archivo auth.log - nobody hace su

Bueno, he estado revisando los archivos auth.log de mi máquina con Debian Sarge y he visto que el usuario nobody registra la sigueinte línea:

Oct 10 06:25:02 maquinita su[20206]: + ??? root:nobody
Oct 10 06:25:02 maquinita su[20206]: (pam_unix) sessuib opened for user nobody by (uid=0)

Luego como alos dos minutos muestra:

Oct 10 06:25:02 maquinita su[20206]: (pam_unix) session closed for user root


Mis dudas son si: El usuario Nobody puede hacer "su" en mi máquina?? es esto alguna señal de ejecución de terceras personas en la máquina.., hay algun problema de seguridad referente a esta situación??

de antemano gracias.

Probablemente sea alguna señal ¿tienes algun servidor web corriendo? si es asi es probable que tengas algun agujero de seguridad en tus aplicaciones PHP, concretamente XSS. Podrias revisar eso, tambien podrias revisar los otros logs.

Saludos

Tengo un servidor web corriendo, tambien compartición de archivos a través de SMB para la red Interna. Como digo, todo estos programas únicamente disponibles para la Intranet, nada con acceso hacia afuera (hasta donde creo). tengo un cortafuegos para enrutar y como barrera en la Internet.

Es algo común que nobody haga " su " para convertirse en root?? alguna explicación del porque nobody hace su ??? en que casos es común que nodoby haga algo semejante?? debo tomar alguna otra medida??

gracias.

Cualquier usuario con permisos puede hacer SU, no se si es comun en "nobody" pero a mi entender no lo es, nobody no es nada, salvo..que tengas alguna aplicacion corriendo con el usuario nobody y te haya pedido la pass de root para realizar alguna accion (en algun momento) y la haga.


saludos