#1 17.02.2019 20:29:36

J4son
Mitglied

Spam von cron in audit abstellen

Hallo zusammen,

ich benötige ein wenig Hilfe, leider weiß ich gerade nicht mehr weiter. Wie stelle ich dieses gespamme von cron im audit ab?

[12704.376009] audit: type=1006 audit(1550427541.625:501): pid=6586 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=434 res=1
[12764.430146] audit: type=1006 audit(1550427601.682:502): pid=6602 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=435 res=1
[12764.430252] audit: type=1006 audit(1550427601.682:503): pid=6603 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=436 res=1
[12776.138571] audit: type=1006 audit(1550427613.389:504): pid=6619 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=437 res=1
[12824.492187] audit: type=1006 audit(1550427661.742:505): pid=6718 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=438 res=1
[12824.492193] audit: type=1006 audit(1550427661.742:506): pid=6717 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=439 res=1
[12884.547550] audit: type=1006 audit(1550427721.799:507): pid=6743 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=440 res=1
[12884.547557] audit: type=1006 audit(1550427721.799:508): pid=6742 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=441 res=1
[12944.602838] audit: type=1006 audit(1550427781.855:509): pid=6767 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=442 res=1
[12944.602958] audit: type=1006 audit(1550427781.855:510): pid=6766 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=443 res=1
[13004.657800] audit: type=1006 audit(1550427841.909:511): pid=6786 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=445 res=1
[13004.657807] audit: type=1006 audit(1550427841.909:512): pid=6787 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=444 res=1
[13064.716190] audit: type=1006 audit(1550427901.969:514): pid=6804 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=447 res=1
[13064.716196] audit: type=1006 audit(1550427901.969:513): pid=6805 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=446 res=1
[13123.776476] audit: type=1006 audit(1550427961.029:515): pid=6821 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=448 res=1
[13123.776485] audit: type=1006 audit(1550427961.029:516): pid=6822 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=449 res=1
[13170.567341] audit: type=1006 audit(1550428007.819:517): pid=6839 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=450 res=1
[13183.831971] audit: type=1006 audit(1550428021.082:518): pid=6932 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=451 res=1
[13183.832063] audit: type=1006 audit(1550428021.082:519): pid=6933 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=452 res=1

Meine rules für audit sehen folgendermaßen aus:

[root@archlinux ~]# auditctl -l
-a never,user -F subj_type=crond_t
-a never,exit -S all -F subj_type=crond_t
-w /etc/cron.allow -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.d -p wa -k cron
-w /etc/cron.daily -p wa -k cron
-w /etc/cron.hourly -p wa -k cron
-w /etc/cron.monthly -p wa -k cron
-w /etc/cron.weekly -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/crontabs -p rwxa -k cron

Jedoch bringt das leider nichts.

Wo liegt mein Fehler?

Vielen Dank im voraus!

Offline

#2 18.02.2019 11:03:08

agarbathi
Mitglied

Re: Spam von cron in audit abstellen

Hi,

kann es sein letzte Zeile statt:

-w /var/spool/cron/crontabs -p rwxa -k cron

so:

-w /var/spool/cron/crontabs -p wa -k cron

Offline

#3 20.02.2019 10:26:27

J4son
Mitglied

Re: Spam von cron in audit abstellen

Hm, leider hat es nichts gebracht hmm

Aber danke für den Tip

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums