Re: seltsamer EIntrag in auth.log
Am Donnerstag, 13. Januar 2011 schrieb Uwe Kerstan:
> * Gerhard Brandenburg [2011-01-13 17:03:12]:
> > Hallo Liste,
> > beim Durchsehen der Logs eines Root-Servers ist mir ein Eintrag im
> > auth.log aufgefallen:
> > um 6:25 www su [xxxxx] successful su for nobody by root
>
> check mal 'cat /etc/crontab'
# cat /etc/crontab
<snip>
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
# m h dom mon dow user command
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || ( cd / &&
run-parts --report /etc/cron.daily )
47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / &&
run-parts --report /etc/cron.weekly )
52 6 1 * * root test -x /usr/sbin/anacron || ( cd / &&
run-parts --report /etc/cron.monthly )
#
das schein OK zu sein
> und 'rgrep nobody /etc/cron.daily/*'
# rgrep nobody /etc/cron.daily/*
/etc/cron.daily/find:LOCALUSER="nobody"
Was könnte ein Wissender daraus entnehmen?
> Sollte ein normaler cronjob um 6.25 Uhr sein, etwa: updatedb
>
> Ich würde sagen, kein Grund zur Aufregung. :-)
Dein Wort in Gottes Ohr
>
> Gruß Uwe
Gruß Gerhard
Reply to: