Am Freitag 23 Dezember 2005 13:15 schrieb Andreas Pakulat: > logcheck produziert mir zuviel Output, da finde ich logwatch besser. > Da sieht man immernoch Unregelmaessigkeiten, denke ich, und kann dann > bei Bedarf direkt die Logdateien lesen. Beim logcheck-Output weiss > ich das ich das nicht lange mitmache den jeden Tag zu lesen...
Ja, das müsste ich auch mal wieder anpassen/filtern, momentan - nach einem upgrade - kommt scheinbar jeder servwerzugriff durch, das hatte ich schonmal komplett weggefiltert. Jetzt bekomme ich stündlich mails. Früher war ich schon mal auf 1-3x/tag - alle 3 tage runter. logwatch werde ich mir mal ansehen. > > Womit untersucht ihr, ob der server noch "clean" ist? > > Bisher gar nicht. Man koennte wohl vllt. so ein checkrootkit-Dingens > laufen lassen, mal schauen.. Hmmm.. da gibtr's auch immer false positives, wobei ich hier nmicht weiß, wie man das wegfiltert (procmail?). /etc/cron.daily/chkrootkit: /usr/lib/cgi-bin/.htaccess You have 1 process hidden for readdir command You have 1 process hidden for ps command SIGINVISIBLE Adore found Warning: Possible LKM Trojan installed /proc/1/fd: Permission denied eth0:vserver821: PACKET SNIFFER((null)[(null)], (null)[(null)]) Letzte Zeile kann ich nicht einschätzen, aber Adore/LKM ist ein false positive. Diese null/null Geschichte ist irgendwann aufgetaucht, hängt aber glaube ich mit einem upgrade/installation zusammen. Apropos Sicherheit: Wie sieht euer cronjob für ein dist-upgrade aus? Ich mache das momentan noch von Hand. Da kommt es natürlich des öfteren vor, das ein wichtiges Sicherheits Update erst eine Woche später eingespielt wird. tripwire etc. ist wohl mit Kanonen auf Spatzen geschossen, oder? Eine automatische Backuplösung wäre natürlich auch noch wichtig... aber das ein anderes mal. ciao Gerhard
