क्या इन लॉग प्रविष्टियों ने सर्वर में घुसपैठ को रिकॉर्ड किया था?


10

यहाँ लॉग प्रविष्टियाँ हैं, जिन्हें मैंने Cort.log में पाया है। क्या करता है + ??? क्या मतलब है? और क्या कोई अनधिकृत पहुंच थी?

Feb 11 07:48:32 tts-server su[31265]: Successful su for www-data by root
Feb 11 07:48:32 tts-server su[31265]: + ??? root:www-data
Feb 11 07:48:32 tts-server su[31265]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 11 07:48:32 tts-server su[31265]: pam_unix(su:session): session closed for user www-data
Feb 11 07:48:32 tts-server su[31275]: Successful su for www-data by root
Feb 11 07:48:32 tts-server su[31275]: + ??? root:www-data
Feb 11 07:48:32 tts-server su[31275]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 11 07:48:32 tts-server su[31275]: pam_unix(su:session): session closed for user www-data
Feb 12 09:46:27 tts-server su[11208]: Successful su for www-data by root
Feb 12 09:46:27 tts-server su[11208]: + ??? root:www-data
Feb 12 09:46:27 tts-server su[11208]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 12 09:46:27 tts-server su[11208]: pam_unix(su:session): session closed for user www-data
Feb 12 09:46:27 tts-server su[11222]: Successful su for www-data by root
Feb 12 09:46:27 tts-server su[11222]: + ??? root:www-data
Feb 12 09:46:27 tts-server su[11222]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 12 09:46:27 tts-server su[11222]: pam_unix(su:session): session closed for user www-data
Feb 13 12:25:41 tts-server su[22032]: Successful su for www-data by root
Feb 13 12:25:41 tts-server su[22032]: + ??? root:www-data
Feb 13 12:25:41 tts-server su[22032]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 13 12:25:41 tts-server su[22032]: pam_unix(su:session): session closed for user www-data
Feb 13 12:25:41 tts-server su[22043]: Successful su for www-data by root
Feb 13 12:25:41 tts-server su[22043]: + ??? root:www-data
Feb 13 12:25:41 tts-server su[22043]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 13 12:25:41 tts-server su[22043]: pam_unix(su:session): session closed for user www-data

जवाबों:


10

वे शायद एक क्रॉन नौकरी से हैं। सेSecuring Debian Manual. Chapter 11 - Frequently asked Questions (FAQ)

11.2.3 मैंने पाया कि उपयोगकर्ता मेरे लॉग में 'सु' कर रहे हैं: क्या मैंने समझौता किया है?

आपको अपने लॉग में लाइनें मिल सकती हैं जैसे:

 Apr  1 09:25:01 server su[30315]: + ??? root-nobody
 Apr  1 09:25:01 server PAM_unix[30315]: (su) 
   session opened for user nobody by (uid=0)

बहुत चिंता न करें, जांचें कि क्या यह क्रोन के माध्यम से चलने वाली नौकरी के कारण है (आमतौर पर /etc/cron.daily/find या logrotate):

$ grep 25 /etc/crontab
25 6    * * *   root    test -e /usr/sbin/anacron || run-parts --report
/etc/cron.daily
$ grep nobody /etc/cron.daily/*
find:cd / && updatedb --localuser=nobody 2>/dev/null

स्पष्टीकरण के लिए और लिंक के लिए बहुत बहुत धन्यवाद !! मुझे ये पंक्तियाँ मिलीं: ~> grep www-data /etc/cron.daily/*/etc/cron.daily/lighttpd: su -s / bin / sh -c "$ cache / compress -type f -atime +30 खोजें -print0 | xargs -0 -r rm "www-data /etc/cron.daily/lighttpd: su -s / bin / sh -c" $ cache / uploads -type f -atime +1 -print0 खोजें। xargs -0 -r rm "www-data
zuba
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.