LINUX.ORG.RU
ФорумAdmin

Меня хакнули?


0

0

Debian 4.0

Запуск su разрешено только 1 пользователю...
Все остальным запрещено, если они не в группе well
каждый день в одно и тоже время...


auth.log

Feb 5 07:35:02 ilink su[23426]: Successful su for nobody by root
Feb 5 07:35:02 ilink su[23426]: + ??? root:nobody
Feb 5 07:35:02 ilink su[23426]: (pam_unix) session opened for user nobody by (uid=0)
Feb 5 07:35:02 ilink su[23426]: (pam_unix) session closed for user nobody
Feb 5 07:35:02 ilink su[23428]: Successful su for nobody by root
Feb 5 07:35:02 ilink su[23428]: + ??? root:nobody
Feb 5 07:35:02 ilink su[23428]: (pam_unix) session opened for user nobody by (uid=0)
Feb 5 07:35:02 ilink su[23428]: (pam_unix) session closed for user nobody
Feb 5 07:35:02 ilink su[23430]: Successful su for nobody by root
Feb 5 07:35:02 ilink su[23430]: + ??? root:nobody
Feb 5 07:35:02 ilink su[23430]: (pam_unix) session opened for user nobody by (uid=0)
Feb 5 07:37:11 ilink su[23430]: (pam_unix) session closed for user nobody




Feb 6 07:35:02 ilink su[1764]: Successful su for nobody by root
Feb 6 07:35:02 ilink su[1764]: + ??? root:nobody
Feb 6 07:35:02 ilink su[1764]: (pam_unix) session opened for user nobody by (uid=0)
Feb 6 07:35:02 ilink su[1764]: (pam_unix) session closed for user nobody
Feb 6 07:35:02 ilink su[1767]: Successful su for nobody by root
Feb 6 07:35:02 ilink su[1767]: + ??? root:nobody
Feb 6 07:35:02 ilink su[1767]: (pam_unix) session opened for user nobody by (uid=0)
Feb 6 07:35:02 ilink su[1767]: (pam_unix) session closed for user nobody
Feb 6 07:35:02 ilink su[1769]: Successful su for nobody by root
Feb 6 07:35:02 ilink su[1769]: + ??? root:nobody
Feb 6 07:35:02 ilink su[1769]: (pam_unix) session opened for user nobody by (uid=0)
Feb 6 07:36:56 ilink su[1769]: (pam_unix) session closed for user nobody

Re: Меня хакнули?

Проверили, локально к серверу доступ не имели... Куда копать, что смотреть....

Насчет одного пользователя я ошибся, в pam это забыли настроить... :(

deimos ()
Ответ на: Re: Меня хакнули? от deimos

Re: Меня хакнули?

Это всё от бездуховности.. Посмотри какие процессы у тебя под нободью исполняются - небось сервак какой детишек настрогал и привилегии им ограничил. Апач например..

anonymous ()
Ответ на: Re: Меня хакнули? от anonymous

Re: Меня хакнули?

Богохульные символа вопроса в этом выражении: "+ ??? root:nobody" значат, что процесс не был приаттачен ни к какой консоли. Это у тебя богопротивные демоны в системе в предвкушении весны плодятся.

anonymous ()

Re: Меня хакнули?

cron?

anonymous ()
Ответ на: Re: Меня хакнули? от deimos

Re: Меня хакнули?

Запрети запуск su всем. Пусть будет sudo.

anonymous ()
Ответ на: Re: Меня хакнули? от deimos

Re: Меня хакнули?

> Так все-таки какой полезный совет будет дан?

смотри в crontab. скорее всего, это какой-нибудь updatedb запускается

gaa ★★ ()
Ответ на: Re: Меня хакнули? от deimos

Re: Меня хакнули?

> Так все-таки какой полезный совет будет дан?

А какого совета ты ещё ждешь? Думаю будет достаточно если ты пойдешь в церковь, покаешься в виндузятничестве и поставишь свечку Патрегу. И потом не забудь обязательно окропить сервер святою водою поскольку ты его перед этим трогал и должна была остаться скверна.

anonymous ()
Ответ на: Re: Меня хакнули? от deimos

Re: Меня хакнули?

похоже вот виновник

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

30 7 * * * root test -x /etc/init.d/anacron && /usr/sbin/invoke-rc.d anacron start >/dev/null

deimos ()
Ответ на: Re: Меня хакнули? от deimos

Re: Меня хакнули?

ну хоть по логам ходишь иногда - уже хорошо

anonymous ()

Re: Меня хакнули?

>Все остальным запрещено, если они не в группе well

наверное все-таки wheel.

volh ★★ ()

Re: Меня хакнули?

> Меня хакнули?

Да чувак, тебя хакнули.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.