home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / unix / ultrix / 6476 < prev    next >
Encoding:
Text File  |  1992-08-25  |  2.5 KB  |  55 lines
  1. Newsgroups: comp.unix.ultrix
  2. Path: sparky!uunet!munnari.oz.au!metro!usage!newt.phys.unsw.edu.au!mcba
  3. From: mcba@newt.phys.unsw.edu.au (Michael C. B. Ashley)
  4. Subject: SUMMARY (preliminary): There have been 243 unsuccessful login attempts on your account
  5. Message-ID: <1992Aug25.110645.16618@usage.csd.unsw.OZ.AU>
  6. Keywords: comp.unix.ultrix
  7. Sender: news@usage.csd.unsw.OZ.AU
  8. Nntp-Posting-Host: newt.phys.unsw.edu.au
  9. Organization: University of New South Wales
  10. Date: Tue, 25 Aug 1992 11:06:45 GMT
  11. Lines: 42
  12.  
  13. Thank you to the many people who responded to my original message
  14. regarding tracking down unsuccessful root logins.
  15.  
  16. I have done two things to try and locate the problem: (1) enabled the
  17. ULTRIX audit facility to audit success and failure of all logins, and
  18. (2) installed log_tcp (a wrapper for IP network services from Vol 30 of
  19. comp.sources.unix, written by Wietse Venema (wietse@wzv.win.tue.nl)).
  20. log_tcp writes a message to /var/spool/mqueue/syslog whenever someone
  21. tries to use any of the IP network services that you specify (I have
  22. enabled TELNETD, RLOGIND, RSHD, and FTPD).
  23.  
  24. However, the problem remains! After leaving the system overnight I had
  25. "133 unsuccessful login attempts" on the root account, and the
  26. audit log didn't show anything (yes I did dump the auditd buffer with
  27. /etc/sec/auditd -d, and I have checked that a deliberate unsuccessful
  28. root login is recorded). Moreover, log_tcp recorded just the correct
  29. number of logind/rshd/telnetd/ftpd's expected from the output of "last".
  30. Also, a thorough check through "lastcomm" shows no commands being run
  31. that
  32. tally with the number and distribution of the phantom logins (I
  33. usually get between 50 and 100 of them a day; sometimes 25 an hour,
  34. sometimes only 1 or 2 per hour).
  35.  
  36. So, before I go crazy and reload the operating system in a frenzy of
  37. paranoia, could someone please answer the following questions?
  38.  
  39. (1) What possible events cause the "unsuccessful login attempt"
  40.     counter to be incremented?  Presumably this counter is the
  41.     "fail_count" located in the auth file.
  42.  
  43. (2) Are there any such events that would also fail to be noticed by
  44.     the auditd daemon?  Or is it possible that I have auditd set up
  45.     incorrectly?
  46.  
  47. (3) Are there any other ways of logging into a DECstation other than
  48.     the logind/rshd/telnetd/ftpd daemons that I am monitoring with
  49.     log_tcp?  (I don't have DECNET support in the kernel, and don't
  50.     have LAT as far as I know...).
  51.  
  52. Thank you in advance for any help.
  53. Michael Ashley mcba@newt.phys.unsw.edu.au
  54. Astrophysics Dept. / Uni of NSW / Sydney Australia
  55.