[Eisfair] [E64] exim: "systemd: Failed to resolve symlink /usr/local/share/systemd/user, ignoring: Permission denied"

Marcus Röckrath marcus.roeckrath at gmx.de
Sa Nov 2 08:49:26 CET 2024 

Hallo Rolf,

Rolf Bensch wrote:

> Oct 27 05:44:46 eis64-3 kernel: ATTACKER..IN=enx525400b7e655 OUT=
> MAC=52:54:00:b7:e6:55:0c:72:74:fe:2a:23:08:00 SRC=80.64.30.52
> DST=192.168.0.207 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=18877 DF PROTO=TCP
> SPT=62506 DPT=25 WINDOW=32120 RES=0x00 SYN URGP= 0

Du hast den Port 25 nach außen offen?

Ja, hast du:

# telnet bensch-net.de 25
Trying 89.107.184.88...
Connected to bensch-net.de.
Escape character is '^]'.
220 wt14.serverdomain.org ESMTP wt14.serverdomain.org
^]
telnet> quit
Connection closed.

# whois 80.64.30.52
inetnum:        80.64.30.0 - 80.64.30.255
netname:        RU-HORIZONMSK-20240222
country:        RU
org:            ORG-HL343-RIPE
admin-c:        HL5120-RIPE
tech-c:         HL5120-RIPE
status:         ASSIGNED PA
mnt-by:         IP-RIPE
created:        2024-02-22T09:18:08Z
last-modified:  2024-02-22T09:18:11Z
source:         RIPE

Die geografische Lage passt zu stumpfem abgrasen von offenen Ports, die BFB 
doch geblockt hat, oder?

Wenn man Ports öffentlich aufmacht, muss man auch mit Attacken rechnen.

Der Logauschnitt passt zu ganz normalen Aktivitäten vom user exim aus dem 
Mailpaket, die tauchen hier auch ganz regelmößig so ähnlich auf; genauer 
gesagt minütlich, da ich alle 60 sec polle.

> systemd[4719]: Failed to resolve symlink /usr/local/share/systemd/user,
> ignoring: Permission denied
> systemd[4719]: Failed to open "/usr/local/share/systemd/user", ignoring:
> Permission denied

Diese beiden Zeilen finde ich bei mir aber nicht.

> "Monitoring" meldet um 05:45 "Es steht kein Alarm (mehr) an!". Wird hier
> irgendwas blockiert und wieder freigegeben? Die Meldung aus dem Kernel
> wird vermutlich von BFB getriggert. Was läuft hier aus dem Ruder?

BFB blockt ja erkannte Attacken und gibt Sperren doch auch nach einer 
gewissen "Ruhezeit" wieder frei. Ich verwende es nicht und kenne es daher 
nicht genau. Meldet BFB das nicht auch per Mail oder im Log?

Mach mal:

grep ": (to exim) root on none" /var/log/messages

In welchem Zeitabständen kommt das, passt das z. B. zu Zeitintervall der 
fetchmail-Polls?

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair