Regelmäßige su-Aufrufe, unbekannter Herkunft

Rund um die Sicherheit des Systems und die Applikationen
noiz
Posts: 36
Joined: 2007-06-21 14:58

Regelmäßige su-Aufrufe, unbekannter Herkunft

Post by noiz » 2007-12-19 14:46

Hallo!

Ich beobachte sein längerer Zeit einen sehr regelmäßigen Aufruf von su für den User nobody in meiner /var/log/auth.log. Mir ist jedoch nur ein Prozess bekannt, der als nobody läuft und das ist mein openvpn-Gateway. (Debian 4.0 - unstable)

Code: Select all

Dec 19 06:25:02 servername su[1716]: Successful su for nobody by root
Dec 19 06:25:02 servername su[1716]: + ??? root:nobody
Dec 19 06:25:02 servername su[1716]: pam_unix(su:session): session opened for user nobody by (uid=0)
Dec 19 06:25:02 servername su[1716]: pam_unix(su:session): session closed for user nobody


Wie kann ich rausfinden, von welchem Prozess dieser Aufruf stammt? Ich habe keine mir bekannten Cronjobs unter nobody laufen, außerdem irritiert mich etwas, dass die Aufrufe immer exakt zur gleichen Uhrzeit (6:25 Uhr) jeden Tag stattfinden, was ja eigentlich für einen cronjob sprechen würde. Die PID, die für den su-Aufruf angegeben wird existiert leider dann nicht mehr. Ich kann aber auch nicht die ganze Nacht vor dem Server sitzen und mit in top anschauen, welcher Prozess als User nobody läuft. Woran könnte das liegen?

Wie gesagt, ich habe nur einen Daemon als nobody laufen und das ist openvpn. Sind sonst noch irgend welche Maintainance-Scripte bekannt, die als nobody laufen? Nobody hat bei mir keine login-Shell und auch kein Home-Verzeichnis.

Danke und Grüße

Nico

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Regelmäßige su-Aufrufe, unbekannter Herkunft

Post by Roger Wilco » 2007-12-19 17:12

Hast du auch alle Quellen für Crontabs geprüft; /etc/cron.{daily,weekly,monthly,d}, /etc/crontab usw.?

Der crond läuft normalerweise als Benutzer root (damit er die UID wechseln kann) und gibt die Rechte dann nach Bedarf ab.

Matthias Diehl
Posts: 315
Joined: 2002-09-24 13:26

Re: Regelmäßige su-Aufrufe, unbekannter Herkunft

Post by Matthias Diehl » 2007-12-19 17:18

Da hat sich der User root zum User nobody gemacht, also nix gefährliches. Andersrum wäre es schlimmer :)

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Regelmäßige su-Aufrufe, unbekannter Herkunft

Post by flo » 2007-12-19 17:26

von der Zeit her könnte das logrotate sein, oder?

noiz
Posts: 36
Joined: 2007-06-21 14:58

Re: Regelmäßige su-Aufrufe, unbekannter Herkunft

Post by noiz » 2007-12-19 17:39

flo wrote:von der Zeit her könnte das logrotate sein, oder?


den hatte ich auch schon im verdacht, werde bei gelegenheit noch mal alle /etc/cron.* durchgehen, und dann wollte ich noch mal schauen, wann die rotierten logfiles erstellt werden, müsste ja dann nach deiner theorie um 6:25 sein oder

grüße

nico

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Regelmäßige su-Aufrufe, unbekannter Herkunft

Post by EdRoxter » 2007-12-21 01:09

Yep, standardmäßig wird cron.daily um 6:25 ausgeführt - was sich in der /etc/crontab aber auch gut nachschauen lässt.

Aber logrotate als nobody..?