ifall personen ska släppas in eller ej så behöver det ju finnas en TCP-koppel på plats, för att kunna skicka över användarnamn liksom lösenord/nyckel.

BadOmen · Inlägg av **BadOmen** » 11 maj 2012, 16:51

Hej
När jag körde en ssh server på min dator så gjorde jag ett skript som spelade upp en ljudfil varje gång nån lyckades logga in.
Kolla bara att det fungerar att spela upp ljudfilen med aplay -q sökväg/till/fil du måste nog installera det. Skrolla och läs mer i koden om vad du behöver göra (inte mycket, typ installera aplay och ändra sökvägarna...).

Testa skriptet genom att logga in via ssh till din dator och sen köra skriptet.
Här är det om du vill testa.

Kod: Markera allt

#!/bin/bash
# Check the log file /var/log/auth.log for accepted logins. If a new Accepted login is found then a wav file will be played to let you know that someone has logged in to your computer. Start this script like every two minutes(depending on your paranoid state...) through crontab  */2 * * * * /bin/bash /home/USER/bin/loginCheck/check_accepted_Logins.sh 
# You need to have aplayer installed and a wav file you can play,like a sound effect of some kind. The script is creating two files acceptedlogins.txt and oldacceptedlogins.txt.
 


isItEmty=$(cat  /var/log/auth.log | grep Accepted); 

#if there is no accepted logins in the auth.log file the next if-statement will be false.
if [ "$isItEmty" ]; then

	cat  /var/log/auth.log | grep Accepted > /home/jonas/bin/loginCheck/acceptedlogins.txt;
	touch /home/jonas/bin/loginCheck/oldacceptedlogins.txt;
	diffAcceptedlogin="$(diff -B /home/jonas/bin/loginCheck/acceptedlogins.txt /home/jonas/bin/loginCheck/oldacceptedlogins.txt)";


# If this is done without the isItEmty test this will run when the auth.log is emty and the oldacceptedlogins.txt is not.
	if [ "$diffAcceptedlogin" ]; then 

		aplay -q /home/jonas/Dokument/wavEffects/authorization.wav;
		cp /home/jonas/bin/loginCheck/acceptedlogins.txt /home/jonas/bin/loginCheck/oldacceptedlogins.txt;

	fi


fi

Ubuntu Sverige

intrång?

intrång?

Re: intrång?

Re: intrång?