先日、1/3 12:16にWEBサーバーにアクセスできなくなり、httpdのプロセスがダウンしていました。 復旧後、原因調査をしてみたら以下のログが見つかりました。 これは内部/外部犯による不正アクセスを疑った方がいいですか? それともよくある事(なにかのバグ)なのでしょうか? OS:CentOS 6.2 WEB:Apache/2.2.3 /var/log/httpd/error_log [Mon Jan 3 12:16:44 2013] [notice] caught SIGTERM, shutting dow /var/log/secure Jan 2 5:13:56 www useradd[31832]: failed adding user `haldaemon', data deleted Jan 2 5:13:56 www useradd[31837]: failed adding user `haldaemon', data deleted Jan 3 12:14:01 www sshd[3780]: Received signal 15; terminating. Jan 3 12:14:04 www sshd[9491]: Server listening on :: port 22. Jan 3 12:14:04 www sshd[9491]: Server listening on 0.0.0.0 port 22. Jan 3 12:14:08 www useradd[9495]: failed adding user `nscd', data deleted Jan 3 12:16:39 www useradd[10505]: failed adding user `apache', data deleted 当該時刻はWEBサーバーでの作業予定はなく、聞き取り調査では、誰もログインしていないとの事でした。 cronには、useraddするようなシェルもなく、思い当たるフシがありません。。 こういうログを見たことがある方いましたら、ご教示ください。
↧