Page 1 of 1
User nobody - Shellzugriff?
Posted: 2007-04-18 08:26
by schnere
Hi!
Bei debian etch hat der user "nobody" anscheinend eine Shell zugewiesen.
Ist es sinnvoll diese auf /bin/false umzuleiten, oder wird diese gebraucht.
Ich frage deshalb, weil sich anscheinend jemand mit diesem Benutzer root-Zugriff per su geholt hat.
MfG schnere
Re: User nobody - Shellzugriff?
Posted: 2007-04-18 10:28
by flo
Kam mir merkwürdig vor, aber ich hab nachgesehen:
Code: Select all
# grep nobody /etc/passwd
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
Weiß da jemand etwas dazu??
Re: User nobody - Shellzugriff?
Posted: 2007-04-18 10:54
by danu
Code: Select all
#grep nobody /etc/passwd
nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/false
/var/lib/nobody ist bei mir ein leeres Verzeichnis
Aber wenn da ein Unbekannter Root Zugriff hatte, muss der Server neu aufgesetzt werden.
Re: User nobody - Shellzugriff?
Posted: 2007-04-18 11:59
by schnere
Hab den server bereits neu aufgesetzt, deshalb will ich sowas ja ausschließen...
Dann werd ich nobody mal auch den Shell-Zugriff verweigern...
Re: User nobody - Shellzugriff?
Posted: 2007-04-18 12:22
by sledge0303
Nobody hat per default keine Shell. Dann wird sich jemand diese gewährt haben.
Re: User nobody - Shellzugriff?
Posted: 2007-04-18 12:58
by EdRoxter
Hat mal jemand eine jungfräuliche Etch-Version zur Hand und kann das nachprüfen?
Nobody wird doch mainly von Samba benutzt, da braucht's ja eigentlich keine Shell..
Re: User nobody - Shellzugriff?
Posted: 2007-04-18 13:40
by flo
sledge0303 wrote:Nobody hat per default keine Shell. Dann wird sich jemand diese gewährt haben.
Siehe oben - Etch, eine Woche produktiv und per Hand auf Server gespielt ... :-) Da war niemand dran ...
Re: User nobody - Shellzugriff?
Posted: 2007-04-18 14:58
by sledge0303
flo wrote:
Siehe oben - Etch, eine Woche produktiv und per Hand auf Server gespielt ... :-) Da war niemand dran ...
Code: Select all
grep nobody /etc/passwd
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
Etch gestern Abend installiert, per debootstrap :)
Re: User nobody - Shellzugriff?
Posted: 2007-04-18 16:56
by flo
Schaut ja aus wie bei mir :-)
Re: User nobody - Shellzugriff?
Posted: 2007-04-18 17:21
by Joe User
Re: User nobody - Shellzugriff?
Posted: 2007-04-18 21:04
by schnere
habe ich in die proftpd.conf eingefügt.
Code: Select all
apache-modconf apache disable mod_userdir
hat was mit dem Directory listing zu tun, oder?
Der obige Code ist wahrscheinlich für apache und nicht für apache2.
Code: Select all
a2dismod userdir
Module userdir already disabled
Sollte also passen.
Re: User nobody - Shellzugriff?
Posted: 2007-04-19 10:49
by elch_mg
Mein Etch - allerdings schon etwas älter - hat nicht nur nobody die /bin/sh zugewiesen, sondern auch noch einigen anderen Accounts, bei denen ich mich frage, obs die überhaupt braucht. bin, sys, daemon, games, man, news, uucp, etc. pp.
Ich habe all denen jetzt erst einmal /bin/false zugewiesen, ohne allerdings gründlich zu prüfen, ob das unerwünschte Nebeneffekte hat.. ;) Hat da jemand schon etwas zu gefunden?
Re: User nobody - Shellzugriff?
Posted: 2007-04-19 16:24
by schnere
Folgendes kam bei der Untersuchung der Server-Logs:
cat /var/log/auth.log | grep nobody
Code: Select all
Apr 17 06:25:01 server01 su[27110]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27110]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:01 server01 su[27110]: (pam_unix) session closed for user nobody
Apr 17 06:25:01 server01 su[27113]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27113]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:01 server01 su[27113]: (pam_unix) session closed for user nobody
Apr 17 06:25:01 server01 su[27115]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27115]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:10 server01 su[27115]: (pam_unix) session closed for user nobody
komischerweise ist die Uhrzeit immer die Selbe auch an anderen Tagen...
Re: User nobody - Shellzugriff?
Posted: 2007-04-19 16:29
by elch_mg
cronjob, wetten? Geraten, weil zufällig eben selbst nachgeguckt: /etc/cron.daily/exim4-base?
Re: User nobody - Shellzugriff?
Posted: 2007-04-19 16:57
by schnere
Also nichts gefährliches ?! *grübel*
Tja, auf meinem neuen System war ich verwundert, dass ich eine Datei /var/mail/nobody habe, also hab ich mir die mal angesehen:
Es sind Mails an
root@server01.local enthalten.
Diese Mails kommen von rkhunter und awstats.
awstats:
Code: Select all
/bin/sh: /usr/share/awstats/tools/awstats_updateall.pl: No such file or directory
hab awstats einfach per apt-get installiert, wieso is da dann nicht alles vorhanden?
Bei rkhunter hab ich meine Mail-Adresse für Warnungen in die Config eingetragen, Warnung habe ich noch keine bekommen, aber wieso steht das alles in /var/mail/nobody???
Re: User nobody - Shellzugriff?
Posted: 2007-04-25 16:12
by aldee
schnere wrote:Folgendes kam bei der Untersuchung der Server-Logs:
cat /var/log/auth.log | grep nobody
Code: Select all
Apr 17 06:25:01 server01 su[27110]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27110]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:01 server01 su[27110]: (pam_unix) session closed for user nobody
Apr 17 06:25:01 server01 su[27113]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27113]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:01 server01 su[27113]: (pam_unix) session closed for user nobody
Apr 17 06:25:01 server01 su[27115]: + ??? root:nobody
Apr 17 06:25:01 server01 su[27115]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:10 server01 su[27115]: (pam_unix) session closed for user nobody
komischerweise ist die Uhrzeit immer die Selbe auch an anderen Tagen...
nobody ist nicht root geworden, sondern andersherum. Das da sieht so aus, als käme es vom updatedb-Cronjob.