authlog: Falsche Username/UID-Kombination für su-Einträge

To: debian-user-german@lists.debian.org
Subject: authlog: Falsche Username/UID-Kombination für su-Einträge
From: Stephan Windmüller <usenet-reply-2008@white-hawk.de>
Date: 19 Feb 2008 09:44:10 GMT
Message-id: <[🔎] 0T4qgstvIk87Nv8%windy@speutel.de>

Hallo!

Auf einem unserer Server (Sarge) erscheinen regelmäßig solche Einträge
im authlog:

| su[7510]: (pam_unix) session opened for user root by username(uid=1000)

Das Merkwürdige ist, dass der Name "username" ständig wechselt, die UID
jedoch gleich bleibt. Der Benutzer mit der UID hat sich auch tatsächlich
und erlaubterweise root-Zugang verschafft, doch das Wechseln der Namen
hat erst auf einen Angriff schließen lassen.

Hat jemand eine Erklärung für eine solche Veränderung? Das System ist
übrigens über NIS angebunden. "id" liefert unterschiedliche UIDs für die
Benutzer.

Danke im Voraus
 Stephan

Reply to:

Prev by Date: Re: ICQ Überwachung - Überwachungsstaat
Next by Date: MYSql und OObase
Previous by thread: Re: dpkg: Fehler beim Bearbeiten von findutils
Next by thread: MYSql und OObase
Index(es):
- Date
- Thread