IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

authentification root automatique


Sujet :

Sécurité

  1. 29/06/2012, 09h03 #1
    earendil
    earendil est déconnecté
    Nouveau Candidat au Club
    Homme Profil pro
    systèmes d'information en santé
    Inscrit en
    Juin 2012
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : systèmes d'information en santé
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2012
    Messages : 3
    Points : 1
    Points
    1
    Par défaut authentification root automatique
    Bonjour,

    Je suis nouveau sur ce forum. Médecin, je me suis spécialisé dans les systèmes d'informations.

    J'ai un serveur personnel sous Debian squeeze Kernel 3.2.0. Depuis 3-4 jours, je reçois quotidiennement une alerte du système OSSEC (version 2.6). Tous les matin, une authentification root est réalisée automatiquement. J'ai regardé dans ma table cron, mais rien n'y est programmé.

    voici l'extrait du auth.log
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    Jun 25 06:25:01 supertux su[4173]: Successful su for nobody by root
Jun 25 06:25:01 supertux su[4173]: + ??? root:nobody
Jun 25 06:25:01 supertux su[4173]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jun 25 06:25:01 supertux su[4173]: pam_unix(su:session): session closed for user nobody
Jun 25 06:25:01 supertux su[4175]: Successful su for nobody by root
Jun 25 06:25:01 supertux su[4175]: + ??? root:nobody
Jun 25 06:25:01 supertux su[4175]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jun 25 06:25:01 supertux su[4175]: pam_unix(su:session): session closed for user nobody
Jun 25 06:25:01 supertux su[4177]: Successful su for nobody by root
Jun 25 06:25:01 supertux su[4177]: + ??? root:nobody
    Si quelqu'un sait d'où cela pouvait venir et comment corriger le problème. Merci beaucoup et bonne journée.
    Répondre avec citation Répondre avec citation   0  0
  2. 29/06/2012, 11h01 #2
    paissad
    paissad est déconnecté
    Modérateur
    Avatar de paissad
    Homme Profil pro
    Ingénieur de développement (Java/JEE/Eclipse RCP,EMF & webMethods)
    Inscrit en
    Avril 2006
    Messages
    1 043
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur de développement (Java/JEE/Eclipse RCP,EMF & webMethods)
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2006
    Messages : 1 043
    Points : 2 560
    Points
    2 560
    Par défaut
    Bonjour,
    Successful su for nobody by root j'aurais plutôt tendance à dire que c'est l'utilisateur 'root' qui s'est authentifié en user 'nobody' pour peut être lancer une commande avec les droits de 'nobody', un truc dans le genre su nobody -c "echo blabla". Ceci étant dit, si tu as des doutes sur le compte, il est toujours bien de changer le mot de passe de root (man passwd), bloquer les accès entrants et sortants (temporairement) etc etc ... des choses basiques mais qui ont de grandes utilités.
    Cordialement,
    Nous n'héritons pas de la terre de nos parents, nous l'empruntons à nos enfants.
    Le chat du site est aussi ici pour aider. Ne pas hésiter à visiter !
    Répondre avec citation Répondre avec citation   0  0
  3. 29/06/2012, 11h07 #3
    Invité
    Invité(e)
    Par défaut
    Salut,

    Ce message indique qu'un switch vers le user nobody a été effectué en étant root et que ce switch a réussi.

    Tu as ce genre de message quand tu tapes généralement ce genre de commande
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
# su nobody
    Est-ce que quelqu'un d'autre utilise ton serveur?

    Peux-tu fournir l'ensemble des process qui tourne sur ton système?

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
# ps -AlfH
    Tu peux également vérifier les derniers accès avec la commande suivante

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
# last
    Répondre avec citation Répondre avec citation   2  0
  4. 29/06/2012, 12h23 #4
    earendil
    earendil est déconnecté
    Nouveau Candidat au Club
    Homme Profil pro
    systèmes d'information en santé
    Inscrit en
    Juin 2012
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : systèmes d'information en santé
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2012
    Messages : 3
    Points : 1
    Points
    1
    Par défaut
    Bonjour,

    Merci de vos réponses. Je suis le seul à accéder en SSH au serveur. Etant à l'étranger actuellement, je ne peux d'ailleurs pas couper les accès extérieurs au serveur.
    La commande last ne montre pas de connexion autre que les miennes. Les commandes last et ps renvoient ceci :

    root@supertux:/home/francois# last
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    francois pts/0        78.X.X.X     Fri Jun 29 13:20   still logged in
francois pts/0        78.X.X.X     Fri Jun 29 10:03 - 10:10  (00:07)
francois pts/0        78.X.X.X     Fri Jun 29 09:45 - 09:52  (00:06)
francois pts/0        78.X.X.X     Sat Jun 23 18:54 - 18:56  (00:01)
francois pts/0        78.X.X.X     Fri Jun 22 16:30 - 17:15  (00:45)
francois pts/0        78.X.X.X     Tue Jun 19 12:58 - 13:06  (00:08)
francois pts/0        78.X.X.X     Sun Jun 17 23:21 - 23:38  (00:16)
francois pts/0        78.X.X.X     Sun Jun 17 19:18 - 19:44  (00:26)
francois pts/0        78.X.X.X     Sun Jun 17 13:23 - 13:36  (00:13)
    root@supertux:/home/francois# ps -AlfH
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    F S UID        PID  PPID  C PRI  NI ADDR SZ WCHAN  STIME TTY          TIME CMD
1 S root         2     0  0  80   0 -     0 -      Mar04 ?        00:00:00 [kthreadd]
1 S root         3     2  0  80   0 -     0 -      Mar04 ?        00:00:24   [ksoftirqd/0]
1 S root         6     2  0 -40   - -     0 -      Mar04 ?        00:00:00   [migration/0]
5 S root         7     2  0 -40   - -     0 -      Mar04 ?        00:00:33   [watchdog/0]
1 S root         8     2  0 -40   - -     0 -      Mar04 ?        00:00:00   [migration/1]
1 S root        10     2  0  80   0 -     0 -      Mar04 ?        00:00:24   [ksoftirqd/1]
5 S root        12     2  0 -40   - -     0 -      Mar04 ?        00:00:29   [watchdog/1]
1 S root        13     2  0 -40   - -     0 -      Mar04 ?        00:00:00   [migration/2]
1 S root        15     2  0  80   0 -     0 -      Mar04 ?        00:00:20   [ksoftirqd/2]
5 S root        16     2  0 -40   - -     0 -      Mar04 ?        00:00:26   [watchdog/2]
1 S root        17     2  0 -40   - -     0 -      Mar04 ?        00:00:00   [migration/3]
1 S root        19     2  0  80   0 -     0 -      Mar04 ?        00:00:21   [ksoftirqd/3]
5 S root        20     2  0 -40   - -     0 -      Mar04 ?        00:00:26   [watchdog/3]
1 S root        21     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [cpuset]
1 S root        22     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [khelper]
5 S root        23     2  0  80   0 -     0 -      Mar04 ?        00:00:00   [kdevtmpfs]
1 S root        24     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [netns]
1 S root        25     2  0  80   0 -     0 -      Mar04 ?        00:00:38   [sync_supers]
1 S root        26     2  0  80   0 -     0 -      Mar04 ?        00:00:00   [bdi-default]
1 S root        27     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [kintegrityd]
1 S root        28     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [kblockd]
1 S root        32     2  0  80   0 -     0 -      Mar04 ?        00:00:05   [khungtaskd]
1 S root        33     2  0  80   0 -     0 -      Mar04 ?        00:00:06   [kswapd0]
1 S root        34     2  0  85   5 -     0 -      Mar04 ?        00:00:00   [ksmd]
1 S root        35     2  0  99  19 -     0 -      Mar04 ?        00:00:00   [khugepaged]
1 S root        36     2  0  80   0 -     0 -      Mar04 ?        00:00:00   [fsnotify_mark]
1 S root        37     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [crypto]
1 S root       158     2  0  80   0 -     0 -      Mar04 ?        00:00:00   [khubd]
1 S root       163     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [ata_sff]
1 S root       170     2  0  80   0 -     0 -      Mar04 ?        00:00:00   [scsi_eh_0]
1 S root       171     2  0  80   0 -     0 -      Mar04 ?        00:00:00   [scsi_eh_1]
1 S root       172     2  0  80   0 -     0 -      Mar04 ?        00:00:00   [scsi_eh_2]
1 S root       173     2  0  80   0 -     0 -      Mar04 ?        00:00:00   [scsi_eh_3]
1 S root       175     2  0  80   0 -     0 -      Mar04 ?        00:00:00   [kworker/u:3]
1 S root       176     2  0  80   0 -     0 -      Mar04 ?        00:00:39   [kworker/u:4]
1 S root       226     2  0  80   0 -     0 -      Mar04 ?        00:02:33   [kjournald]
1 S root       430     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [cfg80211]
1 S root       437     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [kpsmoused]
1 S root       447     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [hd-audio0]
1 S root       450     2  0  60 -20 -     0 -      Mar04 ?        00:00:00   [kmemstick]
1 S root       669     2  0  80   0 -     0 -      Mar04 ?        00:00:09   [kjournald]
1 S root     18098     2  0  80   0 -     0 -      Apr03 ?        00:01:02   [flush-8:0]
1 S root      7602     2  0  80   0 -     0 -      Apr29 ?        00:01:06   [kworker/2:0]
1 S root     19064     2  0  80   0 -     0 -      Jun21 ?        00:00:11   [kworker/2:2]
1 S root      3075     2  0  80   0 -     0 -      Jun25 ?        00:00:07   [kworker/3:1]
1 S root     18248     2  0  80   0 -     0 -      Jun25 ?        00:00:20   [kworker/0:2]
1 S root     21510     2  0  80   0 -     0 -      Jun27 ?        00:00:04   [kworker/3:2]
1 S root     23281     2  0  80   0 -     0 -      Jun27 ?        00:00:00   [kworker/1:2]
1 S root     23462     2  0  80   0 -     0 -      Jun27 ?        00:00:02   [kworker/1:1]
1 S root     23765     2  0  80   0 -     0 -      Jun28 ?        00:00:11   [kworker/0:0]
4 S root         1     0  0  80   0 -  2101 -      Mar04 ?        00:01:38 init [2]
5 S root       278     1  0  76  -4 -  4231 -      Mar04 ?        00:00:03   udevd --daemon
5 S root     27055   278  0  78  -2 -  4230 -      Apr30 ?        00:00:00     udevd --daemon
5 S root     27056   278  0  78  -2 -  4230 -      Apr30 ?        00:00:00     udevd --daemon
5 S root       909     1  0  80   0 - 30036 -      Mar04 ?        00:00:39   /usr/sbin/rsyslogd -c4
4 S root       996     1  0  80   0 -  6767 -      Mar04 ?        00:00:01   /usr/sbin/vsftpd
5 S 102       1265     1  0  80   0 -  5829 -      Mar04 ?        00:00:00   /usr/bin/dbus-daemon --system
1 S root      1447     1  0  80   0 -  1701 -      Mar04 ?        00:00:01   dhclient eth0
1 S root      1657     1  0  80   0 -  1701 -      Mar04 ?        00:00:00   dhclient -v -pf /var/run/dhclient.eth0.pid -lf /var/lib/dhcp/dhclient.eth0.leases eth0
1 S clamav    1697     1  0  80   0 - 108252 -     Mar04 ?        03:27:54   /usr/sbin/clamd
1 S clamav    1816     1  0  80   0 - 10691 -      Mar04 ?        01:27:15   /usr/bin/freshclam -d --quiet
1 S root      1842     1  0  80   0 -  5619 -      Mar04 ?        00:00:20   /usr/sbin/cron
5 S 108       2102     1  0  80   0 - 11038 -      Mar04 ?        00:00:02   /usr/sbin/exim4 -bd -q30m
1 S root      2113     1  0  80   0 -  2470 -      Mar04 ?        00:00:13   /usr/sbin/dhcpd -q
1 S root      2125     1  0  80   0 -  5470 -      Mar04 ?        00:00:00   /usr/sbin/squid -D -YC
4 S proxy     2128  2125  0  80   0 - 10656 -      Mar04 ?        01:29:55     (squid) -D -YC
4 S proxy     2133  2128  0  80   0 -   942 -      Mar04 ?        00:00:57       (unlinkd)
0 S root      2151     1  0  80   0 -  1495 -      Mar04 tty1     00:00:00   /sbin/getty 38400 tty1
0 S root      2152     1  0  80   0 -  1495 -      Mar04 tty2     00:00:00   /sbin/getty 38400 tty2
0 S root      2153     1  0  80   0 -  1495 -      Mar04 tty3     00:00:00   /sbin/getty 38400 tty3
0 S root      2154     1  0  80   0 -  1495 -      Mar04 tty4     00:00:00   /sbin/getty 38400 tty4
0 S root      2155     1  0  80   0 -  1495 -      Mar04 tty5     00:00:00   /sbin/getty 38400 tty5
0 S root      2156     1  0  80   0 -  1495 -      Mar04 tty6     00:00:00   /sbin/getty 38400 tty6
1 S root     20844     1  0  80   0 -  1701 -      Apr05 ?        00:00:00   dhclient eth0
1 S root     20890     1  0  80   0 -  1701 -      Apr05 ?        00:00:00   dhclient eth0
1 S root     20930     1  0  80   0 -  1701 -      Apr05 ?        00:00:00   dhclient eth0
1 S root     20971     1  0  80   0 -  1701 -      Apr05 ?        00:00:00   dhclient eth0
1 S root     16663     1  0  80   0 -  1701 -      Apr21 ?        00:00:00   dhclient eth0
5 S root     13878     1  0  80   0 - 57541 -      Jun17 ?        00:00:36   /usr/sbin/apache2 -k start
5 S www-data 14481 13878  0  80   0 - 59555 -      Jun24 ?        00:00:01     /usr/sbin/apache2 -k start
5 S www-data 14483 13878  0  80   0 - 57758 -      Jun24 ?        00:00:00     /usr/sbin/apache2 -k start
5 S www-data 14484 13878  0  80   0 - 57751 -      Jun24 ?        00:00:00     /usr/sbin/apache2 -k start
5 S www-data 14485 13878  0  80   0 - 57790 -      Jun24 ?        00:00:00     /usr/sbin/apache2 -k start
5 S www-data 32090 13878  0  80   0 - 58666 -      Jun24 ?        00:00:00     /usr/sbin/apache2 -k start
5 S www-data 32091 13878  0  80   0 - 58531 -      Jun24 ?        00:00:01     /usr/sbin/apache2 -k start
5 S www-data   529 13878  0  80   0 - 58764 -      Jun24 ?        00:00:01     /usr/sbin/apache2 -k start
5 S www-data  2148 13878  0  80   0 - 57690 -      Jun24 ?        00:00:00     /usr/sbin/apache2 -k start
5 S www-data 18352 13878  0  80   0 - 60068 -      Jun25 ?        00:00:00     /usr/sbin/apache2 -k start
5 S www-data 23141 13878  0  80   0 - 61195 -      Jun27 ?        00:00:01     /usr/sbin/apache2 -k start
4 S root     15086     1  0  80   0 -  1001 -      Jun22 ?        00:00:00   /bin/sh /usr/bin/mysqld_safe
4 S mysql    15197 15086  0  80   0 - 42769 -      Jun22 ?        00:03:55     /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run
0 S root     15198 15086  0  80   0 -  1349 -      Jun22 ?        00:00:00     logger -t mysqld -p daemon.error
5 S bind     15474     1  0  80   0 - 57131 -      Jun22 ?        00:01:07   /usr/sbin/named -u bind
5 S root     15575     1  0  80   0 - 12306 -      Jun22 ?        00:00:00   /usr/sbin/sshd
4 S root     25177 15575  0  80   0 - 17636 -      13:20 ?        00:00:00     sshd: francois [priv]
5 S francois 25179 25177  0  80   0 - 17636 -      13:20 ?        00:00:00       sshd: francois@pts/0
0 S francois 25181 25179  0  80   0 -  6133 -      13:20 pts/0    00:00:00         -bash
4 S root     25210 25181  0  80   0 -  9243 -      13:20 pts/0    00:00:00           su
0 S root     25211 25210  0  80   0 -  4847 -      13:20 pts/0    00:00:00             bash
4 R root     25219 25211  0  80   0 -  4125 -      13:23 pts/0    00:00:00               ps -AlfH
1 S root     15617     1  0  80   0 -   992 -      Jun22 ?        00:00:00   /usr/sbin/acpid
1 S root     15664     1  0  80   0 - 12606 -      Jun22 ?        00:02:31   /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock
5 S ossecm   20083     1  0  80   0 -  4180 -      Jun22 ?        00:00:03   /var/ossec/bin/ossec-maild
1 S root     20087     1  0  80   0 -  3099 -      Jun22 ?        00:00:00   /var/ossec/bin/ossec-execd
5 S ossec    20091     1  0  80   0 -  3618 -      Jun22 ?        00:00:10   /var/ossec/bin/ossec-analysisd
5 S root     20095     1  0  80   0 -  1033 -      Jun22 ?        00:00:15   /var/ossec/bin/ossec-logcollector
5 S root     20099     1  0  80   - -  1222 -      Jun22 ?        00:04:49   /var/ossec/bin/ossec-syscheckd
5 S ossec    20103     1  0  80   0 -  3163 -      Jun22 ?        00:00:00   /var/ossec/bin/ossec-monitord
1 S clamav   10088     1  0  80   0 - 16285 -      06:25 ?        00:00:00   /usr/sbin/dansguardian
5 S clamav   10089 10088  0  80   0 - 16286 -      06:25 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   10090 10088  0  80   0 - 16530 -      06:25 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   10091 10088  0  80   0 - 16534 -      06:25 ?        00:00:04     /usr/sbin/dansguardian
5 S clamav   10093 10088  0  80   0 - 16797 -      06:25 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   10094 10088  0  80   0 - 16442 -      06:25 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   10095 10088  0  80   0 - 16353 -      06:25 ?        00:00:01     /usr/sbin/dansguardian
5 S clamav   10096 10088  0  80   0 - 16534 -      06:25 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   10097 10088  0  80   0 - 16500 -      06:25 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   10098 10088  0  80   0 - 16371 -      06:25 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   10100 10088  0  80   0 - 16439 -      06:25 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24750 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24751 10088  0  80   0 - 16490 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24752 10088  0  80   0 - 16406 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24753 10088  0  80   0 - 16379 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24754 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24755 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24756 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24757 10088  0  80   0 - 16327 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24758 10088  0  80   0 - 16369 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24759 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24760 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24761 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24762 10088  0  80   0 - 16390 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24763 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24764 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24765 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24766 10088  0  80   0 - 16342 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24767 10088  0  80   0 - 16327 -      11:10 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24770 10088  0  80   0 - 16327 -      11:11 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24771 10088  0  80   0 - 16342 -      11:11 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24772 10088  0  80   0 - 16327 -      11:11 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24773 10088  0  80   0 - 16327 -      11:11 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24774 10088  0  80   0 - 16327 -      11:11 ?        00:00:00     /usr/sbin/dansguardian
5 S clamav   24775 10088  0  80   0 - 16342 -      11:11 ?        00:00:00     /usr/sbin/dansguardian
    Répondre avec citation Répondre avec citation   0  0
  5. 29/06/2012, 15h37 #5
    Invité
    Invité(e)
    Par défaut
    Oki,

    Aucun process suspect ne semble visible.

    Pourrais-tu fournir également le résultat des commandes suivantes pour voir si les jobs dans /etc/cron.daily sont executés à 6:25?

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
cat /etc/crontab
    Si c'est le cas, il faudra voir si l'un de ces jobs ne switch pas vers nobody.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
     
ls -l /etc/cron.daily
grep nobody /etc/cron.daily/*
    Répondre avec citation Répondre avec citation   0  0
  6. 29/06/2012, 15h44 #6
    matafan
    matafan est déconnecté
    Membre émérite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2008
    Messages
    1 515
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Octobre 2008
    Messages : 1 515
    Points : 2 505
    Points
    2 505
    Par défaut
    Regarde aussi la crontab de root (crontab -l en tant que root), c'est différent de /etc/crontab.
    Répondre avec citation Répondre avec citation   0  0
  7. 29/06/2012, 15h50 #7
    lennelei
    lennelei est déconnecté
    Membre chevronné
    Homme Profil pro
    Responsable projets techniques
    Inscrit en
    Février 2003
    Messages
    980
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Responsable projets techniques
    Secteur : Biens de consommation

    Informations forums :
    Inscription : Février 2003
    Messages : 980
    Points : 1 894
    Points
    1 894
    Envoyer un message via ICQ à lennelei
    Par défaut
    hello

    http://www.debian.org/doc/manuals/se...r.html#s11.2.4
    Répondre avec citation Répondre avec citation   0  0
  8. 29/06/2012, 16h05 #8
    earendil
    earendil est déconnecté
    Nouveau Candidat au Club
    Homme Profil pro
    systèmes d'information en santé
    Inscrit en
    Juin 2012
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : systèmes d'information en santé
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2012
    Messages : 3
    Points : 1
    Points
    1
    Par défaut
    Merci. Je ne l'avais pas vue cette faq. Effectivement le problème venait de là. Je ne sais pas pourquoi cela a été signalé par OSSEC à distance de toute mise à jour, mais bon.

    Bonne journée
    Répondre avec citation Répondre avec citation   0  0
ActualitésFAQ LINUXTUTORIELS LINUXOUTILS LINUXLIVRES LINUXLINUX TVUNIXGTK+QtAPACHEOPEN SOURCE
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. authentification automatique dans IIS
    Par skywaukers dans le forum IIS
    Réponses: 1
    Dernier message: 26/07/2007, 22h41
  2. Authentification automatique sur une page web
    Par guiden dans le forum Windows Forms
    Réponses: 4
    Dernier message: 23/05/2007, 16h51
  3. [PHP-JS] Authentification automatique d'un utilisateur
    Par o11ww dans le forum Langage
    Réponses: 3
    Dernier message: 24/01/2007, 09h50
  4. [MySQL] Authentification automatique
    Par Kant2006 dans le forum PHP & Base de données
    Réponses: 7
    Dernier message: 01/03/2006, 14h16
  5. [LDAP] Authentification automatique LDAP
    Par Gogus dans le forum Bibliothèques et frameworks
    Réponses: 4
    Dernier message: 19/12/2005, 14h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo