Regelmäßige su-Aufrufe, unbekannter Herkunft
Posted: 2007-12-19 14:46
Hallo!
Ich beobachte sein längerer Zeit einen sehr regelmäßigen Aufruf von su für den User nobody in meiner /var/log/auth.log. Mir ist jedoch nur ein Prozess bekannt, der als nobody läuft und das ist mein openvpn-Gateway. (Debian 4.0 - unstable)
Wie kann ich rausfinden, von welchem Prozess dieser Aufruf stammt? Ich habe keine mir bekannten Cronjobs unter nobody laufen, außerdem irritiert mich etwas, dass die Aufrufe immer exakt zur gleichen Uhrzeit (6:25 Uhr) jeden Tag stattfinden, was ja eigentlich für einen cronjob sprechen würde. Die PID, die für den su-Aufruf angegeben wird existiert leider dann nicht mehr. Ich kann aber auch nicht die ganze Nacht vor dem Server sitzen und mit in top anschauen, welcher Prozess als User nobody läuft. Woran könnte das liegen?
Wie gesagt, ich habe nur einen Daemon als nobody laufen und das ist openvpn. Sind sonst noch irgend welche Maintainance-Scripte bekannt, die als nobody laufen? Nobody hat bei mir keine login-Shell und auch kein Home-Verzeichnis.
Danke und Grüße
Nico
Ich beobachte sein längerer Zeit einen sehr regelmäßigen Aufruf von su für den User nobody in meiner /var/log/auth.log. Mir ist jedoch nur ein Prozess bekannt, der als nobody läuft und das ist mein openvpn-Gateway. (Debian 4.0 - unstable)
Code: Select all
Dec 19 06:25:02 servername su[1716]: Successful su for nobody by root
Dec 19 06:25:02 servername su[1716]: + ??? root:nobody
Dec 19 06:25:02 servername su[1716]: pam_unix(su:session): session opened for user nobody by (uid=0)
Dec 19 06:25:02 servername su[1716]: pam_unix(su:session): session closed for user nobody
Wie gesagt, ich habe nur einen Daemon als nobody laufen und das ist openvpn. Sind sonst noch irgend welche Maintainance-Scripte bekannt, die als nobody laufen? Nobody hat bei mir keine login-Shell und auch kein Home-Verzeichnis.
Danke und Grüße
Nico