Verdächtige auth.log

T

the_condor

Registered User
Hallo,

habe eben einen Eintrag beim dem Täglichen Check gefunden.

Code: 
Dec 18 04:15:41 Alicante su[31788]: Successful su for nobody by root
Dec 18 04:15:41 Alicante su[31788]: + ??? root:nobody
Dec 18 04:15:41 Alicante su[31788]: (pam_unix) session opened for user nobody by (uid=0)
Dec 18 04:15:41 Alicante su[31788]: (pam_unix) session closed for user nobody
Dec 18 04:15:41 Alicante su[31792]: Successful su for nobody by root
Dec 18 04:15:41 Alicante su[31792]: + ??? root:nobody
Dec 18 04:15:41 Alicante su[31792]: (pam_unix) session opened for user nobody by (uid=0)
Dec 18 04:15:41 Alicante su[31792]: (pam_unix) session closed for user nobody
Dec 18 04:15:41 Alicante su[31794]: Successful su for nobody by root
Dec 18 04:15:41 Alicante su[31794]: + ??? root:nobody
Dec 18 04:15:41 Alicante su[31794]: (pam_unix) session opened for user nobody by (uid=0)
Dec 18 04:15:41 Alicante su[31794]: (pam_unix) session closed for user nobody

Sieht mir sehr verdächtig aus, habe den Server erstmal Offline genommen. Kann mir mal einer erklären was da sache ist, vorallem wie der Root bekommen kann, sieht so aus.

edit://
Zu dem Zeitraum kann ich nur sagen das der Server neugestartet ist und das auch CRON zu dem Zeitpunkt ausgeführt worden ist.


mfg
the_condor
 
Last edited by a moderator:
Schau mal bitte nach, ob genau zu diesen Zeiten ein Cronjob läuft. Ich habe auch diese Einträge im Log, bei mir kommen sie aber von einem Cronjob.

Gruß Mordor

Ps Man beachte, dass dies su-Befehle sind, und diese von Root ausgehen. Es ist kein Shellzugriff via SSH.
 
Also

ich habe alle Logs gecheckt, zu diesem Zeitpunkt finde ich nur einträge zu einem CRONJOB.

Und ein Anfrage von einem Proxy an die Robot.txt, ansonsten nix um diese Uhrzeit, auch die mod_security log Zeigt nix an um diese Uhrzeit.

Mich würde es stark Wundern wenn jemand von von extern Access bekommen würde. Ich benutze nur 1 Foren Software und mod_security phpids , kein Postfix u.s.w

Naja besser 3 mal schauen, als das es dann zu spät ist.

Danke

mfg
the_condor
 
Sehr viele unerlaubte Zugriffe passieren über den Webserver und unsicheren Skripten. Dass du nur ein Forum am laufen hast, und sonst nix, schützt dich mit Sicherheit nicht.

Bei den Einträgen die du hast, kann man ziemlich sicher davon ausgehen, dass sie vom Cron sind. beobachte das einfach mal ein zwei Tage. Diese treten meist täglich zur selben Uhrzeit, oder auch Wöchentlich auf.
 
Alles klar

ich werde das im Auge behalten, Täglich wird das nicht ausgeführt. Denke auch das es der Cron war. Ansonsten kucke ich schon das ich alles soweit Sicherhalte und Versions mäßig Aktuell.

mfg
the_condor
 
You must log in or register to reply here.
Back
Top