Re: interpretacion de /etc/log/auth.log
no creo que alguien se conecte a tu computadora, de hecho son script
automaticos, ya que alguien se conectará por ssh tambien se mostraría su
dirección ip, digo ssh por que es el único que se me ocurre, pero pueder
seguir busscando en tus losg's si encuentras ip desconocidas, si lo
spuedes scar matando su bash en donde estan trabajando.
Martín Chenú wrote:
> Vengo viendo que todos los dias en la misma franja horaria pasa esto
> en el auth.log de mi debian:
>
> Jan 19 00:51:19 pc_debian su[635]: + ??? root:nobody
> Jan 19 00:51:19 pc_debian su[635]: (pam_unix) session opened for user
> nobody by (uid=0)
> Jan 19 00:53:27 pc_debian su[642]: + ??? root:news
> Jan 19 00:53:27 pc_debian su[642]: (pam_unix) session opened for user
> news by (uid=0)
>
> Otras veces como a las 07.00am tambien....no quiero ser paranoico o
> alguien se esta conectando como superusuario?
> Sera algun servicio que necesita permisos de root? ese usuario nobody
> y news...los puedo sacar?
>
> Para que vean el entorno tengo corriendo un qmail, apache, MySQL,
> mrtg....y nada mas, es para uso casero y pruebas varias (mas que nada
> para aprender)
>
> Me pueden decir si es algo normal?Como lo soluciono?estoy viendo en el
> fichero correcto?quiero ver posibles intrusiones......
>
--
"hechando a perder se aprende"
Debian Etch tuxsoul 2.6.12-1-686 2005 i686 GNU/Linux
Intel Celeron (Coppermine) stepping 06
http://mx.dolric.com
http://mx.tuxsoul.com
------------------BEGIN GEEK CODE BLOCK-----------------
Version: 3.12
GCS d? s: a? C+++ UL+++ P+ L++ E--- W++ N+ o K- w++
O-- M V- PS PE Y PGP++ t++ 5 X+++ R* tv++ b- DI+++ D----
G++ e- h++ !r !z
-------------------END GEEK CODE BLOCK------------------
----------BEGIN BLOGGER CODE BLOCK--------
B5 d t++ k+ s++ u-- f- i++ o+ x-- e l++ c+
-----------END BLOGGER CODE BLOCK---------
Reply to: