Foros del Web » Administración de Sistemas » Unix / Linux »

archivo auth.log - nobody hace su

Estas en el tema de archivo auth.log - nobody hace su en el foro de Unix / Linux en Foros del Web. Bueno, he estado revisando los archivos auth.log de mi máquina con Debian Sarge y he visto que el usuario nobody registra la sigueinte línea: Oct ...
  #1 (permalink)  
Antiguo 28/10/2005, 13:04
Avatar de ebe
ebe
 
Fecha de Ingreso: marzo-2004
Ubicación: Guatemala
Mensajes: 363
Antigüedad: 20 años, 9 meses
Puntos: 11
archivo auth.log - nobody hace su

Bueno, he estado revisando los archivos auth.log de mi máquina con Debian Sarge y he visto que el usuario nobody registra la sigueinte línea:

Oct 10 06:25:02 maquinita su[20206]: + ??? root:nobody
Oct 10 06:25:02 maquinita su[20206]: (pam_unix) sessuib opened for user nobody by (uid=0)

Luego como alos dos minutos muestra:

Oct 10 06:25:02 maquinita su[20206]: (pam_unix) session closed for user root


Mis dudas son si: El usuario Nobody puede hacer "su" en mi máquina?? es esto alguna señal de ejecución de terceras personas en la máquina.., hay algun problema de seguridad referente a esta situación??

de antemano gracias.
__________________
http://dev.wsnetcorp.com
  #2 (permalink)  
Antiguo 28/10/2005, 16:55
 
Fecha de Ingreso: febrero-2002
Ubicación: Chile
Mensajes: 1.573
Antigüedad: 22 años, 10 meses
Puntos: 2
Probablemente sea alguna señal ¿tienes algun servidor web corriendo? si es asi es probable que tengas algun agujero de seguridad en tus aplicaciones PHP, concretamente XSS. Podrias revisar eso, tambien podrias revisar los otros logs.

Saludos
  #3 (permalink)  
Antiguo 28/10/2005, 17:41
Avatar de ebe
ebe
 
Fecha de Ingreso: marzo-2004
Ubicación: Guatemala
Mensajes: 363
Antigüedad: 20 años, 9 meses
Puntos: 11
si!

Tengo un servidor web corriendo, tambien compartición de archivos a través de SMB para la red Interna. Como digo, todo estos programas únicamente disponibles para la Intranet, nada con acceso hacia afuera (hasta donde creo). tengo un cortafuegos para enrutar y como barrera en la Internet.

Es algo común que nobody haga " su " para convertirse en root?? alguna explicación del porque nobody hace su ??? en que casos es común que nodoby haga algo semejante?? debo tomar alguna otra medida??

gracias.
__________________
http://dev.wsnetcorp.com
  #4 (permalink)  
Antiguo 28/10/2005, 17:44
 
Fecha de Ingreso: febrero-2002
Ubicación: Chile
Mensajes: 1.573
Antigüedad: 22 años, 10 meses
Puntos: 2
Cualquier usuario con permisos puede hacer SU, no se si es comun en "nobody" pero a mi entender no lo es, nobody no es nada, salvo..que tengas alguna aplicacion corriendo con el usuario nobody y te haya pedido la pass de root para realizar alguna accion (en algun momento) y la haga.


saludos
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:32.