Charles Grellois wrote:
Bonnjour, Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant pas expert en securite j'aimerais avoir votre avis pour savoir si je dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux qu'un long discours: **auth.log: Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root by (uid=0)Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for usernobody by (uid=0) Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root
bizarre j'ai les memes evenements a la meme heure et au meme jour sur mon serveur
Dec 22 06:25:01 www su[19884]: + ??? root-nobodyDec 22 06:25:01 www PAM_unix[19884]: (su) session opened for user nobody by (uid=0)
Dec 23 06:25:01 www su[22253]: + ??? root-nobodyDec 23 06:25:01 www PAM_unix[22253]: (su) session opened for user nobody by (uid=0)
Dec 24 06:25:01 www su[24606]: + ??? root-nobodyDec 24 06:25:01 www PAM_unix[24606]: (su) session opened for user nobody by (uid=0)
Dec 25 06:25:01 www su[26066]: + ??? root-nobodyDec 25 06:25:01 www PAM_unix[26066]: (su) session opened for user nobody by (uid=0)