[Eisfair] bfb / journalctl: initfile[31363]: /usr/bin/in.grep: 16:04:19: No such file or directory

[Marcus Röckrath]

Hallo Rolf,

Rolf Bensch wrote:

> .., ist aber ein Indiz dafür, dass zu diesem Zeitpunkt eine Attacke
> detektiert wurde. Zeitgleich:
> 
> root at eis64-2 (/)# grep -i bfb /var/log/messages | grep 17:45
> May 10 17:45:00 eis64-2 BFB[8976]: 36.92.248.137 wieder freigeschaltet.
> May 10 17:45:13 eis64-2 BFB[9747]: address 36.92.248.137 blocked after 33
> attempt to abuse SLOW_SSH_ATTACK May 10 17:45:24 eis64-2 sSMTP[9823]: Sent
> mail for blubber at blub.de (221 mail.blub.de closing connection) uid=0
> username=root outbytes=5360
> 
> ... wird also in messages erst 2 Sekunden später protokolliert. Das ist
> aber definitiv die gleiche Attacke.
> 
> Irgendwas läuft im bfb-Service nach dem Fund anders als davor.

1. Lösche mal den if-Block in /zsr/local/brute_force_blocking/initfile, der 
/etc/init.d/functions inkludiert; beginnt mit

if [ -n /etc/init.d/functions ]


2. Sichere mal /usr/bin/grep und füge dann in /usr/bin/grep folgende Zeile
hinzu:

echo $(date +"%b %d %H:%M:%S" ; echo "${@}") >> /tmp/greplog

Das loggt nun die Parameter jedes grep-Aufruf mit Zeitstempel
nach /tmp/greplog.

Vielleicht können wir zusammen mit aktivierten Traces eine Einengng
bekommen.
 
-- 
Gruß Marcus
[eisfair-Team]