Re: suspekter Eintrag in der auth.log
Hi, die Meldungen wo CRON dabei steht sind Meldungen, wo der cron Daemon die crontab des root-Users geöffnet hat um zu sehen ob dort irgendein zu vollrichtender Task drin steht. Die Meldungen wo 'su' dabei steht werden protokolliert, wenn du von root nach x (in diesem Fall nobody) wechselst, z.B. mittels su command. In diesem Fall wirst du da aber wohl irgendeinen Dämon gestartet haben, der zum Starten (bzw. Binden eines Ports) Root-Rechte benötigt und danach auf die Userrechte eines unprivilegierten Users (nobody) umsteigt. Beispiele hierfür: Apache, proftpd, Bind, ... Gruß Patrick Michael DINDORF wrote: Hallo, ich hab neulich mal in die Logs meines 1&1 Root - Servers geschaut als sich mein Apache2 plötzlich neu gestartet hat. In der Auth Log habe ich dann folgenden Eintrag gefunden den ich nicht recht zuordnen konnte. Jun 12 06:25:01 a209014 CRON[12013]: (pam_unix) session opened for user root by (uid=0) Jun 12 06:25:02 a209014 CRON[12009]: (pam_unix) session closed for user root Jun 12 06:25:02 a209014 CRON[12011]: (pam_unix) session closed for user root ---> Jun 12 06:25:02 a209014 su[12040]: + ??? root:nobody Jun 12 06:25:02 a209014 su[12040]: (pam_unix) session opened for user nobody by (uid=0) ---> Jun 12 06:25:02 a209014 CRON[12013]: (pam_unix) session closed for user root Jun 12 06:25:34 a209014 CRON[12007]: (pam_unix) session closed for user root Weis jemand was mir das sagen soll ? Mfg Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Antwort: suspekter Eintrag in der auth.log
Michael DINDORF schrieb: *g* Könntest du bitte einen richtigen MUA benutzen. Danke! Ciao Walter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: suspekter Eintrag in der auth.log
Michael DINDORF schrieb: > Jun 12 06:25:01 a209014 CRON[12013]: (pam_unix) session opened for user > root by (uid=0) > Jun 12 06:25:02 a209014 CRON[12009]: (pam_unix) session closed for user > root > Jun 12 06:25:02 a209014 CRON[12011]: (pam_unix) session closed for user > root > ---> > Jun 12 06:25:02 a209014 su[12040]: + ??? root:nobody > Jun 12 06:25:02 a209014 su[12040]: (pam_unix) session opened for user > nobody by (uid=0) grep nobody /etc/cron.daily/* Ciao Walter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Antwort: suspekter Eintrag in der auth.log
ja der gute cron ist es ;) merke..morgens + kein kaffee = keine mailinglists benutzen -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
suspekter Eintrag in der auth.log
Hallo, ich hab neulich mal in die Logs meines 1&1 Root - Servers geschaut als sich mein Apache2 plötzlich neu gestartet hat. In der Auth Log habe ich dann folgenden Eintrag gefunden den ich nicht recht zuordnen konnte. Jun 12 06:25:01 a209014 CRON[12013]: (pam_unix) session opened for user root by (uid=0) Jun 12 06:25:02 a209014 CRON[12009]: (pam_unix) session closed for user root Jun 12 06:25:02 a209014 CRON[12011]: (pam_unix) session closed for user root ---> Jun 12 06:25:02 a209014 su[12040]: + ??? root:nobody Jun 12 06:25:02 a209014 su[12040]: (pam_unix) session opened for user nobody by (uid=0) ---> Jun 12 06:25:02 a209014 CRON[12013]: (pam_unix) session closed for user root Jun 12 06:25:34 a209014 CRON[12007]: (pam_unix) session closed for user root Weis jemand was mir das sagen soll ? Mfg Michael
