我在 /var/log/auth.log 中有以下条目
Jan 24 06:37:54 server1 su[9508]: Successful su for nobody by root
Jan 24 06:37:54 server1 su[9508]: + ??? root:nobody
这是否指向一些我不确定的问题。所以如果这是我需要担心的事情,请告诉我。
答案1
这一定是一个 cron 任务,因为:
- 用户 root 放弃权限并成为“无名小卒”来运行 cronjob。在
crontab -lroot 身份下检查。如果没有 cronjob,您可能需要担心。 - 凌晨 06:25 左右的日志条目(当然,它们可能是伪造的)往往是 cronjobs、updatedb 命令等。