こんばんは、かく と申します。 At Sat, 3 Jun 2000 01:26:48 +0900, Tetsuya <hjm89837 _at_ biglobe.ne.jp> wrote: > ログを見たところ、 > > Jun 1 03:55:00 www ftpd[12784]: FTP session closed > Jun 1 04:02:01 www PAM_pwdb[12897]: (su) session opened for user nobody by > (uid=99) > Jun 1 04:02:40 www PAM_pwdb[12897]: (su) session closed for user nobody > Jun 1 04:13:14 www ftpd[12942]: FTP LOGIN FROM zaqd2bf23a0.zaq.ne.jp > [***.***.**.***], education > > のように5月の29日から毎日 午前4時に決まって login ナシで > nobody から su しています。 > > クラックされたのでしょうか? 毎日決まった時間でしたら、cron が何かやっているのではないでしょうか。 私の環境は Debian ですのではっきりとは覚えていませんが、RedHat では、 確か毎日午前4時ごろに /etc/cron.daily 内のスクリプトを走らせる設定に なっていたと思います。 上記のログが、cron 自身が残したものなのか、/etc/cron.daily 内のいづれ かのスクリプトが残したものなのかはちょっと良く分かりません。午前4時ご ろのプロセス状態を監視すれば、プロセスIDから分かるかと思います。もっと 他に良いやり方があるかも。 -- かく てっぺい mailto:teppei _at_ sat.co.jp
References:
- [linux-users:70052] クラックですか?Tetsuya
- Prev by Subject: [linux-users:70053] Re: クラックですか?
- Next by Subject: [linux-users:70055] Re: IBM ThinkPad 600X のPCMCIA (Ether Card)
- Previous by thread: [linux-users:70052] クラックですか?
- Next by thread: [linux-users:70053] Re: クラックですか?
- Indexes:[Main][Thread]