Unregelmäßigkeiten in 10.1 / Bin ich gehackt ?
Hallo Liste, ich habe ein SuSE 10.1 System, das einige Merkwürdigkeiten zeigt. Vielleicht könnt Ihr mir helfen, eventl. bin ich gehackt. 1. Mit netstat -anp habe ich gesehen, daß y2base eine Verbindung zu einem Webserver der Uni Kaiserslautern hatte (hab ich mit whois rausgekriegt). y2base gehört zu yast2-core-2.13.22-3. Kann es sein, daß yast da nur in einem repository rumgeguckt hat ? Wo stehen diese repositoiries in 10.1, kann ich mir die angucken/editieren ? 2. Im log habe ich einige Seltsamkeiten: Feb 13 15:36:39 xxxxxx shadow[11955]: group already exists - group=mysql, by=0 Feb 13 15:36:39 xxxxxx useradd[11956]: account already exists - account=mysql, by=0 Feb 13 15:36:40 xxxxxx shadow[11957]: default group changed - account=mysql, uid=60, gid=104, old gid=104, by=0 Feb 13 15:36:40 xxxxxx shadow[11957]: shell changed - account=mysql, uid=60, shell=/bin/bash, old shell=/bin/bash, by=0 Feb 13 15:37:53 xxxxxx /usr/sbin/cron[12437]: (CRON) STARTUP (V5.0) Feb 13 15:38:36 xxxxxx shadow[12549]: group already exists - group=haldaemon, by=0 Feb 13 15:38:36 xxxxxx useradd[12550]: account already exists - account=haldaemon, by=0 Feb 13 15:48:08 xxxxxx shadow[14956]: group already exists - group=postgres, by=0 Feb 13 15:48:08 xxxxxx useradd[14957]: account already exists - account=postgres, by=0 Feb 13 15:48:20 xxxxxx shadow[14994]: group already exists - group=ntadmin, by=0 Feb 13 15:48:28 xxxxxx shadow[15083]: group is unknown - group=wwwadmin, by=0 Feb 13 15:48:28 xxxxxx shadow[15084]: default group changed - account=wwwrun, uid=30, gid=8, old gid=8, by=0 Feb 13 15:48:28 xxxxxx shadow[15085]: shell changed - account=wwwrun, uid=30, shell=/bin/false, old shell=/bin/false, by=0 Feb 13 15:51:45 xxxxxx shadow[15334]: group already exists - group=ntadmin, by=0 Irgendwie wurden da Änderungen an Useraccounts durchgeführt. Ist das neu in 10.1, oder habe ich ein problem ? Danke schon im Voraus. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Lentes, Bernd schrieb: [...]
Feb 13 15:36:39 xxxxxx shadow[11955]: group already exists - group=mysql, by=0 Feb 13 15:36:39 xxxxxx useradd[11956]: account already exists - account=mysql, by=0 [...] Irgendwie wurden da Änderungen an Useraccounts durchgeführt. Ist das neu in 10.1, oder habe ich ein problem ? Danke schon im Voraus. [...]
Hi, anhand der meldungen würde ich sagen dein System, bzw. einige Pakete wurden upgedatet. Hast du ein online Upadte ausgeführt, bzw. lässt du dein system automatisch updaten? Die ersten beiden Meldungen z.B. besagen nur dass jemand versucht hat einen user/gruppe mysql anzulegen. Das sieht mir sehr nach einer Installation/Update aus. Solche Meldungen hatte ich bei mir in der messages auch nach einem online update. Gruss Lars http://www.edvpool.de http://www.erftpool.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Liste, danke für Eure Antworten. ich sehe jetzt klarer. 1. http://ftp.uni-kl.de/pub/linux/suse/update/10.1 ist als yum-repository eingetragen. Sollte die http-verbindung wohl erklären. 2. Ja, ich habe kurz vor diesen Einträgen ein online-update durchgeführt. Sollte dann wohl auch diese Einträge erklären. Weitere Frage: ich habe "AutoUpdate" konfiguriert, daß sich die Maschinen wöchentlich selbst patchen. Ich habe mich in der SuSE-Mailingsliste iengetragen, und da gibt's ja oft Infos zu Sicherheitslöchern. Wie sind Eure Erfahrungen mit diesem "AutoUpdate" ? Danke für alle Tipps und schönes WE. Bernd -----Original Message----- From: Lentes, Bernd [mailto:bernd.lentes@gsf.de] Sent: Thursday, February 15, 2007 10:19 AM To: opensuse-de@opensuse.org Subject: Unregelmäßigkeiten in 10.1 / Bin ich gehackt ? 1. Mit netstat -anp habe ich gesehen, daß y2base eine Verbindung zu einem Webserver der Uni Kaiserslautern hatte (hab ich mit whois rausgekriegt). y2base gehört zu yast2-core-2.13.22-3. Kann es sein, daß yast da nur in einem repository rumgeguckt hat ? Wo stehen diese repositoiries in 10.1, kann ich mir die angucken/editieren ? 2. Im log habe ich einige Seltsamkeiten: Feb 13 15:36:39 xxxxxx shadow[11955]: group already exists - group=mysql, by=0 Feb 13 15:36:39 xxxxxx useradd[11956]: account already exists - account=mysql, by=0 Feb 13 15:36:40 xxxxxx shadow[11957]: default group changed - account=mysql, uid=60, gid=104, old gid=104, by=0 Feb 13 15:36:40 xxxxxx shadow[11957]: shell changed - account=mysql, uid=60, shell=/bin/bash, old shell=/bin/bash, by=0 Feb 13 15:37:53 xxxxxx /usr/sbin/cron[12437]: (CRON) STARTUP (V5.0) Feb 13 15:38:36 xxxxxx shadow[12549]: group already exists - group=haldaemon, by=0 Feb 13 15:38:36 xxxxxx useradd[12550]: account already exists - account=haldaemon, by=0 Irgendwie wurden da Änderungen an Useraccounts durchgeführt. Ist das neu in 10.1, oder habe ich ein problem ? Danke schon im Voraus. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
LarsH
-
Lentes, Bernd