Topic: Alert

[wiserd]

Buongiorno a tutti,

questa mattina mi è arrivata questa mail

Code: [Select]

/etc/cron.daily/01-rkhunter:

Warning: Account 'smartups' is root equivalent (UID = 0)
Warning: Account 'xterm' is root equivalent (UID = 0)
Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': yes
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Sapete per Caso a cosa si riferisce?

Grazie

D

[Stefano]

Warning: Account 'smartups' is root equivalent (UID = 0)
Warning: Account 'xterm' is root equivalent (UID = 0)

questa non l'ho mai vista... hai installato smartups?

posta qui il risultato di

Code: [Select]

grep smartups /etc/shadow


Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': yes
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no

questo è solo "rumore", puoi ignorarlo.. e comunque nei forum se ne è ampliamente parlato

Ciao

Stefano

[wiserd]

Ciao Stefano,

ecco qui:

Code: [Select]

smartups:$1$GG8odtAd$xyySr.swa0Z902/xPCmkd/:13718:0:99999:7:::


grazie
D

[Stefano]

ciao..

scusa ma stamattina sono rinc....

posta anche

Code: [Select]

grep smartups /etc/passwd

ciao e  grazie

Stefano

[wiserd]

Code: [Select]

smartups:x:0:0::/home/smartups:/bin/bash

[Stefano]

Code: [Select]

smartups:x:0:0::/home/smartups:/bin/bash

mhh.... non è una bella cosa.. un utente con UID=0 è come root...

chi l'ha creato questo utente?

hai installato smartups?
posta

Code: [Select]

rpm -qa | grep -i smart

anche l'utente xterm è uguale... strano.. che macchina è? che storia ha?

posta anche

Code: [Select]

/sbin/e-smith/audittools/newrpms

Grazie
Stefano

[wiserd]

Questo è il mio server mail, quello del casino dell'altra volta.

Io non l'ho installato, suppongo che ci fosse gia

1=

Code: [Select]

avvertimento: only V3 signatures can be verified, skipping V4 signature

2=

Code: [Select]

==============================================================
WARNING: Additional commands may be required after running yum
==============================================================
ftp://mirror.fraunhofer.de/centos.org/4.6/updates/i386/repodata/repomd.xml: [Errno 4] IOError: [Errno ftp error] timed out
Trying other mirror.
Loading "fastestmirror" plugin
Loading "installonlyn" plugin
Loading "smeserver" plugin
Setting up repositories
Loading mirror speeds from cached hostfile
Reading repository metadata in from local files
Excluding Packages from CentOS - updates
Finished
Excluding Packages from CentOS - os
Finished
Extra Packages
e-smith-lazy_admin_tools.noarch          0.9.0-1                installed       
hddtemp.i386                             0.3-0.beta12.2.2.el4.r installed       
initscripts-debuginfo.i386               7.93.29.EL-1.centos4.e installed       
kernel.i686                              2.6.9-67.0.4.EL        installed       
kernel.i686                              2.6.9-55.0.9.EL        installed       
kernel.i686                              2.6.9-42.0.10.EL       installed       
kernel.i686                              2.6.9-55.0.2.EL        installed       
kernel.i686                              2.6.9-55.0.6.EL        installed       
kernel.i686                              2.6.9-42.0.3.EL        installed       
kernel-smp.i686                          2.6.9-55.0.6.EL        installed       
kernel-smp.i686                          2.6.9-42.0.3.EL        installed       
kernel-smp.i686                          2.6.9-55.0.9.EL        installed       
kernel-smp.i686                          2.6.9-42.0.10.EL       installed       
kernel-smp.i686                          2.6.9-55.0.2.EL        installed       
kernel-smp.i686                          2.6.9-67.0.4.EL        installed       
nmap.i386                                2:4.20-1               installed       
pam_abl.i386                             0.2.3-2.el4.sme        installed       
perl-Class-ParamParser.noarch            1.0401-2.el4.sme       installed       
perl-IO-Socket-SSL.noarch                1.07-2.el4.rf          installed       
perl-LDAP.noarch                         0.34-1.el4.rf          installed       
perl-Mail-RFC822-Address.noarch          0.3-1.el4.sme          installed       
perl-Time-TAI64.noarch                   2.11-1.el4.sme         installed       
perl-Unix-ConfigFile.noarch              0.06-3.el4.sme         installed       
perl-XML-SAX.noarch                      0.16-1.el4.rf          installed       
rrdtool.i386                             1.2.27-3.el4           installed       
rrdtool-perl.i386                        1.2.27-3.el4           installed       
smeserver-diskusage.noarch               0.0.1-5.el4.sme        installed       
smeserver-fetchmail.noarch               1.3.6-6.el4.sme        installed       
smeserver-groupoffice.noarch             2.16.11-3              installed       
smeserver-password.noarch                1.0.0-9.el4.sme        installed       
smeserver-phpmyadmin.noarch              2.11.1.2-1.el4.sme     installed       
smeserver-remoteuseraccess.noarch        1.2-21.el4.sme         installed       
smeserver-saco-qmHandle.noarch           1.3.2-1                installed       
smeserver-sme7admin.noarch               1.1.0-1                installed       
smeserver-tinydns-public.noarch          1.0.0-01               installed       
smeserver-vacation.noarch                1.0-22.el4.sme         installed       
yum-metadata-parser.i386                 1.1.0-2.el4.centos     installed       
================================================================
No new rpms were installed. No additional commands are required.
================================================================

grazie

D

[Stefano]

ok..

non vedo rpm inerenti..

a questo punto, visto che sulle mie macchine quegli utenti non ci sono, li eliminerei..

fai una copia di /etc/passwd e /etc/shadow (vedi mai), editali con un editor di testo SU sme (pico, vi, vedi tu) ed elimina le righe relative..

in alternativa puoi cambiare UID e GID con il comando usermod (man usermod per informazioni) mettendoli a valori superiori a 100 ed inferiori a 5000

domanda: ma nei giorni precedenti quell'avviso non c'era?
se la risposta è NO, cosa è successo nel frattempo?

posta anche il risultato di

Code: [Select]

/sbin/e-smith/auditttools/templates

Ciao
Stefano

[wiserd]

E' un avviso che ho già ricevuto altre volte insieme ad altri 1000, ora visto che gli altri li ho quasi tutti risolti ero arrivato a questo...

Ora faccio quello che mi hai detto e ti faccio sapere.

Grazie ancora stefano

D

[wiserd]

a questo punto, visto che sulle mie macchine quegli utenti non ci sono, li eliminerei..

fai una copia di /etc/passwd e /etc/shadow (vedi mai), editali con un editor di testo SU sme (pico, vi, vedi tu) ed elimina le righe relative..

posta anche il risultato di

Code: [Select]

/sbin/e-smith/auditttools/templates

Ciao
Stefano

Allora, ho eliminato i due utenti da /etc/passwd e /etc/shadow.

Il risultato di /sbin/e-smith/auditttools/templates è:

Code: [Select]

/etc/e-smith/templates/etc/httpd/conf/httpd.conf/99weblogin: MANUALLY_ADDED
Grazie

D

[Stefano]

ok..

adesso mi pare tutto ok

ciao

Stefano

[wiserd]

perfetto grazie mille stefano...

un'altra mail che mi arriva è

oggetto: [ALRT] hostname.nomedominio.com : cpu = 100 % (max=85 %)

contenuto:
hostname.nomedominio.com :Fri Sep  5 14:04:46 2008
Votre processeur est utilise a 100 %, vous aviez fixe la limite d'alerte a 85 %.
(Causes possibles : Avez vous un processus plante ? une activite intense et prolongee sur le serveur ?)
Si vous avez acces au gestionnaire de serveur, utilisez ce lien pour modifier la limite :
https://hostname.nomedominio.com/server-manager/cgi-bin/sme7admin?state=conf_alert&alert=max_cpu_total

Praticamente mi avverte che l'utilizzo della cpu è al 100% e cliccando sul link mi fa cambiare il limite d'alert...

quello che non capisco è il perchè mi arriva al 100%

posso anche modifcare la notifica ma cambia qualcosa? poi rischio che succedano dei danni senza accorgermene??

Grazie

D

[Stefano]

che il processore arrivi al 100% di utilizzo è abbastanza normale..

a mio parere devi cercare bene nei forum e su bugzilla (se esistono) tutte le info in merito a quel contrib.. ricordo di aver già letto messaggi del genere.. tutto fa pensare che sia un po' troppo sensibile..

a mio parere certe informazioni sono inutili.. se la macchina sta al 100% di cpu per parecchio tempo non serve che mi arrivi alcuna mail.. tempo un paio di ore ed il cliente si lamenterà perchè tutto è estremamente lento..

se vuoi il controllo (visto che lavori al ced) metti un contrib che faccia i grafici e tieniti una pagina del browser sempre aperta con refresh ogni 10 minuti.

my 2€c

Stefano

[wiserd]

se vuoi il controllo (visto che lavori al ced) metti un contrib che faccia i grafici e tieniti una pagina del browser sempre aperta con refresh ogni 10 minuti.

quale ced????

my 2€c

????????

D

[Stefano]

quale ced????

vabbè, dai.. sei il responsabile IT per la tua azienda..

l'espressione "io miei 2c" è analoga a "il mio parere personale"

ciao
Stefano