LINUX.ORG.RU
ФорумAdmin

Меня хакнули?


0

0

Debian 4.0

Запуск su разрешено только 1 пользователю...
Все остальным запрещено, если они не в группе well
каждый день в одно и тоже время...


auth.log

Feb 5 07:35:02 ilink su[23426]: Successful su for nobody by root
Feb 5 07:35:02 ilink su[23426]: + ??? root:nobody
Feb 5 07:35:02 ilink su[23426]: (pam_unix) session opened for user nobody by (uid=0)
Feb 5 07:35:02 ilink su[23426]: (pam_unix) session closed for user nobody
Feb 5 07:35:02 ilink su[23428]: Successful su for nobody by root
Feb 5 07:35:02 ilink su[23428]: + ??? root:nobody
Feb 5 07:35:02 ilink su[23428]: (pam_unix) session opened for user nobody by (uid=0)
Feb 5 07:35:02 ilink su[23428]: (pam_unix) session closed for user nobody
Feb 5 07:35:02 ilink su[23430]: Successful su for nobody by root
Feb 5 07:35:02 ilink su[23430]: + ??? root:nobody
Feb 5 07:35:02 ilink su[23430]: (pam_unix) session opened for user nobody by (uid=0)
Feb 5 07:37:11 ilink su[23430]: (pam_unix) session closed for user nobody




Feb 6 07:35:02 ilink su[1764]: Successful su for nobody by root
Feb 6 07:35:02 ilink su[1764]: + ??? root:nobody
Feb 6 07:35:02 ilink su[1764]: (pam_unix) session opened for user nobody by (uid=0)
Feb 6 07:35:02 ilink su[1764]: (pam_unix) session closed for user nobody
Feb 6 07:35:02 ilink su[1767]: Successful su for nobody by root
Feb 6 07:35:02 ilink su[1767]: + ??? root:nobody
Feb 6 07:35:02 ilink su[1767]: (pam_unix) session opened for user nobody by (uid=0)
Feb 6 07:35:02 ilink su[1767]: (pam_unix) session closed for user nobody
Feb 6 07:35:02 ilink su[1769]: Successful su for nobody by root
Feb 6 07:35:02 ilink su[1769]: + ??? root:nobody
Feb 6 07:35:02 ilink su[1769]: (pam_unix) session opened for user nobody by (uid=0)
Feb 6 07:36:56 ilink su[1769]: (pam_unix) session closed for user nobody


Проверили, локально к серверу доступ не имели... Куда копать, что смотреть....

Насчет одного пользователя я ошибся, в pam это забыли настроить... :(

deimos
() автор топика
Ответ на: комментарий от deimos

Это всё от бездуховности.. Посмотри какие процессы у тебя под нободью исполняются - небось сервак какой детишек настрогал и привилегии им ограничил. Апач например..

anonymous
()
Ответ на: комментарий от anonymous

Богохульные символа вопроса в этом выражении: "+ ??? root:nobody" значат, что процесс не был приаттачен ни к какой консоли. Это у тебя богопротивные демоны в системе в предвкушении весны плодятся.

anonymous
()
Ответ на: комментарий от deimos

Запрети запуск su всем. Пусть будет sudo.

anonymous
()
Ответ на: комментарий от deimos

> Так все-таки какой полезный совет будет дан?

смотри в crontab. скорее всего, это какой-нибудь updatedb запускается

gaa ★★
()
Ответ на: комментарий от deimos

> Так все-таки какой полезный совет будет дан?

А какого совета ты ещё ждешь? Думаю будет достаточно если ты пойдешь в церковь, покаешься в виндузятничестве и поставишь свечку Патрегу. И потом не забудь обязательно окропить сервер святою водою поскольку ты его перед этим трогал и должна была остаться скверна.

anonymous
()
Ответ на: комментарий от deimos

похоже вот виновник

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

30 7 * * * root test -x /etc/init.d/anacron && /usr/sbin/invoke-rc.d anacron start >/dev/null

deimos
() автор топика
Ответ на: комментарий от anonymous

Ну что сразуже к виндузятникам, просто такого ни когда не видел... :(

И сразуже виндузятником обозвали :(

deimos
() автор топика
Ответ на: комментарий от deimos

ну хоть по логам ходишь иногда - уже хорошо

anonymous
()

>Все остальным запрещено, если они не в группе well

наверное все-таки wheel.

volh ★★
()

> Меня хакнули?

Да чувак, тебя хакнули.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin