Dziwne logi. Bot ddosnetu?

[blaher]

Kod: Zaznacz cały

Jan 19 18:03:10 host378 sshd[10805]: pam_unix(sshd:session): session closed for user bot
Jan 19 18:03:10 host378 sshd[10815]: pam_unix(sshd:session): session closed for user bot
Jan 19 18:09:01 host378 CRON[11145]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 19 18:09:02 host378 CRON[11150]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 19 18:09:02 host378 CRON[11145]: pam_unix(cron:session): session closed for user root
Jan 19 18:09:02 host378 CRON[11150]: pam_unix(cron:session): session closed for user root
Jan 19 18:17:01 host378 CRON[11309]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 19 18:17:01 host378 CRON[11309]: pam_unix(cron:session): session closed for user root

o czym to swiadczy? jak sprawdzic czy ktos bota ddosnetu mi na serwie nie postawil. prosze o pomoc

[Liseeeek]

Chyba chodzi Ci o bota botnetu :P, ddos to metoda ataku sieci botnet.
Ale odpowiedzi na pytanie nie znam może więcej logów dasz?

[Utumno]

Czy to jest /var/log/auth.log?
Czy to jest CALY /var/log/auth.log?

[blaher]

To jest kawałek auth.log, ten który budzi moje podejrzenia. Może ktoś pomóc?

[Utumno]

Dwie pierwsze linie rzeczywiscie wygladaja bardzo podejrzanie (reszta jest niegrozna).

Wklej tu:

Kod: Zaznacz cały

cat /var/log/auth.log | grep bot

[blaher]

,,bot'' to akurat część od mojego konta. Więc niegroźne to jest? Dlaczego takie logi pojawiają się w nocy? Czy aby na pewno nikt się nie loguje na konto roota?

[lis6502]

Zmień hasło root'a i sprawdź z rana log. Jeśli będizesz miał nieudane próby połączenia, to chyba wiadomo co to znaczy .

[Utumno]

eh, myslalem ze martwisz sie o te SSH uzytkownika 'bot' .

Ostatnie 6 linii to jest CRON. Cos ci tam chodzi w cronie.... Calkowicie normalne.