In meiner .bash_history finde ich nur das was ich zuletzt hatte.
In der auth.log steht auch was von einem Nutzer admin , wusste gar nicht dass ich einen angelegt habe, oder ist der standardmäßig bei freebsd? Vielleicht habe ich es auch vergessen.
Hier steht es:
Dec 17 02:37:07 v22016114014640431 sshd[75750]: Accepted keyboard-interactive/pam for admin from 94.50.2.175 port 7178 ssh2
Mal su admin gemacht , aber dort ist überhaupt keine .bash_history , also in /usr/home/admin/ , bzw der befehl history wurde nicht gefunden steht da!
Vielleicht sollte ich nur meine IP freigeben für ssh? Sieht das nach aus als ob jemand eingebrochen ist oder so?
netstat -an :
Active Internet connections (including servers) Proto Recv-Q Send-Q Local Address Foreign Address... - justpaste.it
Hier mal top kopiert :
PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND 2811 root 1 20 0 20120K 3368K CPU0 0... - justpaste.it
Hier ps aux :
ps aux [url=https://justpaste.it/11hi4]root 11 198.5 0.0 0 32 - RL 12:55 163:40.35 root 0 0.0 0.0 0 240 - DLs 12:55 0:07.97 root 1 0.0 0... - justpaste.it[/url]
Dazu muss ich sagen, dass ich den neugestartet habe vor ner Stunde, und gestern war dort ein Prozess .swap oder so hieß der mit über 2000 MB Size glaube ich oder 3000 .
Den habe ich zuvor noch nie gesehen und hab ihn gekillt das war vielleicht was wichtiges ? Ausserdem war der CPU verbrauch für meine Verhältnisse hoch, 8 % oder so , normalerweise ists aber bei 1 - 2% da nur apache, mysql , und teamspeak laufen.
Jedoch in der AUTH.LOG sieht es merkwürdig aus , hier mal ein Auschnitt aus dem aktuellen :
Dec 17 11:00:00 v22016114014640431 newsyslog[84390]: logfile turned over due to size>100K
Dec 17 11:00:53 v22016114014640431 sshd[84416]: Received disconnect from 58.218.199.182 port 56069:11: [preauth]
Dec 17 11:00:53 v22016114014640431 sshd[84416]: Disconnected from 58.218.199.182 port 56069 [preauth]
Dec 17 11:01:46 v22016114014640431 sshd[84430]: Received disconnect from 58.218.199.182 port 26820:11: [preauth]
Dec 17 11:01:46 v22016114014640431 sshd[84430]: Disconnected from 58.218.199.182 port 26820 [preauth]
Und das ist voll von diesen Sachen hab schon mehrere logfile archive so 7 stück.
Hier mal den von 2:40 : Dec 17 02:37:07 v22016114014640431 sshd[75750]: Accepted ... - justpaste.it
Sorry wegen externer Links, aber sonst ist das unübersichtlich, irgendwie funktioniert das CODE teil nicht, da er alles in eine Zeile packt..
Hab mir die ApacheLogs angeschaut, leider nix gefunden!
Ich mache mal tshark an kann mir jemand den richtigen Befehl nennen? Will nicht die ganze Zeit ein terminal anhaben. Am besten speichert er es in einer Datei die ich runterladen kann und am PC anschauen kann.
Edit : habs raus, einfach screen benutzt dafür . So mal sehen was kommt. Was aber noch praktisch wäre, so ein Logprogramm für freebsd was nicht wie tshark nur ip und so daten loggt , sondern welche prozesse wann das netz benutzen also halt wie tshark nur mit prozessname falls es vom freebsd herkommt.
Danke vielmals für eure Hilfe!!