Я просто просматривал файл auth.log, я обнаружил следующую ошибку. Может ли кто-нибудь сказать, что это взлом или просто журнал Bugzilla, который я установил и исправил ошибку.
Mar 12 06:50:10 bigbugz02 su[13762]: Successful su for www-data by root
Mar 12 06:50:10 bigbugz02 su[13762]: + ??? root:www-data
Mar 12 06:50:10 bigbugz02 su[13762]: pam_unix(su:session): session opened for user www-data by (uid=0)
Mar 12 06:50:12 bigbugz02 su[13762]: pam_unix(su:session): session closed for user www-data
Это часто задаваемый вопрос в Безопасный Debian руководство. Вот еще немного информации по теме:
Обычно это может быть работа cron. Так что - безопасно.
Это вообще безопасная вещь. Когда приложение запускается пользователем root, оно запускается как пользователь www-data.
Это означает, что задание cron выполнено. В зависимости от того, настроили ли вы задания cron, это может означать взлом.
Я обнаружил, что меня взломали:
# crontab -l -u www-data
*/10 * * * * /var/tmp/iFuEAeuC >/dev/null 2>&1
Я загрузил файл в virustotal, и там написано, что это какой-то вирус ...