Speicherort der Log-Dateien

[Wayn0r]

Hey, ich habe auf meiner Fritz-Box den telnet Zugang aktiviert.

Die Firmware müsste die originale sein, habe das ganze vor Monaten nach einer Anleitung hier gemacht.
SpeedPort2FritzBox halt *g*

Jetzt habe ich eine Frage, in welchem Ordner bzw. in welcher Datei speichert die FritzBox die ganzen Log-Dateien? z.B. Die "Ereignisse" die man im über diese Webseite (http://fritz.box) abrufen kann?

Noch eine Frage, ich glaube mein Sohn macht sich einen Spaß daraus, diese capture.html zu nutzen, jedenfalls weiß er oft von Inhalten aus ICQ-Gesprächen *grml* Werde die Zugriffe auf diese Datei auch gespeichert? Dann muss ich ihm ggf. mal die Ohren langziehen


Schon mal danke, für eure Antworten

 

[sf3978]

Jetzt habe ich eine Frage, in welchem Ordner bzw. in welcher Datei speichert die FritzBox die ganzen Log-Dateien?

Den Speicherort der log-Dateien kannst Du mit:

find / -iname '*log*'

feststellen.

z.B. Die "Ereignisse" die man im über diese Webseite (http://fritz.box) abrufen kann?

Die Ereignisse werden in der Datei "/dev/.ar7events" abgelegt. Da solltest Du aber wissen, nach was Du suchen willst. Das geht z. B. mit:

find /dev/.ar7events -exec grep -H "<nach was ich suche>" {} \;

..., diese capture.html zu nutzen, jedenfalls weiß er oft von Inhalten aus ICQ-Gesprächen *grml* Werde die Zugriffe auf diese Datei auch gespeichert?

Die capture.html findest Du mit folgendem Pfad: "/usr/www/all/html/capture.html". Ob die Zugriffe gespeichert/geloggt werden weiss ich nicht. Es gibt mehrere Möglichkeiten es deinem Sohn etwas schwerer zu machen, an diese Daten zu kommen: kein Zugang zur Box für ihn (nur Forwarding), iptables, verschlüsseltes IM, iptraf mit Loggen, etc.

 

[Wayn0r]

Hey, danke hat mir super geholfen.

Anscheinend logt die Box bis auf diese "Events" nichts mit.
Die suche nach *log* ergab nur ein paar "log_martians" die mit nvi aber nichts lieferten (waren leer).
Und dann noch die ganzen Dateien für /www/html/ ich tippe mal, dahinter verbirgt sich die Benutzeroberfläche?

find /dev/.ar7events -exec grep -H[...] liefert leider nur "No such device" (oder so ähnlich). Also gibt es die Datei bei mir nicht?

Das mit dem Zugangverbieten hört sich interessant an, ich werde mich da mal einlesen
Trotzdem würde ich gerne wissen, ob er es bereits getan hat *g*
Also falls jemand weiß ob und wo Zugriffe auf "*/html/*" gespeichert werden. Raus mit den Infos

 

[sf3978]

find /dev/.ar7events -exec grep -H[...] liefert leider nur "No such device" (oder so ähnlich). Also gibt es die Datei bei mir nicht?

Die datei ".ar7events" sollte es bei dir schon geben.
Gib mal statt [...] deine öffentliche IP-Adresse (Achtung: nicht posten!) dort ein:

find /dev/.ar7events -exec grep -H "[B]IP-Adresse[/B]" {} \;

Was für eine Box hast Du?

EDIT:
Den Pfad bzw. die Datei .ar7events findest Du auch mit:

find / -iname '.ar7events'

 

[Wayn0r]

DANKE!

durch find / -name '.ar7events' habe ich rausgefunden, dass die datei in /var/ liegt
(find / -iname funktioniert übrigens nicht )

Ich habe eine FRITZ!Box Fon Speedport W 701V.

Noch mal danke

 

[sf3978]

(find / -iname funktioniert übrigens nicht )

Ich habe eine FRITZ!Box Fon Speedport W 701V.

Komisch. Geht bei mir auf der 7170 einwandfrei:

/var/tmp/flash/mod # find / -iname '.ar7events'
/dev/.ar7events
/var/tmp/csem/.ar7events

 

[Wayn0r]

Bei mir kommt folgendes

Usage: find [PATH...] [EXPRESSION]
[...]

Und dann eine Auflistung der möglichen Befehle.

Habe mich jetzt mal bei den anderen Dingen eingelesen, ist doch etwas komplizierter als ich gedacht habe, aber ich werde es mal in Angriff nehmen. Problem ist nur, dass mein Sohn im 5. Semester Informatik studiert und ich alles Wissen eigentlich von ihm habe. Wir führen also so etwas wie einen kleinen Wettbewerb *gg*

Deswegen noch eine Frage, werden telnet Zugriffe gelogt?

 

[sf3978]

Deswegen noch eine Frage, werden telnet Zugriffe gelogt?

Wenn ich als root mit telnet auf die Box gehe, dann wird das in syslog (logread) angezeigt:

Jun 30 15:54:36 fritz auth.info login[2###]: root login on 'pts/0'

 

[Wayn0r]

Diesen rufe ich bestimmt mit "syslog ..." auf oder? Auf meiner Box ist nichts was auch nur annähernd danach aussieht. Nur "system_status". Das hängt mit meiner busybox zusammen oder bzw. ist in dieser noch nicht installiert? Hoffe habe das alles richtig verstanden.

 

[sf3978]

Diesen rufe ich bestimmt mit "syslog ..." auf oder?

Auf meiner 7170 mit Freetz mache ich das mit logread. Wie das auf einer FRITZ!Box Fon Speedport W 701V geht, weiss ich nicht. Vielleicht helft dir jemand, der sich mit der FRITZ!Box Fon Speedport W 701V auskennt.

 

[Wayn0r]

logread gibt es bei mir auch nicht.

Ich habe wie gesagt auch keinerlei Modifikationen auf der Box. Es ist die originale Firmware von AVM, bei der mein Sohn nur den telnetd installiert hat. (Hat er mir so erzählt *g*).

Also Aufruf an den Rest: Gibt es jemanden mit der originalen AVM Firmware, der mir ein paar Infos über das oben beschrieben "Log-Verhalten" der Box mitteilen kann? Danke

 

[kevins]

Ich weiss ja nicht ob dies das richtige Forum ist.Habe auch eine Frage bzgl. Logs auf der 7170.Hat man noch Zugriff auf das Protokoll vorangegangener Monate?
Ich habe den Pushservice bei mir aktiviert,leider wurde der Router zwischenzeitlich neu gestartet,so das die gesuchte Information nicht mehr vorhanden ist,bzw. auch im Push nicht zu finden war.
Speziell ging es mir dabei um eine IP adresse die mir mein Provider,wie üblich zugewiesen hat.
Habe heute bei selbigen angerufen,der darf mir leider keine Aussage dazu machen,mit welcher IP ich zu besagter Zeit unterwegs war.
Wäre mein letzter Tropfen Hoffnung,auf diese Art un Weise noch was rauszubekommen...
Vielen Dank

 

[Lemur]

Wenn die Box zwischenzeitig neu gestartet wurde (o. d. Strom weg war) sind die Logs auch weg.

Es sei denn, man modifiziert die Box so, das z.B. bestimmte Logs auf einen USB- oder Webspeicher ausgelagert werden, was bei Dir wohl nicht der Fall war.

Das der Provider dem Anschlussinhaber die zugeteilte IP nicht mitteilen darf ist absoluter Blödsinn. Hier sollte sich der A.Inhaber auf das BDSG berufen und Auskunft verlangen.

Sofern die IP's aber nicht (mehr) vorliegen, weil die Zeit z.B. schon zu lange her ist, kann der Provider sich darauf berufen, das eben solche schon gelöscht wurden. Die Zeitspanne liegt erfahrungsgem. momentan bei 3-80 Tagen, bevor die Daten vernichtet werden (sollten).

Grüße
Lemur

 

[sf3978]

[...]
Habe heute bei selbigen angerufen,der darf mir leider keine Aussage dazu machen,mit welcher IP ich zu besagter Zeit unterwegs war.
[...]

Du musst dem Provider nachweisen, dass Du der berechtigte Inhaber des Anschlusses bist. Telefonanruf reicht hier nicht.

 

[kevins]

Hallo,danke erstmal für Eure Antworten.Nach erneuten Anruf beim Provider,erhielt ich die Aussage das die Daten nur 7 Tage gespeichert werden.Wenn ein Gerichtsbeschluss eines Klägers vorgelegt wird,erhält er die Daten.Im selbigen Fall werden die Dateien dann gesondert gespeichert (er konnte mir allerdings nicht sagen wo)Erst auf richterlichen Beschluss könne man dann wieder an diese Daten gelangen.Fakt ist,die Daten sind in deren Servern/Programmen definitiv nach 7 Tagen weg.
Grüsse

 

[sf3978]

D. h. nach 7 Tagen, kommt auch der Kläger bzw. der Richter, nicht mehr an diese Daten.

 

[Lemur]

So sollte es sein, allerdings ist das (manuelle) raussuchen der IP zum Zeitpunkt, immer mit einem gewissen "Mehraufwand" für den Provider verbunden, der natürlich gerne vermieden werden will.

So könnte es ja schonmal vorkommen, das Daten angeblich schon gelöscht sind, die nach gewisser Recherche (z.B. durch richterliche Motivation) doch noch vorhanden waren und deshalb auch rausgegeben werden müssen.

@kevins
Ist das eigendlich dein Anschluss und falls ja, wofür brauchst Du überhaupt die IP zum Zeitpunkt? (rein interessehalber, scheint ja für dich wichtig zu sein)

 

[kevins]

@Lemur
Ja,hierbei gehts um meine eigene Ip.Punkt ist der ,das mir hier was vorgeworfen wird (Abmahnung wegen Filesharing),was ich definitiv nicht begangen habe.
1.war ich zu diesem Zeitpunkt nicht zuhause
2.nutze ich keinerlei Software,die es ermöglicht anderen Nutzer eine Datei (wie es so schon im Schreiben steht) weltweit zum Tausch anzubieten.
3.Kann ich eigentlich aufgrund der WPA2 verschlüsselung Angriffe von aussen ausschliessen.
Was mich am meisten bei der ganzen Sache ärgert,das es mir nicht gelungen ist,eben über die Fritzbox,selber an die Information ranzukommen.
Führe monatlich immer diesen Pushservice,leider eben in den besagten Monat,gab es wohl einen Stromausfall...
Grüsse

 

[Lemur]

Wie wir nun gelernt haben, reich ein monatlicher Pushservice für solche Zwecke nicht aus. Was mir noch einfällt - vielleicht hast Du noch alte E-Mails von dem Tag, die Du selbst verschickt hast - da sollte sich auch die IP aus dem Quelltext holen lassen - aber Du schreibst, Du seist nicht zu Hause gewesen.

Bzgl. deines eigendlichen Problems, warum lässt Du nicht die Gegenseite beweisen, dass diese IP zu diesem Zeitpunkt, Dir zugeteilt worden war? Da es sich dann wohl um den Vorwurf einer Urheberrechtsverletzung handeln dürfte (und nicht um eine dubiose Abofallen - Website, o. ä.) würde ich Dir dringend raten, einen entsprechenden Fachanwalt für Urheberrecht- / Internetrecht zu deiner Interessensvertretung zu beauftragen.

Dieser Beitrag und meine Antworten in diesem Thread stellen keine Rechtsberatung dar!

Grüße
Lemur

 

[kevins]

Was mir noch einfällt - vielleicht hast Du noch alte E-Mails von dem Tag, die Du selbst verschickt hast - da sollte sich auch die IP aus dem Quelltext holen lassen - aber Du schreibst, Du seist nicht zu Hause gewesen.

Das ist ein guter Gedanke.Habe eben gerade mal meinen Outlook gecheckt.Da gibts einige Mails von mir und an mich.Zwar nicht zu dieser Zeit sondern früher und auch welche von später.Habe jetzt mal im Quelltext nachgesehen, leider werde ich aus diesem nicht ganz schlau.Kannst du mir erklären,wie ich den auslesen kann?
Grüsse

Und ja es geht um Urherberrecht.
Ich bin jetzt nur am Fakten sammeln die meine Unschuld eindeutig beweissen...
Grüsse