abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:00 | Zajímavý článek

Společnost Backblaze zveřejnila statistiky spolehlivosti pevných disků používaných ve svých datových centrech za rok 2018. Ke konci roku vlastnila 106 919 pevných disků. Průměrná AFR (Annualized Failure Rate), tj. pravděpodobnost, že disk během roku selže, klesla na 1,25 %. V roce 2017 to bylo 1,77 %. V roce 2016 1,95 %.

Ladislav Hagara | Komentářů: 0
včera 23:00 | Nová verze

Byl vydán Debian 9.7, tj. sedmá opravná verze Debianu 9 s kódovým názvem Stretch. Opravena je bezpečnostní chyba CVE-2019-3462 v APT. Předchozí instalační média Debianu 9 Stretch lze samozřejmě nadále k instalaci používat. Po instalaci stačí APT a následně celý systém aktualizovat.

Ladislav Hagara | Komentářů: 0
včera 22:55 | Pozvánky

V úterý 29. ledna v 19:00 se v Brně koná sedmý přednáškový večer o vývoji v Ruby. Těšit se můžete na témata od vývojářů z Red Hatu a PrimeHammeru. Na místě bude lehké občerstvení; vstup zdarma pro registrované. Více informací na Facebooku nebo se rovnou registrujte na Meetup.

dejvik | Komentářů: 0
včera 22:44 | Pozvánky

Lednový sraz spolku OpenAlt se koná v pátek 25. 1. 2019 v Pivovarském klubu od 18:00. Najdete jej kousek od metra Florenc na adrese Křižíkova 17°, Praha 8. Sejdeme se zase u dobrého piva a popovídáme si o tématech jako umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.

xkucf03 | Komentářů: 0
včera 17:00 | Komunita

Do pátku 25. ledna probíhá na Novém Zélandu konference linux.conf.au 2019 aneb LCA 2019. Na programu je řada zajímavých přednášek. Jejich záznamy a také online přenos na YouTube.

Ladislav Hagara | Komentářů: 0
včera 16:22 | Nová verze

Byl vydán Cool-Retro-Term ve verzi 1.1.1. Jedná se o emulátor terminálu, který napodobuje vzhled a chování starých CRT terminálů. Ukázka vlastností a nastavení předchozí verze na YouTube. Cool-Retro-Term je nově k dispozici také jako balíček ve formátu AppImage. Stačí je stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 0
včera 12:11 | IT novinky

Web gHacks upozorňuje na draft nové specifikace rozhraní pro rozšíření webového prohlížeče Google Chrome. Pozoruhodný je plán odstranit část API webRequest pro blokování – což by omezilo doplňky jako uBlock Origin určený pro blokování obsahu včetně reklam. Nadále by byl použitelný doplněk Adblock Plus, který provozuje whitelist reklam mj. právě Google.

Fluttershy, yay! | Komentářů: 3
včera 00:33 | Zajímavý projekt

Byl spuštěn Humble Caffeine Bundle. V balíčku počítačových her jsou také hry běžící na Linuxu: GoNNER BLüEBERRY EDiTION, This War of Mine, Ken Follett's The Pillars of the Earth, Tyranny a Shadow Tactics: Blades of the Shogun.

Ladislav Hagara | Komentářů: 1
včera 00:11 | Nová verze

Po roce vývoje od vydání verze 3.0 a více než 6 000 změnách byla vydána nová stabilní verze 4.0 softwaru, který vytváří aplikační rozhraní umožňující chod aplikací pro Microsoft Windows také pod GNU/Linuxem, Wine (Wikipedie). Z novinek lze zdůraznit například podporu Vulkanu nebo Direct3D 12. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 8
22.1. 20:44 | Nová verze

Byla vydána verze 11.7 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 5
Používáte USB Type-C?
 (20%)
 (16%)
 (11%)
 (12%)
 (38%)
 (4%)
 (44%)
Celkem 484 hlasů
 Komentářů: 0
Rozcestník

Dotaz: Interpretace logu - new session of user nobody - server hack?

4.8.2018 15:44 petr.nosek | skóre: 2
Interpretace logu - new session of user nobody - server hack?
Přečteno: 249×
Geekové,

prosím o radu v rámci interpretace log souboru. Zaznamenal jsem dnes ráno jsem zaznamenal v auth.log:
Aug  4 03:25:01 zeus CRON[24301]: pam_unix(cron:session): session closed for user root
Aug  4 03:25:02 zeus CRON[24302]: pam_unix(cron:session): session closed for user www-data
Aug  4 03:29:16 zeus su[27091]: Successful su for nobody by root
Aug  4 03:29:16 zeus su[27091]: + ??? root:nobody
Aug  4 03:29:16 zeus su[27091]: pam_unix(su:session): session opened for user nobody by (uid=0)
Aug  4 03:29:16 zeus systemd-logind[347]: New session 34 of user nobody.
Aug  4 03:29:16 zeus systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0)
Aug  4 03:29:16 zeus su[27091]: pam_unix(su:session): session closed for user nobody
Aug  4 03:29:16 zeus systemd-logind[347]: Removed session 34.
Aug  4 03:29:16 zeus systemd: pam_unix(systemd-user:session): session closed for user nobody
Aug  4 03:29:16 zeus su[27096]: Successful su for nobody by root
Aug  4 03:29:16 zeus su[27096]: + ??? root:nobody
Aug  4 03:29:16 zeus su[27096]: pam_unix(su:session): session opened for user nobody by (uid=0)
Aug  4 03:29:16 zeus systemd-logind[347]: New session 34 of user nobody.
Aug  4 03:29:16 zeus systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0)
Aug  4 03:29:16 zeus su[27096]: pam_unix(su:session): session closed for user nobody
Aug  4 03:29:16 zeus systemd-logind[347]: Removed session 34.
Aug  4 03:29:16 zeus su[27111]: Successful su for nobody by root
Aug  4 03:29:16 zeus systemd: pam_unix(systemd-user:session): session closed for user nobody
Aug  4 03:29:16 zeus su[27111]: + ??? root:nobody
Aug  4 03:29:16 zeus su[27111]: pam_unix(su:session): session opened for user nobody by (uid=0)
Aug  4 03:29:16 zeus systemd-logind[347]: New session 34 of user nobody.
Aug  4 03:29:16 zeus systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0)
Aug  4 03:29:39 zeus su[27111]: pam_unix(su:session): session closed for user nobody
Aug  4 03:29:39 zeus systemd-logind[347]: Removed session 34.
Aug  4 03:29:39 zeus systemd: pam_unix(systemd-user:session): session closed for user nobody
Aug  4 03:29:51 zeus sshd[27342]: Connection closed by 127.0.0.1 port 44846 [preauth]
Aug  4 03:30:01 zeus CRON[27349]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Aug  4 03:30:01 zeus CRON[27348]: pam_unix(cron:session): session closed for user root
Aug  4 03:30:02 zeus CRON[27349]: pam_unix(cron:session): session closed for user www-data
Aug  4 03:30:36 zeus CRON[24299]: pam_unix(cron:session): session closed for user root
Aug  4 03:34:51 zeus sshd[27950]: Connection closed by 127.0.0.1 port 44888 [preauth]

Jde o čas 03:29. Nějak se mi nezdá aktivita s uživatelem nobody. Podobné výpisy vidím, když se přihlásím skrze SSH ke svému serveru jako validní uživatel. Tohle mě ale zaskočilo.

Osobně si nemyslím, že došlo k průniku na server, nicméně snažím se pochopit, jak si log interpretovat.

Prosím o názor. Děkuji.


Řešení dotazu:


Odpovědi

4.8.2018 16:30 SpaceExplo | skóre: 15
Rozbalit Rozbalit vše Re: Interpretace logu - new session of user nobody - server hack?
Session pro uzivatele "nobody" byla otevrena rootem.

Mozna neco cronu nebo se muzes inspirovat zde https://www.howtoforge.com/community/threads/user-nobody-in-my-logs.20144/
Řešení 1× (1john2)
6.8.2018 12:45 petr.nosek | skóre: 2
Rozbalit Rozbalit vše Re: Interpretace logu - new session of user nobody - server hack?
díky, šel jsem do
/etc/crontab
a podle času jsem přišel na to, že to odpovídá některému z procesů, které jsou spouštěny v
/etc/cron.daily
postupně jsem si je spouštěl a zjistil jsem, který to dělá. Byl to locate, který jsem nedávno instaloval kvůli jednomu skriptu.

Díky za tip. Všechno je ok :)
6.8.2018 13:10 SpaceExplo | skóre: 15
Rozbalit Rozbalit vše Re: Interpretace logu - new session of user nobody - server hack?
Za malo :-)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.