Alguém está tentando invadir meu VPS? [duplicado]

2

Eu estava navegando meus logs no papertail e vi isso.

Jun 03 03:26:01 /USR/SBIN/CRON:  (root) CMD (test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )) 
    Jun 03 03:26:04 su:  Successful su for www-data by root 
    Jun 03 03:26:04 su:  + ??? root:www-data 
    Jun 03 03:26:04 su:  pam_unix(su:session): session opened for user www-data by (uid=0) 
    Jun 03 03:26:04 su:  pam_unix(su:session): session closed for user www-data 
    Jun 03 03:26:04 su:  Successful su for www-data by root 
    Jun 03 03:26:04 su:  + ??? root:www-data 
    Jun 03 03:26:04 su:  pam_unix(su:session): session opened for user www-data by (uid=0) 
    Jun 03 03:26:04 su:  pam_unix(su:session): session closed for user www-data 
    Jun 03 03:26:04 syslog-ng:  Configuration reload request received, reloading configuration; 
    Jun 03 03:26:04 syslog-ng:  EOF on control channel, closing connection; 
    Jun 03 03:26:05 syslog-ng:  Configuration reload request received, reloading configuration; 
    Jun 03 03:26:05 syslog-ng:  EOF on control channel, closing connection; 
    Jun 03 03:26:05 CRON:  pam_unix(cron:session): session closed for user root 
    Jun 03 03:39:01 CRON:  pam_unix(cron:session): session opened for user root by (uid=0) 

Não é possível tentar quebrar? Por que o root está logado como www-data e configuração de recarregamento do syslog-ng?

Editar.

Arquivos em /etc/cron.daily

apt aptitude bsdmainutils dpkg lighttpd logrotate man-db passwd

No lighttpd é

#!/bin/sh
# Cleanup lighttpd compress cache

cache=/var/cache/lighttpd
if test -d "$cache/compress"; then
    su -s /bin/sh -c "find $cache/compress -type f -atime +30 -print0  | xargs -0 -r rm" www-data
fi
if test -d "$cache/uploads"; then
    su -s /bin/sh -c "find $cache/uploads -type f -atime +1 -print0 | xargs -0 -r rm" www-data
fi
    
por Jakub Doležal 03.06.2015 / 14:25

1 resposta

2

Sim, o seu VPS está sempre sob ataque. Mas não, não é isso que esta entrada de log mostra.

Esta é uma atividade legítima. É anacron, executando o trabalho diário /etc/cron.daily/lighttpd, como você viu. No script cron (light) do (corrigido) lighttpd, você pode ver que o script está rodando su www-data , e o arquivo de log mostra root alterando o usuário para www-data.

    
por 03.06.2015 / 16:21