Off-topic Log Analyse

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

Off-topic Log Analyse

Dr.Peer-Joachim Koch
Hallo zusammen,

folgende Frage - wir wollen die Logins von unserem SMTP-Server (und auch
von anderen)
gezielt danach überprüfen, a) wie häufig und b) von wo die Accounts sich
angemeldet haben.
Bisher hatten wir (2 Vorfälle in ~10 Jahren) wenig Probleme, aber das
muss/wird  ja nicht unbedingt so bleiben.

Kennt jemand Templates/Scripte oder sonstige Dinge, das man nicht alles
neu erfinden muss ?


--
Ciao,
     Peer

p.s. @Peer: Viel Erfolg mit der SLAC 2017 ..
________________________________________________________

Max-Planck-Institut für Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705



smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Off-topic Log Analyse

Karol Babioch
Hallo,

Am 19.05.2017 um 14:29 schrieb Dr. Peer-Joachim Koch:
> folgende Frage - wir wollen die Logins von unserem SMTP-Server (und
> auch von anderen) gezielt danach überprüfen, a) wie häufig und b) von
> wo die Accounts sich angemeldet haben.

Deine Anforderungen sind relativ unspezifisch. Was genau meinst du mit
überprüfen? Grundsätzlich wird das im Log ja festgehalten, z.B.:

> Nov 03 14:14:16 mail.xxx.de postfix/smtps/smtpd[20463]: C72BA3984F:
> client=xxx.kabel-deutschland.de[xxx.xxx.xxx.xxx], sasl_method=PLAIN,
> sasl_username=[hidden email]

Auch IMAP-Server, etc. lassen sich i.d.R. dazu bringen, diese
Informationen auszuspucken.

An der Stelle ist dann halt die Frage, was man mit der Information
anstellen möchte. fail2ban [1] ist ein beliebtes und aktiv gepflegtes
Framework, um Informationen dieser Art aus Log-Dateien zu extrahieren
und basierend darauf Aktionen durchzuführen (z.B. Firewall-Regeln,
automatisierte Abuse-Meldungen erstellen, etc.).

Vielleicht reicht dir das ja schon, ansonsten müsstest du mal deine
Ziele konkretisieren.

Mit freundlichen Grüßen,
Karol Babioch

[1]: https://www.fail2ban.org


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Off-topic Log Analyse

Winfried Neessen
In reply to this post by Dr.Peer-Joachim Koch
Hi,

Am 19.05.2017 um 14:29 schrieb Dr. Peer-Joachim Koch <[hidden email]>:

> folgende Frage - wir wollen die Logins von unserem SMTP-Server (und auch von anderen)
> gezielt danach überprüfen, a) wie häufig und b) von wo die Accounts sich angemeldet haben.
> Bisher hatten wir (2 Vorfälle in ~10 Jahren) wenig Probleme, aber das muss/wird  ja nicht unbedingt so bleiben.
>

Keine Ahnung was Du genau suchst, aber sowas laesst sich recht schnell mit Bordmitteln erstellen.

Folgenden Einzeiler hab ich gerade kurz zusammengekloeppelt um Username/IP von eingeloggten
Dovecot Usern zu bekommen:

$ grep "^$(date '+%b %d')" /var/log/dovecot | grep 'Login: user=' | perl -n -le 'm/user=<([^>]+)>.+rip=([^,]+),/ && print "User: $1 / IP: $2"' | sort | uniq -c | sort -n

Vielleicht kannste ja auf der Basis was bauen, was Dir weiterhilft.


Winni

signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Off-topic Log Analyse

Ralf Hildebrandt
In reply to this post by Dr.Peer-Joachim Koch
* Dr. Peer-Joachim Koch <[hidden email]>:
> Hallo zusammen,
>
> folgende Frage - wir wollen die Logins von unserem SMTP-Server (und auch von
> anderen)
> gezielt danach überprüfen, a) wie häufig und b) von wo die Accounts sich
> angemeldet haben.

Häufigkeit ist ja einfach.
Was heisst "von wo" (Geoip?)?
--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Off-topic Log Analyse

Juri Haberland
On 19.05.2017 14:49, Ralf Hildebrandt wrote:

> * Dr. Peer-Joachim Koch <[hidden email]>:
>> Hallo zusammen,
>>
>> folgende Frage - wir wollen die Logins von unserem SMTP-Server (und auch von
>> anderen)
>> gezielt danach überprüfen, a) wie häufig und b) von wo die Accounts sich
>> angemeldet haben.
>
> Häufigkeit ist ja einfach.
> Was heisst "von wo" (Geoip?)?

Ich denke, es geht ihm um die gleiche Idee, die ich neulich hatte:

Eine Heuristik bauen, mithilfe derer man erkennen kann, ob ein Account
(vermutlich) gehackt wurde.

Z.B.:
Nutzer X loggt sich immer von Vodafone-Mobil-Adressen oder von
Telekom-DSL-Adressen, ein - jetzt kommt plötzlich ein Login von einer
chinesischen IP -> Alarm...


Grüße,
  Juri

Reply | Threaded
Open this post in threaded view
|

Re: Off-topic Log Analyse

Ralf Hildebrandt
* Juri Haberland <[hidden email]>:

> Ich denke, es geht ihm um die gleiche Idee, die ich neulich hatte:
>
> Eine Heuristik bauen, mithilfe derer man erkennen kann, ob ein Account
> (vermutlich) gehackt wurde.
>
> Z.B.:
> Nutzer X loggt sich immer von Vodafone-Mobil-Adressen oder von
> Telekom-DSL-Adressen, ein - jetzt kommt plötzlich ein Login von einer
> chinesischen IP -> Alarm...

Ja, das hatte ich mal gebaut, vielleicht fliegt das noch irgendwo rum :)
(anbei)
--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           

parse_sasl_countries (201 bytes) Download Attachment
resolve_country (44 bytes) Download Attachment