[debian-users:32763] これはクラック？

["M.Hasegawa" <magma_01@xxxxxxxxx>]

長谷川＠千葉市です。

今朝まで、OpenOfficeの日本語版を落すため
htgetを使っていたのですが、以下のようなログが
残っていました。

May  7 06:25:01 *** PAM_unix[530]: (cron) session opened for user root by (uid=0)
May  7 06:25:01 *** /USR/SBIN/CRON[531]: (root) CMD (test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily)
May  7 06:25:02 *** cracklib: updating dictionary 45392 45392 words.
May  7 06:25:02 *** su[569]: + ??? root-nobody 
May  7 06:25:02 *** PAM_unix[569]: (su) session opened for user nobody by (uid=0)
May  7 06:26:10 *** syslogd 1.4.1#10: restart.
May  7 06:26:11 *** PAM_unix[530]: (cron) session closed for user root
 

craclib をキーワードに検索をかけてみると、パスワードの
強度をチェックするための関数である。ということまではわかったこと。

ログを見る限り、root,nobodyにてセッションが開かれていた
わずか１分ほどの間なのですがこうしたユーザで操作をした覚えもないので
「おかしい...」と思って投稿しました。

/USR/SBIN/CRON[531]: (root) CMD (test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily)

の記述からsuして権限をチェックすると

# ls-l
-rw-r--r--    1 root     root          596 Mar 30  2000 /etc/crontab


また、同ファイルの内容を見てみると

# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file.
# This file also has a username field, that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user  command
25 6    * * *   root    test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily
47 6    * * 7   root    test -e /usr/sbin/anacron || run-parts --report /etc/cron.weekly
52 6    1 * *   root    test -e /usr/sbin/anacron || run-parts --report /etc/cron.monthly

といった設定がなされています。

ここまでは状況チェックできたのですが、root
で入った覚えもないし、どうも怪しいと感じています。

あとは、どの辺りをチェックすればよいか、またアタックがなされている
場合の復旧についてアドバイスいただければ嬉しく思います。

以上、宜しくお願いします。


**********************************************************
Masashi Hasegawa

mail: magma_01@xxxxxxxxx
url : http://homepage2.nifty.com/magma/

★このメールは100%リサイクルされた電子でできています(^^;;★