Hats jetzt wirklich einer geschafft sich Zugriff zu verschaffen?

THX Quiro, ich denke auch dass es der Cron ist bzw. war. Das ganze hat sich innerhalb einer Sekunde abgespielt erst war ein croneintrag mit opened session for root. dann 3 mal hintereinander der Eintrag den ich gepostet hab und abschliesend hat der cron die "root-session" geschlossen. Und das alles in einer Sekunde...

Edit: Da war sicher ein Cron dafür verantwortlich und zwar der hier: /etc/cron.daily/find

Hi,

Ohne jetzt auf Deine Maschine geschaut zu haben ;-) hast du wahrscheinlich zu 97% recht.
- Wenn es der cron war, dann müsste es sich fast auf die Sekunde genau in bestimmten Zeiten wiederholen bzw. wiederholt haben.
- Wenn es der Cron ist, dann müsste ein - zwei Einträge vor dem verdächtigen Eintrag ein Logeintrag vom Cron sein.
- Und ganz einfach, wenn Du den Cron anhältst, dann dürfen auch keine neuen verdächtigen Einträge mehr auftauchen.

sonnige Grüsse

Und was soll uns das sagen? Ausser dass ich meinen Server damit runter fahre?

Edit: Ich denke das hat sich erledigt. So wie das für mich aussieht war das ein cronjob. vor allem weil das 3 mal hintereinander war in verbindung mit nem cron. berichtigt mich wenn ich da falsch liege...

Hm...die allergleichen log Einträge habe ich auch bei mir gefunden. Hoffe mal, dass sich da niemand Zugriff verschaffen konnte! :/

Tag zusammen,

hatte heute das hier in meinen logs:

su[24839]: Successful su for root:nobody by root
su[24839]: + ??? root:nobody
su[24839]: (pam:unix) session opened for user nobody by (uid=0)
su[24839]: (pam:unix) session closed for user nobody

und das ganze noch drei mal...

hab bei google nur einen Eintrag über das gefunden und da meinte der dass sich jemand in seinen Server gehackt hat...