raiz de logins suspeitos O

Navegue suas respostas
3

Eu observei logins suspeitos com conta root no meu servidor, então criei uma nova conta de administrador e atribuí permissões de root a essa conta e desativei a conta root. deu uma olhada no arquivo /var/log/auth.log e pode ver que não há mais logins do ip suspeito, mas está mostrando: 

Oct 25 06:06:01 SERVERHOSTNAME CRON[10452]: pam_unix(cron:session):   session opened for user root by (uid=0)
Oct 25 06:06:01 SERVERHOSTNAME CRON[10452]: pam_unix(cron:session): session closed for user root

são essas tarefas cron agendadas? estes podem ser ignorados?

    
por Stephan Griesel 25.10.2016 / 07:17

1 resposta

2

A entrada da sessão é devido a um trabalho de cron sendo executado como root . Está sendo gerado em 06:06.

Verifique as entradas relevantes de cron para root e descubra exatamente o que está sendo executado exatamente na ocasião.

Lugares possíveis para se olhar:

  • /etc/crontab
  • /etc/cron.d/*
  • /etc/cron.hourly/*
  • Raiz crontab : crontab -e as root

Se anacron não estiver ativo:

  • /etc/cron.daily/*
  • /etc/cron.weekly/*
  • /etc/cron.monthly/*

Apenas para adicionar, se seu sistema foi comprometido antes, pare de usá-lo, faça um backup (se necessário), configure o sistema operacional novamente. Mais tarde, você poderá analisar o conteúdo do backup para aprofundar a invasão.

    
por heemayl 25.10.2016 / 07:21

Tags

Problemas do Acer Aspire 8951G Nvidia Optimus e HDMI Eu tenho a versão live persistente que eu estava sonhando, como eu faço um arquivo ISO para compartilhá-la?