Log non identifiable

franck_75 · Février 20, 2016, 3:55pm

Bonjour

En regardant mes logs fichuers auth.log, j’ai tous les matins aux mêmes heures à peu près les logs ci dessous. Les tâches cron sont clairement identifiées, ce n’est donc pas un cron. Je vois pas du tout. Quant au nobody et aux point d’interrogation encore moins.

Merci

kernel 2.6.18-4-686 - etch

06:25:01 localhost su[9131]: Successful su for nobody by root
May 28 06:25:01 localhost su[9131]: + ??? root:nobody
May 28 06:25:01 localhost su[9131]: (pam_unix) session opened for user nobody by (uid=0)
May 28 06:25:01 localhost su[9131]: (pam_unix) session closed for user nobody
May 28 06:25:01 localhost su[9135]: Successful su for nobody by root
May 28 06:25:01 localhost su[9135]: + ??? root:nobody
May 28 06:25:01 localhost su[9135]: (pam_unix) session opened for user nobody by (uid=0)
May 28 06:25:01 localhost su[9135]: (pam_unix) session closed for user nobody
May 28 06:25:01 localhost su[9137]: Successful su for nobody by root
May 28 06:25:01 localhost su[9137]: + ??? root:nobody
May 28 06:25:01 localhost su[9137]: (pam_unix) session opened for user nobody by (uid=0)
May 28 06:25:03 localhost su[9137]: (pam_unix) session closed for user nobody

stonfi · Février 20, 2016, 3:55pm

hello,

On dirait que c’est user ‘nobody’ qui ce logue en root, tu n’a pas des scripts ou autres choses qui tournent ?

franck_75 · Février 20, 2016, 3:55pm

Non, j’ai remarqué dans messages.log qu’à cette heure là c’est syslogd qui redémarre ?

[quote=“stonfi”]hello,

On dirait que c’est user ‘nobody’ qui ce logue en root, tu n’a pas des scripts ou autres choses qui tournent ?[/quote]

mattotop · Février 20, 2016, 3:55pm

[quote=“stonfi”]hello,

On dirait que c’est user ‘nobody’ qui ce logue en root, tu n’a pas des scripts ou autres choses qui tournent ?[/quote]c’est l’inverse.
Et j’ai regardé, syslogd tourne bien en root.
Pourquoi il aurait besoin de se loguer en nobody, alors là ?

franck_75 · Février 20, 2016, 3:55pm

[quote=“mattotop”][quote=“stonfi”]hello,

Je dois m’inquiéter d’une compromission de la machine à ton avis. J’ai passé chkrootkit et rkhunter, rien, mais cela ne prouve pas grand-chose.

Que me conseilles tu ?

On dirait que c’est user ‘nobody’ qui ce logue en root, tu n’a pas des scripts ou autres choses qui tournent ?[/quote]c’est l’inverse.
Et j’ai regardé, syslogd tourne bien en root.
Pourquoi il aurait besoin de se loguer en nobody, alors là ?[/quote]

mattotop · Février 20, 2016, 3:55pm

[quote]Que me conseilles tu ?[/quote]d’oublier ça.