Threaded Mode | Linear Mode

ekeis98 · 04-03-2012 08:12 AM

Hallo,

in einem Tab meines Browsers habe ich ein ispCP-PhpMyAdmin(PMA)-Fenster längere Zeit offengelassen während ich eingeloggt war. Als ich dann eine PMA-Funktion ausführen wollte, leitete mich PMA auf die Seite zum Anmelden weiter. So weit so gut.

Seltsamerweise bekam ich vom ispCP-System dann zwei Emails vom Typ "ispCP Exception Mail Writer - Exception raised!" (Details siehe unten) einmal mit meiner eigenen Remote Addr (gemäß Provider-IP-Adresse) und einmal mit Remote Addr: 218.106.254.77. Letztere ist eine IP-Adresse aus China (Link).

Muss ich mir da Sorgen machen?
Hat die Email etwas mit PMA zu tun oder ist das Zusammentreffen zufällig?

Die Logfiles habe ich per

Code:

find /var/log -type f -exec grep -l 218.106.254.77 {} \;

auf das Vorkommen dieser IP-Adresse durchsucht - ohne Ergebnis.

Wie und wo kann ich noch auf Eindringversuche suchen?

Danke für Eure Zeit.

Grüße Oliver.

----

Email "ispCP Exception Mail Writer - Exception raised!"

Quote:Dear admin,

An exception with the following message was raised in file /var/www/ispcp/gui/include/ispCP/Initializer.php (Line: 382):

=================================================================

Error: Unable to establish connection to the database! SQL returned:
SQLSTATE[28000] [1045] Access denied for user 'root'@'localhost'
(using password: YES)
=================================================================

Debug backtrace:
---------------

File: /var/www/ispcp/gui/include/ispCP/Initializer.php (Line: 153)
Method: ispCP_Initializer::_initializeDatabase()
File: /var/www/ispcp/gui/include/ispCP/Initializer.php (Line: 102)
Method: ispCP_Initializer::_processAll()
File: /var/www/ispcp/gui/include/environment.php (Line: 235)
Method: ispCP_Initializer::run()
File: /var/www/ispcp/gui/include/ispcp-lib.php (Line: 115)
Function: require_once()
File: /var/www/ispcp/gui/index.php (Line: 31)
Function: require()

Additional information:
----------------------

Request Uri: /
Remote Addr: 218.106.254.77
Server Addr: --.--.--.--

____________________________________________________________
ispCP Exception Mail Writer

Note: If the same exception is raised several times, this mail will not be re-send before 6 hours.

**joximu** · 04-03-2012 09:21 AM

im Trace kommt ja nichts vom pma vor - sieht mir eher nach Zufall aus.

Kann es denn sein, dass dein (mysql) root zu dieser Zeit keinen Zugang zur DB hatte?

/J

tomhb · 04-03-2012 10:06 AM

Moin,

(04-03-2012 08:12 AM)ekeis98 Wrote: Seltsamerweise bekam ich vom ispCP-System dann zwei Emails vom Typ "ispCP Exception Mail Writer - Exception raised!" (Details siehe unten) einmal mit meiner eigenen Remote Addr (gemäß Provider-IP-Adresse) und einmal mit Remote Addr: 218.106.254.77. Letztere ist eine IP-Adresse aus China (Link).

Muss ich mir da Sorgen machen?
Hat die Email etwas mit PMA zu tun oder ist das Zusammentreffen zufällig?

Glaubst Du an einen Zufall, wenn Du zwei identische Mails bekommst? Ich wuerde das dann eher Ausloeser nennen. IscpCP verhaelt sich auf unseren Systemen manchmal auch sehr ungewoehnlich, wenn kein lueckenloser Zugriff zum Datenbankserver besteht. Leider sind die Meldungen da oft eher verwirrend, statt hilfreich.

Quote:Die Logfiles habe ich per

Code:

find /var/log -type f -exec grep -l 218.106.254.77 {} \;
auf das Vorkommen dieser IP-Adresse durchsucht - ohne Ergebnis.

Das ist -in Hinsicht auf ispCP- eigentlich "normal". Ich habe bei
derlei Dingen in den ueblichen Protokollen (ohne debug) auch nichts gehabt.

Quote:Wie und wo kann ich noch auf Eindringversuche suchen?

mod_security2 bringt ein gutes Logging mit. Das ist fuer uns immer die
erste Anlaufstelle. Auch snort ist sehr plauderhaft im positiven Sinne.

Laeuft bei Dir der mysql-Server "nur" auf localhost, oder laeuft dieser auch
auf den oeffentlichen IP-Adressen?
Fuer das naechste Mal vielleicht: mit netstat alle momentanen Verbindungen in
eine Datei schreiben, vielleicht ist da was interessantes dabei?

gruss tom

ekeis98 · 04-03-2012 06:06 PM

Hallo,

@joximu:

Quote:Kann es denn sein, dass dein (mysql) root zu dieser Zeit keinen Zugang zur DB hatte?

Ja, das war zu dem Zeitpunkt so. Nach dem Migrieren des var/www/ispcp war noch das alte DB-Passwort eingetragen. Asche auf mein Haupt.

@tomhb:
Die Emails waren ja nur sinngemäß identisch. Sie warnten beide, dass einen Exception aufgetreten sei. Aber sie kamen mit einem Zeitversatz von 3 min. Mich hatte ja nur die chinesische IP-Adresse misstrauisch gemacht.
Die netstat-Ausgabe habe ich unten angeführt.

Danke.

Grüße Oliver.

Quote:netstat -anlp
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1459/mysqld
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 22447/master
tcp 0 0 127.0.0.1:12525 0.0.0.0:* LISTEN 22113/policyd-weigh
tcp 0 0 aa.bb.cc.dd:80 221.207.61.74:49402 SYN_RECV -
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 22447/master
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 21966/proftpd: (acc
tcp 0 0 aa.bb.cc.dd:53 0.0.0.0:* LISTEN 21703/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 21703/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1548/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 22447/master
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 21703/named
tcp 0 0 127.0.0.1:10023 0.0.0.0:* LISTEN 1581/postgrey.pid -
tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN 22447/master
tcp 0 48 aa.bb.cc.dd:22 91.4.8.173:57687 VERBUNDEN 20379/0
tcp6 0 0 :::110 :::* LISTEN 22489/couriertcpd
tcp6 0 0 :::143 :::* LISTEN 22519/couriertcpd
tcp6 0 0 :::80 :::* LISTEN 21806/apache2
tcp6 0 0 :::53 :::* LISTEN 21703/named
tcp6 0 0 :::22 :::* LISTEN 1548/sshd
tcp6 0 0 ::1:953 :::* LISTEN 21703/named
udp 0 0 aa.bb.cc.dd:53 0.0.0.0:* 21703/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 21703/named
udp 0 0 0.0.0.0:68 0.0.0.0:* 900/dhclient
udp 0 0 127.0.0.1:44388 127.0.0.1:53 VERBUNDEN 22113/policyd-weigh
udp 0 0 aa.bb.cc.dd:123 0.0.0.0:* 1528/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 1528/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 1528/ntpd
udp6 0 0 :::53 :::* 21703/named
udp6 0 0 xxxx:xxxx::xxxx:xxxx :::* 1528/ntpd
udp6 0 0 ::1:123 :::* 1528/ntpd
udp6 0 0 :::123 :::* 1528/ntpd
Aktive Sockets in der UNIX-Domäne (Server und stehende Verbindungen)
Proto RefCnt Flags Type State I-Node PID/Program name Pfad
unix 2 [ ACC ] STREAM HÖRT 3335 1020/iscsid @ISCSIADM_ABSTRACT_NAMESPACE
unix 2 [ ACC ] STREAM HÖRT 66680 21966/proftpd: (acc /var/run/proftpd/proftpd.sock
unix 2 [ ACC ] STREAM HÖRT 66826 22120/policyd-weigh /var/run/policyd-weight//polw.sock
unix 2 [ ACC ] STREAM HÖRT 67212 22447/master private/amavis
unix 2 [ ACC ] STREAM HÖRT 67226 22447/master private/ispcp-arpl
unix 2 [ ACC ] STREAM HÖRT 67291 22467/authdaemond /var/run/courier/authdaemon/socket.tmp
unix 2 [ ] DGRAM 3405 1070/rsyslogd /var/spool/postfix/dev/log
unix 17 [ ] DGRAM 3403 1070/rsyslogd /dev/log
unix 2 [ ACC ] STREAM HÖRT 66593 21810/apache2 /var/run/apache2/cgisock.21806
unix 2 [ ] DGRAM 1706 376/udevd @/org/kernel/udev/udevd
unix 2 [ ACC ] STREAM HÖRT 67133 22447/master public/cleanup
unix 2 [ ACC ] STREAM HÖRT 67140 22447/master private/tlsmgr
unix 2 [ ACC ] STREAM HÖRT 67144 22447/master private/rewrite
unix 2 [ ACC ] STREAM HÖRT 67148 22447/master private/bounce
unix 2 [ ACC ] STREAM HÖRT 67152 22447/master private/defer
unix 2 [ ACC ] STREAM HÖRT 67156 22447/master private/trace
unix 2 [ ACC ] STREAM HÖRT 67160 22447/master private/verify
unix 2 [ ACC ] STREAM HÖRT 67164 22447/master public/flush
unix 2 [ ACC ] STREAM HÖRT 67168 22447/master private/proxymap
unix 2 [ ACC ] STREAM HÖRT 67172 22447/master private/smtp
unix 2 [ ACC ] STREAM HÖRT 67176 22447/master private/relay
unix 2 [ ACC ] STREAM HÖRT 67180 22447/master public/showq
unix 2 [ ACC ] STREAM HÖRT 67184 22447/master private/error
unix 2 [ ACC ] STREAM HÖRT 67188 22447/master private/discard
unix 2 [ ACC ] STREAM HÖRT 67192 22447/master private/local
unix 2 [ ACC ] STREAM HÖRT 67196 22447/master private/virtual
unix 2 [ ACC ] STREAM HÖRT 67200 22447/master private/lmtp
unix 2 [ ACC ] STREAM HÖRT 67204 22447/master private/anvil
unix 2 [ ACC ] STREAM HÖRT 67208 22447/master private/scache
unix 2 [ ACC ] STREAM HÖRT 67237 22447/master private/maildrop
unix 2 [ ACC ] STREAM HÖRT 67241 22447/master private/uucp
unix 2 [ ACC ] STREAM HÖRT 67245 22447/master private/ifmail
unix 2 [ ACC ] STREAM HÖRT 67249 22447/master private/bsmtp
unix 2 [ ACC ] STREAM HÖRT 67253 22447/master private/scalemail-backend
unix 2 [ ACC ] STREAM HÖRT 67257 22447/master private/mailman
unix 2 [ ACC ] STREAM HÖRT 77408 3912/php5-cgi /var/lib/apache2/fcgid/sock/21814.0
unix 2 [ ACC ] STREAM HÖRT 3482 1107/acpid /var/run/acpid.socket
unix 2 [ ACC ] STREAM HÖRT 3863 1459/mysqld /var/run/mysqld/mysqld.sock
unix 2 [ ] DGRAM 94874 20379/0
unix 2 [ ] DGRAM 94090 20044/pickup
unix 2 [ ] DGRAM 67333 22518/courierlogger
unix 2 [ ] DGRAM 67306 22488/courierlogger
unix 2 [ ] DGRAM 67286 22466/courierlogger
unix 2 [ ] DGRAM 67265 22455/qmgr
unix 3 [ ] STREAM VERBUNDEN 67260 22447/master
unix 3 [ ] STREAM VERBUNDEN 67259 22447/master
unix 3 [ ] STREAM VERBUNDEN 67256 22447/master
unix 3 [ ] STREAM VERBUNDEN 67255 22447/master
unix 3 [ ] STREAM VERBUNDEN 67252 22447/master
unix 3 [ ] STREAM VERBUNDEN 67251 22447/master
unix 3 [ ] STREAM VERBUNDEN 67248 22447/master
unix 3 [ ] STREAM VERBUNDEN 67247 22447/master
unix 3 [ ] STREAM VERBUNDEN 67244 22447/master
unix 3 [ ] STREAM VERBUNDEN 67243 22447/master
unix 3 [ ] STREAM VERBUNDEN 67240 22447/master
unix 3 [ ] STREAM VERBUNDEN 67239 22447/master
unix 3 [ ] STREAM VERBUNDEN 67236 22447/master
unix 3 [ ] STREAM VERBUNDEN 67235 22447/master
unix 3 [ ] STREAM VERBUNDEN 67229 22447/master
unix 3 [ ] STREAM VERBUNDEN 67228 22447/master
unix 3 [ ] STREAM VERBUNDEN 67225 22447/master
unix 3 [ ] STREAM VERBUNDEN 67224 22447/master
unix 3 [ ] STREAM VERBUNDEN 67215 22447/master
unix 3 [ ] STREAM VERBUNDEN 67214 22447/master
unix 3 [ ] STREAM VERBUNDEN 67211 22447/master
unix 3 [ ] STREAM VERBUNDEN 67210 22447/master
unix 3 [ ] STREAM VERBUNDEN 67207 22447/master
unix 3 [ ] STREAM VERBUNDEN 67206 22447/master
unix 3 [ ] STREAM VERBUNDEN 67203 22447/master
unix 3 [ ] STREAM VERBUNDEN 67202 22447/master
unix 3 [ ] STREAM VERBUNDEN 67199 22447/master
unix 3 [ ] STREAM VERBUNDEN 67198 22447/master
unix 3 [ ] STREAM VERBUNDEN 67195 22447/master
unix 3 [ ] STREAM VERBUNDEN 67194 22447/master
unix 3 [ ] STREAM VERBUNDEN 67191 22447/master
unix 3 [ ] STREAM VERBUNDEN 67190 22447/master
unix 3 [ ] STREAM VERBUNDEN 67187 22447/master
unix 3 [ ] STREAM VERBUNDEN 67186 22447/master
unix 3 [ ] STREAM VERBUNDEN 67183 22447/master
unix 3 [ ] STREAM VERBUNDEN 67182 22447/master
unix 3 [ ] STREAM VERBUNDEN 67179 22447/master
unix 3 [ ] STREAM VERBUNDEN 67178 22447/master
unix 3 [ ] STREAM VERBUNDEN 67175 22447/master
unix 3 [ ] STREAM VERBUNDEN 67174 22447/master
unix 3 [ ] STREAM VERBUNDEN 67171 22447/master
unix 3 [ ] STREAM VERBUNDEN 67170 22447/master
unix 3 [ ] STREAM VERBUNDEN 67167 22447/master
unix 3 [ ] STREAM VERBUNDEN 67166 22447/master
unix 3 [ ] STREAM VERBUNDEN 67163 22447/master
unix 3 [ ] STREAM VERBUNDEN 67162 22447/master
unix 3 [ ] STREAM VERBUNDEN 67159 22447/master
unix 3 [ ] STREAM VERBUNDEN 67158 22447/master
unix 3 [ ] STREAM VERBUNDEN 67155 22447/master
unix 3 [ ] STREAM VERBUNDEN 67154 22447/master
unix 3 [ ] STREAM VERBUNDEN 67151 22447/master
unix 3 [ ] STREAM VERBUNDEN 67150 22447/master
unix 3 [ ] STREAM VERBUNDEN 67147 22447/master
unix 3 [ ] STREAM VERBUNDEN 67146 22447/master
unix 3 [ ] STREAM VERBUNDEN 67143 22447/master
unix 3 [ ] STREAM VERBUNDEN 67142 22447/master
unix 3 [ ] STREAM VERBUNDEN 67139 22447/master
unix 3 [ ] STREAM VERBUNDEN 67138 22447/master
unix 3 [ ] STREAM VERBUNDEN 67136 22447/master
unix 3 [ ] STREAM VERBUNDEN 67135 22447/master
unix 3 [ ] STREAM VERBUNDEN 67132 20044/pickup
unix 3 [ ] STREAM VERBUNDEN 67131 22447/master
unix 3 [ ] STREAM VERBUNDEN 67129 22447/master
unix 3 [ ] STREAM VERBUNDEN 67128 22447/master
unix 3 [ ] STREAM VERBUNDEN 67124 22447/master
unix 3 [ ] STREAM VERBUNDEN 67123 22447/master
unix 2 [ ] DGRAM 67108 22447/master
unix 2 [ ] DGRAM 66813 22113/policyd-weigh
unix 2 [ ] DGRAM 66692 21966/proftpd: (acc
unix 2 [ ] DGRAM 66455 21703/named
unix 2 [ ] DGRAM 4377 1581/postgrey.pid -
unix 2 [ ] DGRAM 4170 1528/ntpd
unix 2 [ ] DGRAM 3855 1460/logger
unix 2 [ ] DGRAM 3478 1019/iscsid
unix 2 [ ] DGRAM 3477 1107/acpid
unix 3 [ ] DGRAM 1711 376/udevd
unix 3 [ ] DGRAM 1710 376/udevd

Threaded Mode \| Linear Mode Sicherheitsfrage
Author	Message