Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Obecná podpora => Téma založeno: RNA 30 Prosince 2011, 10:46:20
-
Dobrý den,
našel jsem v auth.log tuto zajímavost.
Není to nějaké nekalá činnost? Nebo jen proces puštěný samotným systémem.
Moje aktivita to rozhodně není.
Počítač je trvale zapnutý a na veřejné adrese (za routerem, ale SSH, HTTP a FTP natovány,).
Dec 30 07:39:01 minik CRON[20394]: pam_unix(cron:session): session closed for user root
Dec 30 07:47:07 minik su[20721]: Successful su for nobody by root
Dec 30 07:47:07 minik su[20721]: + ? ? ? root:nobody
Dec 30 07:47:07 minik su[20721]: pam_unix(su:session): session opened for user nobody by (uid=0)
Dec 30 07:47:28 minik su[20721]: pam_unix(su:session): session closed for user nobody
Dec 30 08:03:01 minik CRON[5596]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 30 08:03:02 minik CRON[5596]: pam_unix(cron:session): session closed for user root
-
Ten výpis IMO znamená, že nějaký proces běžící pod rootem spustil pomocí su (který použil standardně pam modul) jiný proces běžící pod uživatelem nobody, tedy s nižšími právy než má sám (proč by to útočník dělal, že).
Konkrétně řádekDec 30 07:47:07 minik su[20721]: + ? ? ? root:nobody
zřejmě vychází z tohoto (v zdrojovém kódu su.c) if (getdef_bool ("SYSLOG_SU_ENAB")) {
SYSLOG ((LOG_INFO, "+ %s %s:%s", tty,
('\0' != oldname[0]) ? oldname : "???",
('\0' != name[0]) ? name : "???"));
}
to znamená
+ - uspěšná změna vlastníka
? ? ? - nelze určit tty, z kterého proces spouštíme
root - původní UID
nobody - nové UID
Akce trvala od 7:47:07 do 7:47:28. Asi bych se mrkl do /etc, jestli tam něco podobného nespouštísudo grep -IRw nobody /etc
viz taky
http://www.serverschool.com/dedicated-servers/who-is-nobody/
-
Akce trvala od 7:47:07 do 7:47:28. Asi bych se mrkl do /etc, jestli tam něco podobného nespouští
sudo grep -IRw nobody /etc
No jeje, tam toho je !
V crontab se pár věcí spouští několikrát denně, ale ten čas neodpovídá ničemu, o čem vím.
Ale dám na Vás, asi to nic závažného nebude. Prohlédnu ještě logy ProFTP a Apache, jestli v tom čase se něco nedělo.
Zatím dík.
/etc/denyhosts.conf:SMTP_FROM = DenyHosts <nobody@localhost>
/etc/dictionaries-common/words:nobody
grep: /etc/apparmor/init/network-interface-security/usr.sbin.ntpd: No such file or directory
/etc/openvpn/server.conf.old:user nobody
/etc/openvpn/server.conf:#user nobody
/etc/openvpn/server.conf~:#user nobody
/etc/openvpn/examples/sample-config-files/client.conf:;user nobody
/etc/openvpn/examples/sample-config-files/static-office.conf:# "nobody" after initialization
/etc/openvpn/examples/sample-config-files/static-office.conf:; user nobody
/etc/openvpn/examples/sample-config-files/tls-home.conf:# "nobody" after initialization
/etc/openvpn/examples/sample-config-files/tls-home.conf:; user nobody
/etc/openvpn/examples/sample-config-files/xinetd-client-config:user nobody
/etc/openvpn/examples/sample-config-files/tls-office.conf:# "nobody" after initialization
/etc/openvpn/examples/sample-config-files/tls-office.conf:; user nobody
/etc/openvpn/examples/sample-config-files/xinetd-server-config: server_args = --inetd --dev tun --ifconfig 10.4.0.2 10.4.0.1 --secret /root/openvpn/key --inactive 600 --user nobody
/etc/openvpn/examples/sample-config-files/static-home.conf:# "nobody" after initialization
/etc/openvpn/examples/sample-config-files/static-home.conf:; user nobody
/etc/aliases:nobody: root
/etc/idmapd.conf:Nobody-User = nobody
/etc/shadow-:nobody:*:14728:0:99999:7:::
/etc/ftpusers:nobody
/etc/cron.daily/popularity-contest: su -s /bin/sh -c "/usr/sbin/popularity-contest" nobody
/etc/passwd~:nobody:x:65534:65534:nobody:/nonexistent:/bin/false
/etc/at.deny:nobody
/etc/passwd-:nobody:x:65534:65534:nobody:/nonexistent:/bin/false
/etc/denyhosts.conf~:SMTP_FROM = DenyHosts <nobody@localhost>
/etc/gdm/gdm.schemas: <default>bin,root,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,nobody,nobody4,noaccess,postgres,pvm,rpm,nfsnobody,pcap</default>
/etc/passwd:nobody:x:65534:65534:nobody:/nonexistent:/bin/false
grep: /etc/blkid.tab: No such file or directory
/etc/shadow:nobody:*:14728:0:99999:7:::