Re: Security Meldung

To: Debian Mailingliste <debian-user-german@lists.debian.org>
Subject: Re: Security Meldung
From: Florian Schnabel <florian.schnabel@docufy.de>
Date: Fri, 03 Feb 2006 08:50:27 +0100
Message-id: <[🔎] 43E30B43.7060908@docufy.de>
In-reply-to: <[🔎] E90ADA5335BB814CBF12115AB06D6509015607@lic-srv-all.licoho.int>
References: <[🔎] E90ADA5335BB814CBF12115AB06D6509015607@lic-srv-all.licoho.int>

Ronny Wagner wrote:

Hallo Community,
ich bekomme seit zwei Tagen ständig morgens eine Security Meldung von
meinem Linux-Server:
Security Events for su
=-=-=-=-=-=-=-=-=-=-=-
Feb  3 06:25:04 XXX su[32416]: Successful su for nobody by root
Feb  3 06:25:04 XXX su[32425]: Successful su for nobody by root
Feb  3 06:25:04 XXX su[32427]: Successful su for nobody by root
So wie ich das sehe, loggt sich der Root-User als "nobody" ein, oder
versteh ich hier etwas falsch?
Ich weis definitiv, das keiner über die Zugangsdaten von Root verfügt,
außer mir.
Ein Rootkit Suche habe ich auch schon durchgeführt und bin nicht
fündig geworden.
Könnt Ihr mir eine Hilfestellung dazu geben?Vielen Dank


bevor bei dir die große paranoia ausbricht:

das könnte auch ein script per cronjob oder so sein, dafür spricht dieuhrzeit.das wird mit root-rechten ausgeführt, erledigt irgendwas was sonst nichtgeht und wechselt dann auf user nobody weils die rechte nicht mehrbraucht ...


Florian

Reply to:

References:
- Security Meldung
  - From: "Ronny Wagner" <r.wagner@licoho.de>

Prev by Date: Security Meldung
Next by Date: Re: Security Meldung
Previous by thread: Security Meldung
Next by thread: Re: Security Meldung
Index(es):
- Date
- Thread