Gerhard Brandenburg wrote: > beim Durchsehen der Logs eines Root-Servers ist mir ein Eintrag im > auth.log aufgefallen: > um 6:25 www su [xxxxx] successful su for nobody by root Da hat dann jemand mit root-Rechten ein su nobody ausgeführt, also root-Privilegien abgegeben. > Tante Gurgel hielt sich bedeckt. > > aus dem Text kann ich nichts entnehmen, was ich verstünde: > root war zu diesem Zeitpunkt nicht am Server aktiv. > Kann sich jemand über den User nobody Zutritt als root verschafft > haben? Über die andere Richtung müsstest Du Dir Sorgen machen. Hier würde ich sagen, hat das irgendein Programm gemacht, das als nobody läuft. Du kannst ja mal mit `ps aux` gucken, ob's da eins gibt. Vermutlich war's nur irgendein init-Skript beim Systemstart. Wurde der Rechner (oder ein Subsystem) um den Zeitpunkt herum neu gestartet?
Attachment:
signature.asc
Description: PGP signature