Перетерли все права на сервервере в 777. Что можно сказать по логу auth.log?

0

4

Вот кусок лога auth.log (без дат, ip-адресов и настоящих имен пользователей):

sudo: xxx: TTY=pts/0 ; PWD=/var/www/vhosts/xxxyyy.hp ; USER=root ; COMMAND=/bin/chmod -R 777
sudo: pam_unix(sudo:session): session opened for user root by xxx(uid=0)
sudo: pam_unix(sudo:session): session closed for user root
CRON[4536]: pam_unix(cron:session): session opened for user root by (uid=0)
CRON[4536]: pam_unix(cron:session): session closed for user root
sudo: xxx: TTY=pts/0 ; PWD=/var/www/vhosts/

После этого все права на все каталоги сменились на 777. Вопрос: это сделал пользователь xxx или это было сделано от пользователя xxx кем-то еще. Что можно сказать по этому поводу.

Смущает еще сессия CRON в середине.

Не могу понять, это было сделано злонамерено пользователем либо кто-то сделал это от его учетки.

Ссылка

←	Tomcat8. Как заменить '%23' на '#' в URL

Объедение 3-х сетевых карт

→

Вопрос: это сделал пользователь xxx или это было сделано от пользователя xxx кем-то еще

с точки зрения ОС это одно и тоже

Если sudo открыт во все поля, чему тут удивляться?

futurama ★★★★★
(10.11.16 09:55:37 MSK)

Ссылка

На сервер ходите по ssh? Пользователя лично знаешь?

seregakhv
(10.11.16 11:12:48 MSK)

Ответ на: комментарий от seregakhv 10.11.16 11:12:48 MSK

PWD=/var/www/vhosts/

Зачем ssh если есть webсервер с php? :-)

futurama ★★★★★
(10.11.16 11:19:16 MSK)

Ссылка

Начни с того, что нужно найти IP с которого заходили. Не панацея но хоть что-то.

merlin-shadow ★
(10.11.16 13:51:50 MSK)

Ссылка

ну COMMAND=/bin/chmod -R 777 явно говорит что было сделано ;)
посмотри еще вот эту команду https://www.opennet.ru/cgi-bin/opennet/man.cgi?topic=last&category=1

CHIPOK ★★★
(10.11.16 16:50:28 MSK)