Re: Log Bizard

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: guilde
題目: Re: Log Bizard
    Bonjour,

Remi FERNANDEZ a écrit :
> Bonjour,
>
> En parcourant les logs ce matin j'ai trouvé des lignes que je n'avais
> jamais lues auparavant
>
> dans /var/log/auth.log
>
> Feb 1 06:25:01 deltamsg su[29415]: Successful su for amavis by root
> Feb 1 06:25:01 deltamsg su[29415]: + ??? root:amavis
> Feb 1 06:25:01 deltamsg su[29415]: (pam_unix) session opened for user
> amavis by (uid=0)
> Feb 1 06:25:11 deltamsg su[29415]: (pam_unix) session closed for user
> amavis
> Feb 1 06:25:30 deltamsg su[30085]: Successful su for nobody by root
> Feb 1 06:25:30 deltamsg su[30085]: + ??? root:nobody
> Feb 1 06:25:30 deltamsg su[30085]: (pam_unix) session opened for user
> nobody by (uid=0)
> Feb 1 06:25:30 deltamsg su[30085]: (pam_unix) session closed for user
> nobody
> Feb 1 06:25:30 deltamsg su[30089]: Successful su for nobody by root
> Feb 1 06:25:30 deltamsg su[30089]: + ??? root:nobody
> Feb 1 06:25:30 deltamsg su[30089]: (pam_unix) session opened for user
> nobody by (uid=0)
> Feb 1 06:25:30 deltamsg su[30089]: (pam_unix) session closed for user
> nobody
> Feb 1 06:25:30 deltamsg su[30091]: Successful su for nobody by root
> Feb 1 06:25:30 deltamsg su[30091]: + ??? root:nobody
> Feb 1 06:25:30 deltamsg su[30091]: (pam_unix) session opened for user
> nobody by (uid=0)
> Feb 1 06:25:42 deltamsg su[30091]: (pam_unix) session closed for user
> nobody
>
> Je précise le contexte, il s'agit d'une machine sous Debian etch qui
> héberge un serveur LAMP et Mail...
>
> Est ce que vous voyez là des raisons de s'inquiter?


    Je dirais qu'à priori non. C'est l'utilisateur "root", qui a fait des 
"su" (voir "man su", cela permet au root de changer d'identité), afin de 
devenir "amavis" ou "nobody".


    Cela peut fort bien être le démarrage du démon "amavis". Pour le 
changement de "root" en "nobody", cela peut-être n'importe quel autre 
programme.


    Si ces lignes sont apparus lorsque la machine a démarrée (Feb 1 
06:25:01), tu trouveras l'explication d'un l'un des script de /etc/rc.*
(vraisemblablement /etc/rc5.d/*).


    Cordialement,


                            Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
        /   / \  / \   \   Web:  http://olivieraj.free.fr/
       /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!