[Eisfair] bfb / journalctl: initfile[31363]: /usr/bin/in.grep: 16:04:19: No such file or directory
Rolf Bensch
azubi at bensch-net.de
Fr Mai 10 19:03:41 CEST 2024
Hallo Marcus,
Am 10.05.24 um 18:21 schrieb Marcus Röckrath:
> Das Skript createhtml bemüht grep nicht.
.., ist aber ein Indiz dafür, dass zu diesem Zeitpunkt eine Attacke detektiert wurde. Zeitgleich:
root at eis64-2 (/)# grep -i bfb /var/log/messages | grep 17:45
May 10 17:45:00 eis64-2 BFB[8976]: 36.92.248.137 wieder freigeschaltet.
May 10 17:45:13 eis64-2 BFB[9747]: address 36.92.248.137 blocked after 33 attempt to abuse SLOW_SSH_ATTACK
May 10 17:45:24 eis64-2 sSMTP[9823]: Sent mail for blubber at blub.de (221 mail.blub.de closing connection) uid=0 username=root outbytes=5360
... wird also in messages erst 2 Sekunden später protokolliert. Das ist aber definitiv die gleiche Attacke.
Irgendwas läuft im bfb-Service nach dem Fund anders als davor.
Grüße
Rolf
Mehr Informationen über die Mailingliste Eisfair