LINUX.ORG.RU
ФорумAdmin

ISPconfig не могу обезопаситься.


0

2

Простите за такое форматирование. Вставил [кут] мой лог [/кут] - не вышло почему-то(((

Помогите пожалуйста разобраться в логах. Логи пишет, точнее читает ISPconfig. Решил её допилить (панельку). Хочу сделать сервер своими руками. Беспокоит несколько вопросов. Ребят больше никто внятно ответить не может. В том числе интернет. Растолкуйте плиз. Спасибо.

Первый - Mail-Warn


Dec 14 20:00:39 hosting postfix/smtpd[27498]: warning: mail.allinonebolivia.com[200.87.150.82]: SASL LOGIN authentication failed: authentication failure

Dec 14 20:00:43 hosting postfix/smtpd[27280]: warning: mail.allinonebolivia.com[200.87.150.82]: SASL LOGIN authentication failed: authentication failure

Dec 14 20:00:47 hosting postfix/smtpd[27498]: warning: SASL authentication failure: All-whitespace username.

Dec 14 20:00:47 hosting postfix/smtpd[27498]: warning: mail.allinonebolivia.com[200.87.150.82]: SASL LOGIN authentication failed: generic failure

Dec 14 20:05:33 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 14 22:22:17 hosting postfix/smtpd[31946]: warning: 115.73.194.199: hostname adsl.viettel.vn verification failed: Name or service not known

Dec 14 23:05:34 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 14 23:59:37 hosting postfix/smtpd[19651]: warning: 208.87.242.197: address not listed for hostname dolphin.unixbsd.info

Dec 15 01:42:57 hosting postfix/smtpd[22260]: warning: 92.46.53.17: hostname frontend02n.mail.kz verification failed: Name or service not known

Dec 15 04:48:39 hosting postfix/smtpd[29081]: warning: 74.116.89.140: address not listed for hostname mkt33-sc.verticalresponse.com

Dec 15 05:35:33 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 08:06:41 hosting postfix/smtpd[18583]: warning: 92.46.53.18: hostname frontend03n.mail.kz verification failed: Name or service not known

Dec 15 08:15:33 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 08:25:33 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 08:45:33 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 11:58:41 hosting postfix/smtpd[25342]: warning: 110.234.86.184: hostname 110-234-86-184.del.tulipconnect.com verification failed: Name or service not known

Dec 15 12:00:34 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 12:18:35 hosting postfix/smtpd[25342]: warning: 81.177.22.12: address not listed for hostname rs1.netplace.ru

Dec 15 14:35:42 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 16:08:38 hosting postfix/smtpd[32288]: warning: 92.46.52.103: hostname 92.46.52.103.static.telecom.kz verification failed: Name or service not known

Dec 15 18:18:12 hosting postfix/smtpd[4846]: warning: 92.46.52.57: hostname 92.46.52.57.static.telecom.kz verification failed: Name or service not known

Dec 15 18:40:33 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 20:30:34 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 20:33:24 hosting postfix/smtpd[9390]: warning: 92.46.52.57: hostname 92.46.52.57.static.telecom.kz verification failed: Name or service not known

Dec 15 20:57:25 hosting postfix/smtpd[9390]: warning: 92.46.62.183: hostname 62183.vps.dnr.kz verification failed: Name or service not known

Второй - Mail-Error - Log

 

Dec 12 14:52:05 hosting pop3d: authentication error: Input/output error

Dec 13 06:00:34 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 08:15:33 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 08:25:33 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 08:45:33 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Dec 15 12:00:34 hosting getmail: getmailOperationError error (POP error (-ERR The password has expired. Please change the password via the web interface.))

Третий - RKHunter-Log


b]/usr/bin/GET [ Warning ][/b]

[b]/usr/bin/lwp-request [ Warning ][/b]

[b]/usr/sbin/inetd [ Warning ][/b]

[b]Checking if SSH root access is allowed [ Warning ][/b]  [b]отключил доступ с помощью webmin думаю не будет писать[/b]

Checking if SSH protocol v1 is allowed [ Not allowed ]

Checking for running syslog daemon [ Found ]

Checking for syslog configuration file [ Found ]

Checking if syslog remote logging is allowed [ Not allowed ]

Performing filesystem checks

Checking /dev for suspicious file types [ None found ]

[b]Checking for hidden files and directories [ Warning ][/b]


System checks summary
=====================

File properties checks...
Files checked: 130
Suspect files: 3

Rootkit checks...
Rootkits checked : 244
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 4 minutes and 14 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Хотя почта работает исправно. И через клиент и через web - Roundcube

С хостнеймом всё понятно: нет обратной зоны для этого айпишника. А кто генерирует ворнинги на пароли хз. Я бы предположил что PAM, но лучше посмотреть как у тебя авторизация настроена.

Ну а RKHunter: какие по нему вопросы?

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

Я бы предположил что PAM, но лучше посмотреть как у тебя авторизация настроена. ....

Скажите как посмотреть можно? Я сервер настраивал по руководству Perfect Server... Вот пытаюсь до ума довести. Заранее спасибо.

krasnopoyas ()
Ответ на: комментарий от krasnopoyas

как добавить обратную зону?

написать об этом хостеру

true_admin ★★★★★ ()
Ответ на: комментарий от krasnopoyas

Так, я туплю, это не pam. Там, случайно, не идёт забор почты, скажем, с mail.ru (или другого хостера)? Короче, надо там поменять пароль.

true_admin ★★★★★ ()
Ответ на: комментарий от sin_a

Спасибо. понял, договорился. Сделают. Вопрос по рутхантер остается открытым.

krasnopoyas ()
Ответ на: комментарий от krasnopoyas

ОК, перевожу все предупреждающие сообщения с английского и даю комментарии.

[23:01:18] /usr/bin/GET [ Warning ]
[23:01:18] Warning: The file '/usr/bin/GET' exists on the system, but it is not present in the rkhunter.dat file.

Файл /usr/bin/GET есть в системе, но rkhunter о нём ничего не знает. Загляните внутрь при помощи less и убедитесь, что это часть пакета LWP (библиотека для работы с WWW из Perl).

[23:01:40] /usr/bin/lwp-request [ Warning ]
[23:01:40] Warning: The file '/usr/bin/lwp-request' exists on the system, but it is not present in the rkhunter.dat file.

Аналогично.

[23:01:53] /usr/sbin/inetd [ Warning ]
[23:01:53] Warning: The file '/usr/sbin/inetd' exists on the system, but it is not present in the rkhunter.dat file.

inetd был поставлен после того, как был создан файл rkhunter.dat. На всякий случай убедитесь, что он действительно поставлен из этого пакета, а пакет - из репозитория.
С LWP, кстати, аналогичная ситуация (он был поставлен после создания rkhunter.dat).

[23:04:48] Checking for passwd file changes [ Warning ]
[23:04:48] Warning: User 'logon' has been added to the passwd file.

Был добавлен пользователь logon. Это же Вы его создали, верно?

[23:04:48] Info: Starting test name 'group_changes'
[23:04:48] Checking for group file changes [ Warning ]
[23:04:49] Warning: Changes found in the group file for group 'sudo':
[23:04:49] User 'logon' has been added to the group

Пользователь logon был добавлен в группу sudo и теперь может получать права root. Аналогично см. выше.

[23:04:49] Checking if SSH root access is allowed [ Warning ]
[23:04:50] Warning: The SSH and rkhunter configuration options should be the same:
[23:04:50] SSH configuration option 'PermitRootLogin': yes
[23:04:50] Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no

Либо запретите вход root'ом по ssh, либо скажите rkhunter, что это нормально.

[23:04:51] Checking for hidden files and directories [ Warning ]
[23:04:52] Warning: Hidden directory found: /dev/.udev
[23:04:52] Warning: Hidden directory found: /dev/.initramfs

/dev/.udev когда-то была необходима для работы udev. Загляните внутрь и убедитесь.

[23:04:53] Info: End date is Чтв Дек 15 23:04:53 ALMT 2011

После этой строчки я не читал, но будет наверняка всё то же самое. Вы же теперь сможете прочитать этот файл самостоятельно?

AITap ★★★★★ ()
Ответ на: комментарий от AITap

Пардон а н7е проще переустановить руткит - хантер? Потом исправить что вход по руту нормально! И должно больше ошибок не давать так?

krasnopoyas ()
Ответ на: комментарий от krasnopoyas

Пардон а н7е проще переустановить руткит - хантер?

Просто запустите rkhunter --propupd

Потом исправить что вход по руту нормально!

Да.

AITap ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.