Seltsame Einträge in Debians auth.log
Nachdem ich mich in letzter Zeit etwas mehr mit der Sicherheit meines Debian Servers beschäftigt habe, sind mir (wie schon etlichen anderen Leuten zuvor) seltsame Einträge in Debians auth.log aufgefallen. Eine offizielle “Anleitung zum Absichern von Debian” bietet hierzu unter Punkt 12.2.6 folgende Erklärung:
Ich habe seltsame Root-Sessions in meinen Logs entdeckt: Wurde ich gehackt?
Sie sehen folgende Art von Einträgen in der Datei /var/log/auth.log
:
May 2 11:55:02 linux PAM_unix<sup id="fnrev19256972414dd03b2927832" class="footnote"><a href="#fn19256972414dd03b2927832">1477</a></sup>: (cron) session closed for user root
May 2 11:55:02 linux PAM_unix<sup id="fnrev13552939854dd03b29287d2" class="footnote"><a href="#fn13552939854dd03b29287d2">1476</a></sup>: (cron) session closed for user root
May 2 12:00:01 linux PAM_unix<sup id="fnrev1548145584dd03b2929772" class="footnote"><a href="#fn1548145584dd03b2929772">1536</a></sup>: (cron) session opened for user root by (UID=0)
May 2 12:00:02 linux PAM_unix<sup class="footnote"><a href="#fn1548145584dd03b2929772">1536</a></sup>: (cron) session closed for user root
Sie kommen von einem ausgeführten Cron-Job (in unserem Beispiel alle fünf Minuten). Um herauszufinden, welches Programm für diese Jobs verantwortlich ist, überprüfen Sie die Einträge in /etc/crontab
, /etc/cron.d
, /etc/crond.daily
und Roots crontab in /var/spool/cron/crontabs
.