Hallo!

Ich hab jetzt schon 2x gesehen, wie sich jemand als user nobody auf mein System gemogelt hat und dort ein paar nette Kommandos ausgeführt hat.

nobody wird doch z.B. auch vom apache benutzt, also kann ich den nicht einfach komplett entfernen, oder?
Kann ich bei nobody einfach das passwort ändern,bzw. die Shell auf /dev/null (aktuell ist bash eingestellt) stellen, oder gibts dann Ärger im System?

Ich will diese Sicherheitsücke plätten!

Entweder ändere die shell auf /dev/null oder gib ihm ein "*" als Passwort.
Du kannst auch die /etc/usertty verwenden dass er sich nicht mehr einloggen kann (siehe man-page).

Grüsse, Stefan

Hallo,

der User nobody führt in regelmässigen Intervallen einige Systemkommandos aus.

Das ist ganz normal.

Viele Grüsse

Eicke

also könnte ich einfach das Passwort für nobody ziemlich komplex machen und das Problem ist gelöst?

Hat er sich denn wirklich als nobody eingeloggt?
Das müsste ja in der messages stehen.

Zeig doch mal den Eintrag, du kannst ja dann auch mal selbst versuchen dich als nobody einzuloggen.

Grüsse, Stefan

ich hab nur gemerkt, wie meine Fetsplatte anfing zu rattern, obwohl ich nichts gemacht habe, dann hab ich im Terminal top eingegeben und hab gesehen, wie von nobody der sed gestartet wurde und anschließend das Kommando find (ebenfalls von nobody) ausgeführt worden ist.

Ich hab die Verbindung in Netz getrennt und find gekillt.

In der messages steht nichts mit nobody drin.

Vielleicht bin ich ja paranoid, aber ich deute das mal lieber negativ...

Ich hab schon versucht mich als nobody einzuloggen, aber dazu müsste ich brute-force-mäßig das passwort rausfinden....

Hallo, Seeksthemoon,

so ein Quatsch!! Hast Du nicht gelesen, was ich oben geschrieben habe??

Das ist paranoid.

:confused: :confused:

Nocheinmal langsam für die Landwirtschaft: Das ist ganz normal

Schalte den updatedb-Demon ab, wenn Dir das nicht passt.

Eicke

hoffen wir, dass ich paranoid bin... v.a. weil dieser Daemon bei mir nicht läuft....

Falls sich tatsächlich jemand vom Netz aus als User nobody auf deinem System einloggt (was ich kaum vermute, sicher wird wie netzmeister schon sagte nur eine Routine laufen), dann liegt das ja wohl an deinen mangelnden Sicherheitseinstellungen?!
Was hast du denn für Dienste offen? Telnet? SSH? Wenn ein Remote-Login als user nobody möglich ist, bist du wirklich selbst schuld...!

Ach ja: Wenn du tatsächlich paranoid wärest, dann würdest du wohl kaum Logins von dir unbekannten Hosts zulassen, oder?!?


Kopfschüttelnd, Thomas.

Hallo,

nur ein kleiner Nachtrag.

Die entsprechenden Scripte werden über den cron gestartet.

Deaktivieren geht über das Editieren der rc.config mit anschliessendem Ausführen von SuSEconfig

....