Re: seltsamer EIntrag in auth.log

To: debian-user-german@lists.debian.org
Subject: Re: seltsamer EIntrag in auth.log
From: Gerhard Brandenburg <eeepc@ro-aising.de>
Date: Thu, 13 Jan 2011 17:44:04 +0100
Message-id: <[🔎] 201101131744.04833.eeepc@ro-aising.de>
In-reply-to: <[🔎] 20110113172627.1a088edb@hal.movb.de>
References: <[🔎] 201101131703.12319.eeepc@ro-aising.de> <[🔎] 20110113172627.1a088edb@hal.movb.de>

Am Donnerstag, 13. Januar 2011 schrieb Tobias Nissen:
> Gerhard Brandenburg wrote:
> > beim Durchsehen der Logs eines Root-Servers ist mir ein Eintrag im
> > auth.log aufgefallen:
> > um 6:25   www su [xxxxx] successful su for nobody by root
>
> Da hat dann jemand mit root-Rechten ein su nobody ausgeführt, also
> root-Privilegien abgegeben.
>
> > Tante Gurgel hielt sich bedeckt.
> >
> > aus dem Text kann ich nichts entnehmen, was ich verstünde:
> > root war zu diesem Zeitpunkt nicht am Server aktiv.
> > Kann sich jemand über den User nobody Zutritt als root verschafft
> > haben?
>
> Über die andere Richtung müsstest Du Dir Sorgen machen. Hier würde ich
> sagen, hat das irgendein Programm gemacht, das als nobody läuft. 
# ps aux | grep nobody
root     15247  0.0  0.0   1644   516 pts/0    S+   17:31   0:00 grep nobody

Hier scheint nichts zu laufen
> Du 
> kannst ja mal mit `ps aux` gucken, ob's da eins gibt. Vermutlich war's
> nur irgendein init-Skript beim Systemstart. Wurde der Rechner (oder ein
> Subsystem) um den Zeitpunkt herum neu gestartet?

definitv nicht.

Gruß
Gerhard

Reply to:

References:
- seltsamer EIntrag in auth.log
  - From: Gerhard Brandenburg <eeepc@ro-aising.de>
- Re: seltsamer EIntrag in auth.log
  - From: Tobias Nissen <tn@movb.de>

Prev by Date: Re: seltsamer EIntrag in auth.log
Next by Date: Re: seltsamer EIntrag in auth.log
Previous by thread: Re: seltsamer EIntrag in auth.log
Next by thread: Re: seltsamer Eintrag in auth.log
Index(es):
- Date
- Thread