Archiv verlassen und diese Seite im Standarddesign anzeigen : shh verbindung 1005 ? o_O
TheChris80
02.12.10, 13:36
edit sollte eig heissen 100% :)
moin liebe community.
ich habe wie bei jedem tag die tasks in meinem root untersucht (könnte ja immer etwas drin sein was da nicht rein soll)
nun habe aber unter htop nen ssh user gefunden der 100% cpu frisst
keine wunder da da mein gameserver laggt.
Ich habe diverse sicherheits einstellungen am root vorgenommen bevor ich ihn überhaupt online gestellt habe. (zb root is über ssh nicht erreichbar und nur die ports die gebraucht werden sind frei)
Drauf sind mysql apache teamspeak3 und ein srcds_linux server.
nun stell ich mir folgende fragen
1.warum ist jemand mit root dort eingeloggt wenn er doch per ssh gesperrt
ist? könnte ich es sein der sich als per su als root angemeldet hat?
2.wenn ja dann ... wenn ich per su als root in htop rein gehe es abschiesse warum flieg ich dann nicht ?
vielleicht isses auch nix
ich hab da leider noch einige schwächen was das betrifft und deshalb frage ich user die mehr erfahrung haben als ich
Liebe Grüße
Chris
info : debian lenny 5.0.5
braucht ihr mehr info ? fragt einfach =)
Poste die Ausgabe von htop und ps -aux
mfg
cane
Wenn Du einfach nur "w" eingibst, solltest Du andere Login-Sessions sehen. Das in der Spalte TTY kann man als Parameter für "ps -t ..." benutzen, um zu sehen, was dort gerade für ein Programm läuft. Das geht natürlich alles nur, wenn die entsprechenden Teile des Systems nicht bereits kompromittiert wurden. Ich kann mir aber auch vorstellen, dass ein sshd da einfach sehr beschäftigt ist, weil jemand ihm irgendeinen Mist als Authentifizierung gesandt hat bzw. noch sendet.
TheChris80
02.12.10, 16:34
root 2718 0.0 0.0 3780 488 ? S Oct13 0:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
root 2855 0.0 0.0 3796 460 tty1 Ss+ Oct13 0:00 /sbin/getty 38400 tty1
root 2856 0.0 0.0 3796 460 tty2 Ss+ Oct13 0:00 /sbin/getty 38400 tty2
root 2857 0.0 0.0 3796 460 tty3 Ss+ Oct13 0:00 /sbin/getty 38400 tty3
root 2858 0.0 0.0 3796 460 tty4 Ss+ Oct13 0:00 /sbin/getty 38400 tty4
root 2859 0.0 0.0 3796 460 tty5 Ss+ Oct13 0:00 /sbin/getty 38400 tty5
root 2860 0.0 0.0 3796 460 tty6 Ss+ Oct13 0:00 /sbin/getty 38400 tty6
www-data 2983 0.1 0.9 291060 18728 ? S 16:55 0:02 /usr/sbin/apache2 -k start
www-data 3422 0.0 0.8 291036 18512 ? S 17:03 0:00 /usr/sbin/apache2 -k start
www-data 3949 0.0 0.1 278656 3488 ? S 17:13 0:00 /usr/sbin/apache2 -k start
www-data 3950 0.0 0.1 278656 3468 ? S 17:14 0:00 /usr/sbin/apache2 -k start
www-data 3951 0.0 0.2 278984 4724 ? S 17:14 0:00 /usr/sbin/apache2 -k start
root 4282 0.0 0.0 6060 416 ? S Oct22 0:01 /usr/sbin/courierlogger -pid=/var/run/courier/authdaemon/pid -start /usr/lib/courier/courier
root 4283 0.0 0.0 29596 592 ? S Oct22 0:00 /usr/lib/courier/courier-authlib/authdaemond
root 4292 0.0 0.0 31692 812 ? S Oct22 0:01 /usr/lib/courier/courier-authlib/authdaemond
root 4293 0.0 0.0 31692 812 ? S Oct22 0:01 /usr/lib/courier/courier-authlib/authdaemond
root 4294 0.0 0.0 31692 812 ? S Oct22 0:01 /usr/lib/courier/courier-authlib/authdaemond
root 4295 0.0 0.0 31692 812 ? S Oct22 0:01 /usr/lib/courier/courier-authlib/authdaemond
root 4296 0.0 0.0 31692 812 ? S Oct22 0:01 /usr/lib/courier/courier-authlib/authdaemond
root 4527 0.0 0.0 6060 420 ? S Oct22 0:02 /usr/sbin/courierlogger -pid=/var/run/courier/pop3d.pid -start -name=pop3d /usr/sbin/courier
root 4528 0.0 0.0 9232 584 ? S Oct22 0:04 /usr/sbin/couriertcpd -maxprocs=40 -maxperip=4 -nodnslookup -noidentlookup -address=0 110 /u
root 4884 0.1 0.1 65928 3008 ? Ss 17:31 0:00 sshd: chris [priv]
chris 4892 0.0 0.0 65928 1676 ? S 17:31 0:00 sshd: chris@pts/0
chris 4893 0.0 0.1 19268 2112 pts/0 Ss 17:31 0:00 -bash
root 4904 1.0 0.1 64712 2912 ? Ss 17:32 0:00 sshd: unknown [priv]
sshd 4905 0.0 0.0 50208 1560 ? S 17:32 0:00 sshd: unknown [net]
chris 4906 0.0 0.0 16012 1112 pts/0 R+ 17:32 0:00 ps -aux
root 5521 0.0 0.0 6060 272 ? S Oct22 0:00 /usr/sbin/courierlogger -pid=/var/run/courier/pop3d-ssl.pid -start -name=pop3d-ssl /usr/sbin
root 5522 0.0 0.0 9232 504 ? S Oct22 0:00 /usr/sbin/couriertcpd -address=0 -maxprocs=40 -maxperip=4 -nodnslookup -noidentlookup 995 /u
root 5557 0.0 0.0 6060 420 ? S Oct22 0:00 /usr/sbin/courierlogger -pid=/var/run/courier/imapd.pid -start -name=imapd /usr/sbin/courier
root 5558 0.0 0.0 9232 584 ? S Oct22 0:00 /usr/sbin/couriertcpd -address=0 -maxprocs=40 -maxperip=20 -nodnslookup -noidentlookup 143 /
root 5775 0.0 0.0 6060 272 ? S Oct22 0:00 /usr/sbin/courierlogger -pid=/var/run/courier/imapd-ssl.pid -start -name=imapd-ssl /usr/sbin
root 5776 0.0 0.0 9232 504 ? S Oct22 0:00 /usr/sbin/couriertcpd -address=0 -maxprocs=40 -maxperip=20 -nodnslookup -noidentlookup 993 /
root 8150 0.0 0.0 36840 1496 ? Ss Oct22 0:10 /usr/lib/postfix/master
postfix 8152 0.0 0.0 38944 1704 ? S Oct22 0:04 qmgr -l -t fifo -u
root 9397 0.1 0.3 122888 7020 ? Sl Oct18 112:27 ./ts3server_linux_amd64
root 10025 0.0 0.0 18876 1968 pts/4 Ss+ Nov10 0:00 /bin/bash
postfix 12553 0.0 0.0 41524 1956 ? S Oct22 0:01 tlsmgr -l -t unix -u -c
108 18829 0.0 0.0 28580 1964 ? Ss Oct19 0:14 /usr/sbin/hald
root 18830 0.0 0.0 17772 880 ? S Oct19 0:00 hald-runner
root 18852 0.0 0.0 19884 612 ? S Oct19 0:00 hald-addon-input: Listening on /dev/input/event3 /dev/input/event2 /dev/input/event1
root 18856 0.0 0.0 19896 460 ? S Oct19 0:00 /usr/lib/hal/hald-addon-cpufreq
108 18857 0.0 0.0 16604 544 ? S Oct19 0:00 hald-addon-acpi: listening on acpid socket /var/run/acpid.socket
root 18915 0.0 0.0 61456 1220 ? Ss Oct22 0:02 /usr/sbin/saslauthd -a shadow -c -m /var/spool/postfix/var/run/saslauthd -r -n 5
root 18918 0.0 0.0 61456 1216 ? S Oct22 0:02 /usr/sbin/saslauthd -a shadow -c -m /var/spool/postfix/var/run/saslauthd -r -n 5
root 18919 0.0 0.0 61456 1048 ? S Oct22 0:00 /usr/sbin/saslauthd -a shadow -c -m /var/spool/postfix/var/run/saslauthd -r -n 5
root 18920 0.0 0.0 61456 1296 ? S Oct22 0:00 /usr/sbin/saslauthd -a shadow -c -m /var/spool/postfix/var/run/saslauthd -r -n 5
root 18921 0.0 0.0 61456 1024 ? S Oct22 0:00 /usr/sbin/saslauthd -a shadow -c -m /var/spool/postfix/var/run/saslauthd -r -n 5
root 19801 0.0 0.2 278652 5700 ? Ss Oct21 1:09 /usr/sbin/apache2 -k start
root 21487 0.0 0.0 0 0 ? S Dec01 0:00 [pdflush]
root 25428 0.0 0.0 0 0 ? S 06:25 0:00 [pdflush]
www-data 26323 0.0 0.6 286308 13952 ? S 10:35 0:06 /usr/sbin/apache2 -k start
root 27076 0.0 0.1 65928 2996 ? Ss 11:37 0:00 sshd: chris [priv]
chris 27079 0.0 0.0 66064 1876 ? S 11:37 0:00 sshd: chris@notty
chris 27080 0.0 0.0 42084 1884 ? Ss 11:37 0:00 /usr/lib/openssh/sftp-server
amavis 27200 0.0 0.4 195216 8452 ? S Nov24 0:00 amavisd (virgin child)
amavis 27201 0.0 0.4 195216 8324 ? S Nov24 0:00 amavisd (virgin child)
chris 27208 0.0 0.0 24812 1092 ? Ss 12:50 0:00 SCREEN -d -m -S counterstrike ./srcds_run -game cstrike -ip 85.10.192.238 -port 27016 +maxpl
chris 27209 0.0 0.0 10304 1476 pts/2 Ss+ 12:50 0:00 /bin/sh ./srcds_run -game cstrike -ip 85.10.192.238 -port 27016 +maxplayers 32 +map de_dust2
chris 27211 28.3 7.6 280512 158644 pts/2 Rl+ 12:50 79:49 ./srcds_linux -game cstrike -ip 85.10.192.238 -port 27016 +maxplayers 32 +map de_dust2 -tick
www-data 27248 0.0 0.9 291284 18820 ? S 13:14 0:04 /usr/sbin/apache2 -k start
root 30428 0.0 0.0 25472 1968 ? Ss Nov10 0:03 SCREEN
root 30429 0.0 0.0 18864 1932 pts/9 Ss+ Nov10 0:00 /bin/bash
www-data 31279 0.0 0.9 291088 18740 ? S 15:36 0:01 /usr/sbin/apache2 -k start
root 31773 0.0 0.0 18864 1940 pts/10 Ss+ Nov10 0:00 /bin/bash
linuxforen@Darkside-Project:~$ (wurde geändert)
ich mein das is ja auch net immer aber es kommt gerne mal vor
es kommen auch 100% wenn ein anderer admin sich ein loggt.(auf meinem verlangen)
Du willst code-tags benutzen [X].
TheChris80
02.12.10, 17:07
ich kann zwar das grund legende aber sag mir doch bite einer was von mir verlangt wird dann krieg ich das wohl hin =)
Aqualung meint, Du sollst diesen Text beim Einfügen zwischen
... tun, damit er seine Formattierung/Einrückung behält.
Wer letztens von wo eingeloggt war, sieht man mit
last -a
TheChris80
02.12.10, 17:45
Last login: Thu Dec 2 17:31:57 2010 from port-92-201-97-158.dynamic.qsc.de
chris@Darkside-Project:~$ top -a
top: unknown argument 'a'
usage: top -hv | -bcisSH -d delay -n iterations [-u user | -U user] -p pid [,pi d ...]
dieser ist mir völlig unbekannt
wie kommt dieser auf meinem root ? wie kick ich ihn und lösche seine daten ?
hatte zwar in unserem forum spammer die ich gebannt habe aber wie werde ich ihn los ?
ich denke der hat sich schon andere user angelegt und macht sich bei mir breit
ich habe eh bald einen neuen root und stelle diesen damit ab aber das heisst nicht das ich mich sicher fühle
ich will mein system so ab schotten wie es nur geht weil es ein root kein gameboy ist
hetzner hate in der vergangenheit viele dos attacken aber ich denke auch das der fehler bei mir liegt und nicht bei meinem hoster
DrunkenFreak
02.12.10, 22:31
Die Einsicht und der Weg...
Du solltest den neuen Server auch direkt abstellen, wenn du nicht mal schaffst Befehle von hier in die Shell zu übertragen. "unknown argument" ist kein Benutzer, sondern ein Fehler. Du hast top nicht richtig bedient.
spychodelics
03.12.10, 14:55
teamspeak3 als root yeah
Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-03 15:53 CET
NSE: Loaded 36 scripts for scanning.
Initiating Ping Scan at 15:53
Scanning 85.10.192.238 [8 ports]
Completed Ping Scan at 15:53, 0.03s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 15:53
Completed Parallel DNS resolution of 1 host. at 15:53, 0.10s elapsed
Initiating SYN Stealth Scan at 15:53
Scanning darkside-project.com (85.10.192.238) [1000 ports]
Discovered open port 995/tcp on 85.10.192.238
Discovered open port 110/tcp on 85.10.192.238
Discovered open port 25/tcp on 85.10.192.238
Discovered open port 3306/tcp on 85.10.192.238
Discovered open port 993/tcp on 85.10.192.238
Discovered open port 22/tcp on 85.10.192.238
Discovered open port 80/tcp on 85.10.192.238
Discovered open port 143/tcp on 85.10.192.238
Discovered open port 8082/tcp on 85.10.192.238
Discovered open port 8083/tcp on 85.10.192.238
Discovered open port 10000/tcp on 85.10.192.238
Completed SYN Stealth Scan at 15:53, 3.84s elapsed (1000 total ports)
Initiating Service scan at 15:53
Scanning 11 services on darkside-project.com (85.10.192.238)
Completed Service scan at 15:53, 19.21s elapsed (11 services on 1 host)
Initiating OS detection (try #1) against darkside-project.com (85.10.192.238)
Retrying OS detection (try #2) against darkside-project.com (85.10.192.238)
Initiating Traceroute at 15:53
Completed Traceroute at 15:53, 0.04s elapsed
Initiating Parallel DNS resolution of 8 hosts. at 15:53
Completed Parallel DNS resolution of 8 hosts. at 15:53, 0.45s elapsed
NSE: Script scanning 85.10.192.238.
NSE: Starting runlevel 1 (of 1) scan.
Initiating NSE at 15:53
Completed NSE at 15:53, 1.79s elapsed
NSE: Script Scanning completed.
Nmap scan report for darkside-project.com (85.10.192.238)
Host is up (0.015s latency).
Not shown: 988 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 2.0)
| ssh-hostkey: 1024 56:ba:68:b3:62:e8:29:62:d2:1b:ff:53:e1:d1:ed:03 (DSA)
|_2048 99:d4:cd:81:be:51:48:a7:9d:55:49:92:92:07:fc:33 (RSA)
25/tcp open smtp Postfix smtpd
|_smtp-commands: EHLO darkside-project.game-server.cc, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, AUTH LOGIN PLAIN, AUTH=LOGIN PLAIN, ENHANCEDSTATUSCODES, 8BITMIME, DSN
80/tcp open http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny9 with Suhosin-Patch)
| html-title: Darkside-Project Gaming-community
|_Requested resource was http://darkside-project.game-server.cc/joomla/index.php
110/tcp open pop3 Courier pop3d
|_pop3-capabilities: USER LOGIN-DELAY(10) IMPLEMENTATION(Courier Mail Server) UIDL PIPELINING OK(K Here s what I can do) TOP SASL(LOGIN)
143/tcp open imap Courier Imapd (released 2008)
|_imap-capabilities: THREAD=ORDEREDSUBJECT QUOTA THREAD=REFERENCES UIDPLUS ACL2=UNION SORT ACL IMAP4rev1 IDLE NAMESPACE CHILDREN
993/tcp open ssl/imap Courier Imapd (released 2008)
|_sslv2: server still supports SSLv2
|_imap-capabilities: THREAD=ORDEREDSUBJECT QUOTA AUTH=PLAIN THREAD=REFERENCES UIDPLUS ACL2=UNION SORT ACL IMAP4rev1 IDLE NAMESPACE CHILDREN
995/tcp open ssl/pop3 Courier pop3d
|_sslv2: server still supports SSLv2
|_pop3-capabilities: USER IMPLEMENTATION(Courier Mail Server) UIDL TOP OK(K Here s what I can do) STLS PIPELINING LOGIN-DELAY(10) SASL(LOGIN PLAIN)
1720/tcp filtered H.323/Q.931
3306/tcp open mysql MySQL 5.0.51a-24+lenny4-log
| mysql-info: Protocol: 10
| Version: 5.0.51a-24+lenny4-log
| Thread ID: 165987376
| Some Capabilities: Connect with DB, Compress, Transactions, Secure Connection
| Status: Autocommit
|_Salt: $:8HBT^Z)Zj'~kyC"{hx
8082/tcp open http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny9 with Suhosin-Patch)
|_html-title: Index of /
8083/tcp open http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny9 with Suhosin-Patch)
| html-title: Postfix Admin - 85.10.192.238:8083
|_Requested resource was http://85.10.192.238/login.php
10000/tcp open http MiniServ 0.01 (Webmin httpd)
|_http-favicon: Unknown favicon MD5: 456913DA7DFC8FA7BFEAE0CA739E3247
|_html-title: Site doesn't have a title (text/html).
Device type: general purpose|WAP|media device|broadband router
Running (JUST GUESSING) : Linux 2.6.X|2.4.X (97%), Gemtek embedded (96%), Siemens embedded (96%), Aastra embedded (95%), Chumby embedded (95%), Belkin Linux 2.4.X (93%), Inventel embedded (93%)
Aggressive OS guesses: Linux 2.6.20-1 (Fedora Core 5) (97%), Gemtek P360 WAP or Siemens Gigaset SE515dsl wireless broadband router (96%), Linux 2.6.15 - 2.6.27 (96%), Aastra RFP L32 IP DECT WAP (95%), Chumby Internet radio (95%), Linux 2.6.13 - 2.6.20 (95%), Linux 2.6.13 - 2.6.28 (95%), Linux 2.6.15 - 2.6.28 (95%), Linux 2.6.17 (Debian) (95%), Linux 2.6.18 (95%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 51.060 days (since Wed Oct 13 15:27:37 2010)
Network Distance: 8 hops
TCP Sequence Prediction: Difficulty=199 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Host: darkside-project.game-server.cc; OS: Linux
TRACEROUTE (using port 53/tcp)
HOP RTT ADDRESS
1 5.57 ms router.de (192.168.0.254)
2 15.97 ms 217.0.116.31
3 15.49 ms 217.0.66.70
4 13.59 ms 217.239.40.162
5 12.48 ms dtag-gw.hetzner.de (193.159.226.2)
6 37.41 ms hos-bb1.juniper1.rz6.hetzner.de (213.239.240.238)
7 14.07 ms hos-tr3.ex3k17.rz6.hetzner.de (213.239.252.9)
8 24.24 ms darkside-project.com (85.10.192.238)
Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 29.74 seconds
Raw packets sent: 1090 (49.452KB) | Rcvd: 1073 (44.568KB)
derRichard
03.12.10, 15:02
teamspeak3 als root yeah
und was war jetzt gleich nochmal der sinn von deinem posting?
//richard
DrunkenFreak
03.12.10, 15:04
Er wollte doch nur zeigen, dass er auch nmap bedienen kann.
ThorstenHirsch
03.12.10, 17:44
Achtung, die Benutzung von nmap ist strafrechtlich bedenklich! (Nicht nachmachen, liebe Kinder!)
Die Benutzung von Steinen ist auch strafrechtlich bedenklich.
spychodelics
05.12.10, 08:37
teamspeak3 als root laufen zu lassen ist als wenn man das rootpw zu 1234 aendert.
deswegen steht da wahrscheinlich
WARNING ! For security reasons we advise: DO NOT RUN THE SERVER AS ROOT
!!!!!!!!!!!
Starting the TeamSpeak 3 server
TeamSpeak 3 server started, for details please view the log file
das nmap hab ich nur mal so angehaengt um zu sehen dienste = ports
teamspeak3 als root laufen zu lassen ist als wenn man das rootpw zu 1234 aendert.
deswegen steht da wahrscheinlich
das nmap hab ich nur mal so angehaengt um zu sehen dienste = ports
und wenn er dich genau deswegen anzeigt - ist das alles blöd gelaufen oder?
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.