Re: seltsamer EIntrag in auth.log
Am Donnerstag, 13. Januar 2011 schrieb Tobias Nissen:
> Gerhard Brandenburg wrote:
> > beim Durchsehen der Logs eines Root-Servers ist mir ein Eintrag im
> > auth.log aufgefallen:
> > um 6:25 www su [xxxxx] successful su for nobody by root
>
> Da hat dann jemand mit root-Rechten ein su nobody ausgeführt, also
> root-Privilegien abgegeben.
>
> > Tante Gurgel hielt sich bedeckt.
> >
> > aus dem Text kann ich nichts entnehmen, was ich verstünde:
> > root war zu diesem Zeitpunkt nicht am Server aktiv.
> > Kann sich jemand über den User nobody Zutritt als root verschafft
> > haben?
>
> Über die andere Richtung müsstest Du Dir Sorgen machen. Hier würde ich
> sagen, hat das irgendein Programm gemacht, das als nobody läuft.
# ps aux | grep nobody
root 15247 0.0 0.0 1644 516 pts/0 S+ 17:31 0:00 grep nobody
Hier scheint nichts zu laufen
> Du
> kannst ja mal mit `ps aux` gucken, ob's da eins gibt. Vermutlich war's
> nur irgendein init-Skript beim Systemstart. Wurde der Rechner (oder ein
> Subsystem) um den Zeitpunkt herum neu gestartet?
definitv nicht.
Gruß
Gerhard
Reply to: