proftpd

0

0

Беспокоит такая строчка в логах

proftpd: (pam_unix) session opened for user max by (uid=0)

Это нормально? Мне кажется, что нет, proftpd запущен от nobody:nogroup, система Debian Etch, nobody uid=65534

Подскажите, куда копать.

Ссылка

←	Переименование рута

политика безопасности в сети

→

Да, забыл сказать, что у юзера max uid=1000

dronozavr ★
(28.11.07 16:17:24 MSK) автор топика

Ссылка

proftpd -дырявое глючное поделие. Юзай pureftpd

ref ★
(03.12.07 14:20:36 MSK)

Ответ на: комментарий от ref 03.12.07 14:20:36 MSK

>>proftpd -дырявое глючное поделие. Юзай pureftpd

Не могу, у меня много всего на него завязано.

dronozavr ★
(03.12.07 14:33:55 MSK) автор топика

Ответ на: комментарий от dronozavr 03.12.07 14:33:55 MSK

Если он от нободи запущен то он никак не мог "родить" юзера с юидом ноль. Если в логах правда, и юзер макс имеет юид 0 То это либо заранее установленный руткит, либо через профтпд использовали какую-то уязвимость ядра

Либо профтпд не под нободи, может его родительский процесс под рутом, а дети под нободи? Ну как апач. Нет его под рукой чтобы проверить.

Проверься rkhunter'ом )

OxiD ★★★★
(24.12.07 17:19:02 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Переименование рута

Security

политика безопасности в сети

→

Похожие темы