Interpretanto LogWatch

Imagen de Thrasher

Forums: 

Que tal amigos otra vez aquí para despejar algunas dudas que no he podido conseguir en san google

El problemas es que hace algúnos días revisando el Logwatch me encontré con esto:

--------------------- pam_unix Begin ------------------------

su:
Sessions Opened:
(uid=0) -> root: 2 Time(s)

---------------------- pam_unix End -------------------------

Y desearia saber que es lo que me esta reportando?

El server tiene configura ssh y la cuenta root esta permitida logearse por este medio, pero en los dias que me reporta eso problemas yo no me he conectado.
no entiendo el mensaje porque parece que alguien se conecto e hizo su a una cuenta root
Ademas todas las otras cuentas sbin:nologin osea no puede iniciar sesión excepto mi cuenta y el root
En /etc/passwd la unica cuenta que tien uid 0 gid 0 es el root osea asi root:x:0:0:root:/root:/bin/bash
las demas estan asi daemon:x:2:2:daemon:/sbin:/sbin:nologin

Baje el servicio sshd por uno días y ya no me da ningun mensaje con pam_unix

alguna idea de por donde estará el problema

Gracias por responder

Imagen de Thrasher

Gracias por responder Juan

Al ejecutar el comando Lastlog dio este resultado

Username Port From Latest
root pts/0 mipc.midominio jue ene 10 09:14:19 -0500 2008
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
news **Never logged in**
webalizer **Never logged in**
squid **Never logged in**
postfix **Never logged in**
named **Never logged in**
netdump **Never logged in**

El reporte igual es como que si solo yo me he conectado? alguien sabe que es eso
ya he revisado pero parece que nadie a estado en mi equipo. sera necesario escanear para buscar un rootkit o el reporte de logwacht esta indicado otra cosa

Mucho agradecere si alguien me da una pista de lo que indica logwacht con: (uid=0) -> root: 2 Time(s)
porque cuando yo hago SU también queda registrado pero es diferente el reporte

Por la ayuda gracias