はじめまして。
cronのログについて少しお尋ねします。
先日、logwatchのレポートに
突然、以下のようなものが出てきました。
Commands Run:
User nobody:
personal crontab listed: 4 Time(s)
ログを確認しますと
/var/log/cronの抜粋
/usr/bin/crontab[2200]: (root) LIST (nobody)
とでています。
特に、nobodyでcronの操作などを行ったことはありません。
いろいろ調べてみましたが、これといったものを
見つけることができませんでした。
これは、すでに侵入されてたりすることを意味するものなのでしょうか?
ご教授のほど、よろしくお願いいたします。
> cronのログについて少しお尋ねします。
> 先日、logwatchのレポートに
> 突然、以下のようなものが出てきました。
>
> Commands Run:
> User nobody:
> personal crontab listed: 4 Time(s)
>
> ログを確認しますと
> /var/log/cronの抜粋
> /usr/bin/crontab[2200]: (root) LIST (nobody)
>
> とでています。
>
> 特に、nobodyでcronの操作などを行ったことはありません。
これは、nobodyでcronの操作をしたのではなく、root権限でnobodyユーザのcrontabのlist出力をしたときのログです。
つまり、rootで以下のコマンドを打てば同じログが出ます。何か思い当たりませんか?
# /usr/bin/crontab -u nobody -l
> いろいろ調べてみましたが、これといったものを
> 見つけることができませんでした。
>
> これは、すでに侵入されてたりすることを意味するものなのでしょうか?
root権限でnobodyのcronのリストを見てもあまり意味がないと思うので、自分で何かしたのではないですか?
おやじ様、投稿感謝いたします。ありがとうございます。
> # /usr/bin/crontab -u nobody -l
特に思い当たる節はないのです。
root権限でcrontab -eか-lしかしていないです。
自分でなにかしたとしましたら、簡単なシェルスクリプト3つ4つcronで動かしています。
それでも以前はこのようなログはでなかったのです。
>root権限でnobodyのcronのリストを見てもあまり意味がないと思うので、自分で何かしたのではないですか?
そういわれてみますと、確かに意味ないことですね。
とても不可解ですTT
もうしばらく調査してみることにします。
原因がわかりましたので、報告です。
chkrootkitを実行するとこのログがでます。
理由はわかりませんが、一安心です。
ありがとうございました。
> 原因がわかりましたので、報告です。
> chkrootkitを実行するとこのログがでます。
> 理由はわかりませんが、一安心です。
ご報告ありがとうございます。
こうやって、結末を書いてくださるとこのスレは類似問題を抱える方への有効な情報になりますからね。
チョットみてみたら、現最新版のchkrootkit-0.47からcrontabのチェックをするようになっています。
判定基準は、おやじが前レスで記述した
# /usr/bin/crontab -l -u nobody
を実行して、nobodyユーザのcrontabが登録されているかどうかをチェックしているので、まさにこれが原因ですね。