Local Daily Security for [servername]:Changes Suse

Computer: Software & Programmierung UNIX & Linux
#1

Hey

Hab hier ein virtuellen Server unter Xen (Suse Linux Enterprise Server 10). Heute habe ich eine Mail vom System (User root) erhalten die ich vorher noch nie erhalten habe, und diese beunruhigt mich doch schon etwas…

Vlt kann mir einer von euch sagen was das bedeuten soll… hier die Mail:

Betreff: Local Daily Security for [servername]: Changes

Daily security check v2.0 by Marc Heuse

This is an automated mail by the seccheck tool. If you want to disable this service, set START_SECCHK=no in /etc/sysconfig/seccheck.

DISCLAIMER

Please note that these security checks are neither complete nor reliable.
Any attacker with proper experience and root access to your system can deceive *any* security check!

Changes in your daily security configuration of sles-wiki:

OLD: /var/lib/secchk/security-report-daily 2008-01-30 00:00:03.000000000 +0100
NEW: /var/lib/secchk/security-report-daily.new 2008-02-01 00:00:04.000000000 +0100

* Changes (+: new entries, -: removed entries):

  • httpd2-pr wwwrun TCP *:80 (LISTEN)
#2

Hi…

Hab hier ein virtuellen Server unter Xen (Suse Linux
Enterprise Server 10). Heute habe ich eine Mail vom System
(User root) erhalten die ich vorher noch nie erhalten habe,
und diese beunruhigt mich doch schon etwas…

Auf dem Rechner läuft ein Script, das verschiedene sicherheitsrelevante Dinge täglich überprüft. Wenn sich etwas geändert hat, schreibt es Dich an, und Du mußt entscheiden, ob diese Veränderung tatsächlich gefährlich ist.

In diesem Fall gab es folgende Änderung:

* Changes (+: new entries, -: removed entries):

  • httpd2-pr wwwrun TCP *:80 (LISTEN)

Seit heute läuft ein Webserver, vermutlich Apache2, auf dem Rechner. Ich vermute, Du hast diesen selbst installiert, also kein Problem.

genumi

#3

Hi…

hi

In diesem Fall gab es folgende Änderung:

* Changes (+: new entries, -: removed entries):

  • httpd2-pr wwwrun TCP *:80 (LISTEN)

Seit heute läuft ein Webserver, vermutlich Apache2, auf dem
Rechner. Ich vermute, Du hast diesen selbst installiert, also
kein Problem.

Hmm find ich schon, da der Apache schon seit über 3 Monaten läuft un das fällt dem Script erst jetzt auf? find ich schon merkwürdig…

genumi

DE

#4

Hallo Dark Elements,

Hmm find ich schon, da der Apache schon seit über 3 Monaten
läuft un das fällt dem Script erst jetzt auf? find ich schon
merkwürdig…

Na ja, das Skript sollte schon täglich laufen, wie man aus der Meldung sieht und es deshalb spätestens am nächsten Tag melden. Aber da es sicher ein cron-Job ist, sollte er vielleicht zu einer ungünstigen Zeit starten, sagen wir mal nachts um zwei Uhr, und ausgerechnet zu dieser Zeit lief dein Server nie (nur ne Annahme, oder läuft er rund um die Uhr? wäre eigentlich normal). Aber die Interpretation von genumi ist schon richtig, mehr kann man aus dieser Meldung nicht rauslesen.

Viele Grüße
Marvin

#5

Hallo Dark Elements,

Hmm find ich schon, da der Apache schon seit über 3 Monaten
läuft un das fällt dem Script erst jetzt auf? find ich schon
merkwürdig…

Na ja, das Skript sollte schon täglich laufen, wie man aus der
Meldung sieht und es deshalb spätestens am nächsten Tag
melden. Aber da es sicher ein cron-Job ist, sollte er
vielleicht zu einer ungünstigen Zeit starten, sagen wir mal
nachts um zwei Uhr, und ausgerechnet zu dieser Zeit lief dein
Server nie (nur ne Annahme, oder läuft er rund um die Uhr?
wäre eigentlich normal).

Klar läuft der rund um die Uhr… der wird nur neu gestartet wenn das irgendwie erforderlich ist wgn Updates oder ähnliches…

Aber die Interpretation von genumi
ist schon richtig, mehr kann man aus dieser Meldung nicht
rauslesen.

hmm ok… hab die Meldung übrigens nochmals bekommen… wieso weis ich nicht… normal sollte der doch wenn nix gemacht wird nix melden oder? also wenn ich das als Admin ok finde und nix gegen unternehme…

Viele Grüße
Marvin

Liebe & leicht verwirrte Grüße zurück

DE

#6

Hallo Dark Elements,

hmm ok… hab die Meldung übrigens nochmals bekommen… wieso
weis ich nicht… normal sollte der doch wenn nix gemacht wird
nix melden oder? also wenn ich das als Admin ok finde und nix
gegen unternehme…

Ja, das verwirrt mich auch ziemlich, normal ist das nicht. Aber Du wirst verstehen, daß man nur aus dieser einen Meldung nichts weiter rauslesen kann. Da mußt Du dein System schon mal selbst analysieren, eine Anleitung dazu findet sich z.B. hier:
http://www.dolle.net/slides/Digitale_Forensik_CLT200…
http://files.doomed-reality.org/Papers/hakin9_0607_f…
http://www.heise.de/security/artikel/print/46297

Viele Grüße
Marvin

#7

hm ja muss ich wohl… klar versteh ich dass man da nit soviel rauslesen kann… dachte nur wäre evtl was was schon bekannt is… nuja werd mich dann ma auf die suche machen…