LINUX.ORG.RU
решено ФорумAdmin

Перетерли все права на сервервере в 777. Что можно сказать по логу auth.log?

 ,


0

4

Вот кусок лога auth.log (без дат, ip-адресов и настоящих имен пользователей):

sudo: xxx: TTY=pts/0 ; PWD=/var/www/vhosts/xxxyyy.hp ; USER=root ; COMMAND=/bin/chmod -R 777
sudo: pam_unix(sudo:session): session opened for user root by xxx(uid=0)
sudo: pam_unix(sudo:session): session closed for user root
CRON[4536]: pam_unix(cron:session): session opened for user root by (uid=0)
CRON[4536]: pam_unix(cron:session): session closed for user root
sudo: xxx: TTY=pts/0 ; PWD=/var/www/vhosts/

После этого все права на все каталоги сменились на 777. Вопрос: это сделал пользователь xxx или это было сделано от пользователя xxx кем-то еще. Что можно сказать по этому поводу.

Смущает еще сессия CRON в середине.

Не могу понять, это было сделано злонамерено пользователем либо кто-то сделал это от его учетки.



Последнее исправление: dopedopedope (всего исправлений: 2)

Вопрос: это сделал пользователь xxx или это было сделано от пользователя xxx кем-то еще

с точки зрения ОС это одно и тоже

Если sudo открыт во все поля, чему тут удивляться?

futurama ★★★★★
()
Ответ на: комментарий от seregakhv

PWD=/var/www/vhosts/

Зачем ssh если есть webсервер с php? :-)

futurama ★★★★★
()

Начни с того, что нужно найти IP с которого заходили. Не панацея но хоть что-то.

merlin-shadow
()
Ответ на: комментарий от CHIPOK

вот так еще глянь что происходило только сервис укажи и дату необходимую.
journalctl -u ssh.service --since=«2016-11-10 10:00:00»

CHIPOK ★★★
()
Последнее исправление: CHIPOK (всего исправлений: 1)
Ответ на: комментарий от CHIPOK

Нелишним будет посмотреть, всё же.

Deleted
()

XXX - это учетка конкретного человека, или какая-то служебная? Меня смущает вот это:

PWD=/var/www/vhosts/xxxyyy.hp

Логи sshd уже попросили.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

а чего смущает ? юзер выполнил команду в том каталоге.

Deleted
()

интересная постановка вопроса. откуда же ось может знать - пользователь сам хакир или другой хакир хакирнул от учетки пользователя.

anonymous
()

Все просто щастливы бы были ! Если бы хакир оставлял паспортные данные .

sova ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.