Pokus o vloupání?

[RNA]

Dobrý den,

našel jsem v auth.log tuto zajímavost.
Není to nějaké nekalá činnost? Nebo jen proces puštěný samotným systémem.
Moje aktivita to rozhodně není.
Počítač je trvale zapnutý a na veřejné adrese (za routerem, ale SSH, HTTP a FTP natovány,).


Dec 30 07:39:01 minik CRON[20394]: pam_unix(cron:session): session closed for user root

Dec 30 07:47:07 minik su[20721]: Successful su for nobody by root
Dec 30 07:47:07 minik su[20721]: + ? ? ? root:nobody
Dec 30 07:47:07 minik su[20721]: pam_unix(su:session): session opened for user nobody by (uid=0)
Dec 30 07:47:28 minik su[20721]: pam_unix(su:session): session closed for user nobody
Dec 30 08:03:01 minik CRON[5596]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 30 08:03:02 minik CRON[5596]: pam_unix(cron:session): session closed for user root

[daysleeper]

Ten výpis IMO znamená, že nějaký proces běžící pod rootem spustil pomocí su (který použil standardně pam modul) jiný proces běžící pod uživatelem nobody, tedy s nižšími právy než má sám (proč by to útočník dělal, že).

Konkrétně řádek

Kód: [Vybrat]

Dec 30 07:47:07 minik su[20721]: + ? ? ? root:nobody
zřejmě vychází z tohoto (v zdrojovém kódu su.c)

Kód: [Vybrat]

if (getdef_bool ("SYSLOG_SU_ENAB")) {
SYSLOG ((LOG_INFO, "+ %s %s:%s", tty,
         ('\0' != oldname[0]) ? oldname : "???",
         ('\0' != name[0]) ? name : "???"));
}
to znamená
+ - uspěšná změna vlastníka
? ? ? - nelze určit tty, z kterého proces spouštíme
root - původní UID
nobody - nové UID

Akce trvala od 7:47:07 do 7:47:28. Asi bych se mrkl do /etc, jestli tam něco podobného nespouští

Kód: [Vybrat]

sudo grep -IRw nobody /etc
viz taky
http://www.serverschool.com/dedicated-servers/who-is-nobody/

[RNA]

Akce trvala od 7:47:07 do 7:47:28. Asi bych se mrkl do /etc, jestli tam něco podobného nespouští
sudo grep -IRw nobody /etc

No jeje, tam toho je !
V crontab se pár věcí spouští několikrát denně, ale ten čas neodpovídá ničemu, o čem vím.
Ale dám na Vás, asi to nic závažného nebude. Prohlédnu ještě logy ProFTP a Apache, jestli v tom čase se něco nedělo.
Zatím dík.

Kód: [Vybrat]

/etc/denyhosts.conf:SMTP_FROM = DenyHosts <nobody@localhost>
/etc/dictionaries-common/words:nobody
grep: /etc/apparmor/init/network-interface-security/usr.sbin.ntpd: No such file or directory
/etc/openvpn/server.conf.old:user nobody
/etc/openvpn/server.conf:#user nobody
/etc/openvpn/server.conf~:#user nobody
/etc/openvpn/examples/sample-config-files/client.conf:;user nobody
/etc/openvpn/examples/sample-config-files/static-office.conf:# "nobody" after initialization
/etc/openvpn/examples/sample-config-files/static-office.conf:; user nobody
/etc/openvpn/examples/sample-config-files/tls-home.conf:# "nobody" after initialization
/etc/openvpn/examples/sample-config-files/tls-home.conf:; user nobody
/etc/openvpn/examples/sample-config-files/xinetd-client-config:user nobody
/etc/openvpn/examples/sample-config-files/tls-office.conf:# "nobody" after initialization
/etc/openvpn/examples/sample-config-files/tls-office.conf:; user nobody
/etc/openvpn/examples/sample-config-files/xinetd-server-config:        server_args     = --inetd --dev tun --ifconfig 10.4.0.2 10.4.0.1 --secret /root/openvpn/key --inactive 600 --user nobody
/etc/openvpn/examples/sample-config-files/static-home.conf:# "nobody" after initialization
/etc/openvpn/examples/sample-config-files/static-home.conf:; user nobody
/etc/aliases:nobody: root
/etc/idmapd.conf:Nobody-User = nobody
/etc/shadow-:nobody:*:14728:0:99999:7:::
/etc/ftpusers:nobody
/etc/cron.daily/popularity-contest:     su -s /bin/sh -c "/usr/sbin/popularity-contest" nobody
/etc/passwd~:nobody:x:65534:65534:nobody:/nonexistent:/bin/false
/etc/at.deny:nobody
/etc/passwd-:nobody:x:65534:65534:nobody:/nonexistent:/bin/false
/etc/denyhosts.conf~:SMTP_FROM = DenyHosts <nobody@localhost>
/etc/gdm/gdm.schemas:      <default>bin,root,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,nobody,nobody4,noaccess,postgres,pvm,rpm,nfsnobody,pcap</default>
/etc/passwd:nobody:x:65534:65534:nobody:/nonexistent:/bin/false
grep: /etc/blkid.tab: No such file or directory
/etc/shadow:nobody:*:14728:0:99999:7:::