PreguntasLinux - consulta de logs

Hola gente. aca volvi molestando de nuevo xD
les cuento. ya me paso varias veces. que dejo la pc a la noche prendida y a la mañana siguiente esta apagada.
ahora. me puse a ver el tema y estoy seguro que no fue un corte de luz (tengo ip dinamica y sigo teniendo la misma ip que anoche).
nadie apago la pc en casa.

estube buscando los logs en /log y solo pude encontrar que la pc se apago a las 7:43 (por el log del daemon)
Jun 21 07:41:59 Skirmish hddtemp[5289]: /dev/sda: WDC WD2500KS-00MJB0: 30 C
Jun 21 07:42:29 Skirmish last message repeated 3 times
Jun 21 07:43:30 Skirmish last message repeated 6 times
Jun 21 14:12:45 Skirmish NetworkManager: <info> starting...
pero no encuentro en ningun lado algo que me diga el porque se apago.

Hola pola... como ya tenés la hora aproximada, te sugiero que busques en todos los logs que tengas.

una forma fácil sería:
$ cd /var/log
$ sudo grep 'Jun 21 07' * | more

con lo cual obtendrías una salida filtrada indicando archivo de log y la línea
por ejemplo:
messages:Jun 21 07:04:14 dbox hald: mounted /dev/sr0 on behalf of uid 500
secure:Jun 21 07:48:17 dbox sshd[2043]: Server listening on :: port 22.

lo unico que encontre por esa hora fue esto
auth.log:Jun 21 07:35:06 Skirmish sudo: root : TTY=unknown ; PWD=/ ; USER=pola ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/port
auth.log:Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session opened for user pola by (uid=0)
auth.log:Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session closed for user pola
auth.log:Jun 21 07:39:01 Skirmish CRON[22890]: pam_unix(cron:session): session opened for user root by (uid=0)
auth.log:Jun 21 07:39:01 Skirmish CRON[22890]: pam_unix(cron:session): session closed for user root

porque me dice que abri sesion como "pola" y como "root" a las 7:39 si estaba durmiendo!! :S
o estoy malinterpretando el log?

Malinterpretar no... es correcto.
los servicios CRON (del crontab) son los que se loguean como root para poder correr. Es normal que así suceda.

Pero me llama la atención la línea que dice TTY...
tenés algún servicio corriendo? ftp, ssh?
que puertos tenés abiertos en tu firewall?

chequeemos esto para quedarnos tranquilos que no hubo intrusión.
también sería bueno que nos postees una salida más detallada de auth.log... al menos entre las 6 y las 8.

Si bien el comando que corre (gconftool) solo hace un get para conocer si tenés seteado el puerto proxy, tratemos de averiguar un poco mas del asunto.

PD: tranqui... no te psicopatees.

WOWOWOWOW no habia visto todo esto.....

Jun 21 06:39:01 Skirmish CRON[22348]: pam_unix(cron:session): session closed for user root
Jun 21 07:09:01 Skirmish CRON[22625]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 21 07:09:01 Skirmish CRON[22625]: pam_unix(cron:session): session closed for user root
Jun 21 07:17:01 Skirmish CRON[22672]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 21 07:17:01 Skirmish CRON[22672]: pam_unix(cron:session): session closed for user root
Jun 21 07:30:01 Skirmish CRON[22742]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 21 07:30:01 Skirmish CRON[22742]: pam_unix(cron:session): session closed for user root
Jun 21 07:35:06 Skirmish sudo: root : TTY=unknown ; PWD=/ ; USER=pola ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/use_http_proxy
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session opened for user pola by (uid=0)
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session closed for user pola
Jun 21 07:35:06 Skirmish sudo: root : TTY=unknown ; PWD=/ ; USER=pola ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/host
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session opened for user pola by (uid=0)
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session closed for user pola
Jun 21 07:35:06 Skirmish sudo: root : TTY=unknown ; PWD=/ ; USER=pola ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/port
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session opened for user pola by (uid=0)
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session closed for user pola
Jun 21 07:39:01 Skirmish CRON[22890]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 21 07:39:01 Skirmish CRON[22890]: pam_unix(cron:session): session closed for user root
Jun 21 14:13:01 Skirmish kdm: :0[5256]: pam_unix(kdm:session): session opened for user pola by (uid=0)

porque tengo cada segundos session open/close por root?
puertos abierto en router tengo 4 o 5. 2 para ktorrent. otro para vnc tenia abierto el puerto 25 (sftp?) no se porque lo abri.

en ese momento solo estaba el ktorrent funcionando.. a lo mejor deje puesto el amsn. pero no lo recuerdo.
no tengo instalado ningun servidor (apache/samba) ni nada

Bueno, parece normal...
Como ya dije, los CRON son respectivos a los eventos que genera crontab, así que eso está en orden.
Sobre los otros eventos, se ve que gconftool hace un chequeo cada tanto (no se de que) pero utiliza tu cuenta para ganar acceso root.

Si fuera una intrusión deberíamos ver por lo menos que abren una sesión y la cierran luego de unos minutos. Pero como la abre, corre el comando y la cierra, no debemos preocuparnos.

Si querés investigar un poco más, filtrá asi:
cat /var/log/auth.log | grep pam_unix

te va a tirar todos los login (de usuarios o servicios) que se hayan realizado.
Si ves algún login en horario que no corresponde y por más de un minuto, entonces preocupate... pero si no, no pasa nada.

El torrent y msn son aceptables pero ¿Porqué tenes abierto el port 25?
Es para Secure FTP... no deberías abrir ese puerto a menos que sepas lo que estás haciendo.
Pola, te hice un nmap mientras estabas online... tenés abierto el 21 y el 23!!!?!?!?!?!
cerralos YA!

Código:

nmap -sT -P0 200.82.103.XX

Starting Nmap 4.53 ( http://insecure.org ) at 2008-06-22 00:54 ART

Interesting ports on hostXX.200-82-103.telecom.net.ar (200.82.103.XX):

Not shown: 1029 closed ports, 682 filtered ports

PORT   STATE SERVICE

21/tcp open  ftp

23/tcp open  telnet

80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 947.244 seconds

Tratá de no abrir puertos en el router y en el firewall a menos que sepas que los necesitás.
Por ejemplo, en casa tengo abierto el puerto 22 (ssh) pero tiene el acceso restringido a un único usuario y desde una única IP.
Vale decir, ninguna persona podrá loguearse a menos que sepa mi usuario y se loguee desde la IP de la empresa donde trabajo.

Te pego una salida de mi archivo /var/log/secure.log para que veas a lo que me refiero:

Código:

Jun 16 13:42:27 dbox sshd[3346]: refused connect from www.cmcc.ufro.cl (200.10.22.124)

Jun 16 13:54:02 dbox sshd[3514]: refused connect from www.cmcc.ufro.cl (200.10.22.124)

Jun 20 01:25:29 dbox sshd[3390]: refused connect from 190.224.112.12 (190.224.112.12)

Jun 20 01:36:51 dbox sshd[10310]: refused connect from 190.224.112.12 (190.224.112.12)

Jun 20 02:31:16 dbox sshd[10867]: refused connect from fragaria.utalca.cl (200.91.25.166)

Jun 20 02:43:01 dbox sshd[17962]: refused connect from fragaria.utalca.cl (200.91.25.166)

Jun 20 04:56:20 dbox sshd[1838]: refused connect from 222.35.11.12 (222.35.11.12)

Jun 20 05:01:00 dbox sshd[4765]: refused connect from 222.35.11.12 (222.35.11.12)

Jun 21 20:59:29 dbox sshd[971]: refused connect from 211.41.253.5 (211.41.253.5)

Jun 21 21:07:07 dbox sshd[5891]: refused connect from 211.41.253.5 (211.41.253.5)

Jun 21 22:03:50 dbox sshd[7695]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:15:04 dbox sshd[14453]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:15:25 dbox sshd[14675]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:15:47 dbox sshd[14897]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:16:18 dbox sshd[15210]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:16:31 dbox sshd[15342]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:16:53 dbox sshd[15564]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:17:37 dbox sshd[16006]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:18:21 dbox sshd[16449]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:18:43 dbox sshd[16670]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:19:05 dbox sshd[16892]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:19:36 dbox sshd[17204]: refused connect from 58.108.195.106 (58.108.195.106)

Jun 21 22:19:49 dbox sshd[17335]: refused connect from 58.108.195.106 (58.108.195.106)

El chabón de la 58.108.195.106 hace rato que está tratando de entrar pero no va a poder.

lol... q feo ver que te estan queriendo entrar... en cuanto al puerto 21 y 23 no los tengo abierto en el router :S no se porque te salio el open ese!!! :S
tenia el 25 (ya lo borre) y si. era por un sftp que no me podia conectar.

WALAAA
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session closed for user p
ola
Jun 21 07:39:01 Skirmish CRON[22890]: pam_unix(cron:session): session opened for
user root by (uid=0)
Jun 21 07:39:01 Skirmish CRON[22890]: pam_unix(cron:session): session closed for
user root
amigo.. 7:35 am estaba en el 8vo sueño.. y no es cron:session si no es sudo:session...
ahora creo que tengo un concepto malo con respecto al router!!!
supuestamente tengo solo abierto los puertos que uso... porque vos al tirarme un nmap salio open el 21 y 23? y no los demas puertos que realmente tengo open para el ktorrent y esas huevadas?

bueno. ya me fije.. tenia desactivado el firewall del router!! ya lo active. y en cuanto a los demas puertos los redireccione hacia otra ip 192.168.1.5 (q no es la mia)

porque yo no tengo un secure.log??? :S diosssssss

mirá el que quiere entrar a mi pc:
[code]nmap -sT -P0 58.108.195.106

Starting Nmap 4.53 ( http://insecure.org ) at 2008-06-22 01:21 ART
Interesting ports on 58.108.195.106.optusnet.com.au (58.108.195.106):
Not shown: 1701 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
161/tcp filtered snmp
162/tcp filtered snmptrap
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1720/tcp open H.323/Q.931
3389/tcp filtered ms-term-serv
5900/tcp filtered vnc
5901/tcp open vnc-1
15126/tcp filtered swgps

Nmap done: 1 IP address (1 host up) scanned in 682.669 seconds[/url]
Es un windozero... que no tiene idea lo que hace
ssh, vnc, remote desktop, http... un idiota

pola Escribió:

Cita:

Le apunté a la ip que me indicaba tu ip en ese momento (termina en 58?)

[quote=pola]WALAAA
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session closed for user p
ola
Jun 21 07:39:01 Skirmish CRON[22890]: pam_unix(cron:session): session opened for
user root by (uid=0)
Jun 21 07:39:01 Skirmish CRON[22890]: pam_unix(cron:session): session closed for
user root

Ese "session closed" va acompañado de la línea anterior también a las 7:35 "session opened" y obivamente pertenecen al gconftool (son todos a la misma hora en el mismo minuto, mismo segundo) asi que no es un ataque.

[quote]porque yo no tengo un secure.log??? :S diosssssss

el secure.log lo tengo (creo) porque uso fedora y el servicio ssh+denyhosts. Para vos es equivalente el auth.log

dragonauta Escribió:

Nmap done: 1 IP address (1 host up) scanned in 682.669 seconds[/url]
Es un windozero... que no tiene idea lo que hace
ssh, vnc, remote desktop, http... un idiota

Frocket :frocket: jajajajajaaj me causo mucha gracia eso!!!! jajajjaaaj

bueno.. en tonces... claro. el secure es el auth mio
en el cual tengo

Jun 21 07:35:06 Skirmish sudo: root : TTY=unknown ; PWD=/ ; USER=pola ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/use_http_proxy
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session opened for user pola by (uid=0)
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session closed for user pola
Jun 21 07:35:06 Skirmish sudo: root : TTY=unknown ; PWD=/ ; USER=pola ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/host
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session opened for user pola by (uid=0)
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session closed for user pola
Jun 21 07:35:06 Skirmish sudo: root : TTY=unknown ; PWD=/ ; USER=pola ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/port
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session opened for user pola by (uid=0)
Jun 21 07:35:06 Skirmish sudo: pam_unix(sudo:session): session closed for user pola
Jun 21 07:39:01 Skirmish CRON[22890]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 21 07:39:01 Skirmish CRON[22890]: pam_unix(cron:session): session closed for user root

puedo entender que alguno se me esta metiendo.... ahora!!! como tiene mi pass?
que me estan diciendo esos logs?
a esa hora yo estaba durmiendo
que es "COMMAND=/usr/bin/gconftool --get /system/http_proxy/port"
por las dudas voy a cambiar el pass del root y de mi user otra vez.
pregunta aparte (se guardan encriptadas las claves supongo???)

No pola... leeme bien... nadie se te está metiendo.

los session opened que tenés son del comando gconftool, fijate que los corre a la misma hora 07:35:06 (abre ejecuta y cierra en menos de un segundo) eso no es un ataque!

quedate tranqui que vas bien.

si tenes razon. las abre y cierra en el segundo. me cague todo porque vi que entraba con mi usuario..... 1-grin

bueno. entonces me tome una clase de logs jajaja muy interesante por sierto.
pero sigo sin tener idea de porque se me apago la pc jajaja
de echo. podrias tirarme otro nmap para ver que detectas ahora?
ya q puse el firewall y solo deje abierto los puertos del torrent!!!
saludos y mil gracias amigo (=

Páginas: 1 2