Có phải các mục nhật ký này ghi lại một sự xâm nhập đến máy chủ?

10

Dưới đây là các mục nhật ký tôi tìm thấy trong auth.log. Làm những gì + ??? nghĩa là? Và đã có một truy cập trái phép?

Feb 11 07:48:32 tts-server su[31265]: Successful su for www-data by root
Feb 11 07:48:32 tts-server su[31265]: + ??? root:www-data
Feb 11 07:48:32 tts-server su[31265]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 11 07:48:32 tts-server su[31265]: pam_unix(su:session): session closed for user www-data
Feb 11 07:48:32 tts-server su[31275]: Successful su for www-data by root
Feb 11 07:48:32 tts-server su[31275]: + ??? root:www-data
Feb 11 07:48:32 tts-server su[31275]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 11 07:48:32 tts-server su[31275]: pam_unix(su:session): session closed for user www-data
Feb 12 09:46:27 tts-server su[11208]: Successful su for www-data by root
Feb 12 09:46:27 tts-server su[11208]: + ??? root:www-data
Feb 12 09:46:27 tts-server su[11208]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 12 09:46:27 tts-server su[11208]: pam_unix(su:session): session closed for user www-data
Feb 12 09:46:27 tts-server su[11222]: Successful su for www-data by root
Feb 12 09:46:27 tts-server su[11222]: + ??? root:www-data
Feb 12 09:46:27 tts-server su[11222]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 12 09:46:27 tts-server su[11222]: pam_unix(su:session): session closed for user www-data
Feb 13 12:25:41 tts-server su[22032]: Successful su for www-data by root
Feb 13 12:25:41 tts-server su[22032]: + ??? root:www-data
Feb 13 12:25:41 tts-server su[22032]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 13 12:25:41 tts-server su[22032]: pam_unix(su:session): session closed for user www-data
Feb 13 12:25:41 tts-server su[22043]: Successful su for www-data by root
Feb 13 12:25:41 tts-server su[22043]: + ??? root:www-data
Feb 13 12:25:41 tts-server su[22043]: pam_unix(su:session): session opened for user www-data by (uid=0)
Feb 13 12:25:41 tts-server su[22043]: pam_unix(su:session): session closed for user www-data
security  log 
zuba
nguồn

Câu trả lời:

10

Đó có lẽ là từ một công việc định kỳ. TừSecuring Debian Manual. Chapter 11 - Frequently asked Questions (FAQ)

11.2.3 Tôi thấy người dùng thực hiện 'su' trong nhật ký của mình: Tôi có bị xâm phạm không?

Bạn có thể tìm thấy các dòng trong nhật ký của bạn như:

 Apr  1 09:25:01 server su[30315]: + ??? root-nobody
 Apr  1 09:25:01 server PAM_unix[30315]: (su) 
   session opened for user nobody by (uid=0)

Đừng quá lo lắng, hãy kiểm tra xem đây có phải là do một công việc đang chạy qua cron không (thường là /etc/cron.daily/find hoặc logrotate):

$ grep 25 /etc/crontab
25 6    * * *   root    test -e /usr/sbin/anacron || run-parts --report
/etc/cron.daily
$ grep nobody /etc/cron.daily/*
find:cd / && updatedb --localuser=nobody 2>/dev/null
Gió giật
nguồn
Cảm ơn bạn rất nhiều vì lời giải thích và cho các liên kết !! Tôi đã tìm thấy những dòng này: ~> grep www-data /etc/cron.daily/* /etc/cron.daily/lighttpd: su -s / bin / sh -c "tìm $ cache / compression -type f -atime +30 -print0 | xargs -0 -r rm "www-data /etc/cron.daily/lighttpd: su -s / bin / sh -c" tìm $ cache / uploads -type f -atime +1 -print0 | xargs -0 -r rm "www-data
zuba
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.