proftpd user mysql: login successfull

[tom81]

Hallo zusammen,

mir ist da heute was in meinem auth.log aufgefallen und ich konnte nicht wirklich brauchbare Informationen dazu finden.
Nun hoffe ich, dass hier jemand ist, der mir etwas dazu sagen kann...

Folgender Eintrag befand sich in der auth.log:

Mar 16 05:41:41 shadow proftpd[42000]: localhost (xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx]) - USER mysql (Login failed): Incorrect password.
Mar 16 05:41:41 shadow proftpd[42000]: localhost (xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx]) - USER mysql (Login failed): Incorrect password.
Mar 16 05:41:41 shadow proftpd[42000]: localhost (xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx]) - USER mysql: Login successful.

Der user mysql hat die shell /bin/nologin und hat auch sonst keine Berechtigung sich per ftp einzuloggen...
Wie ist es also moglich, dass sich da jemand eingeloggt hat?

Gruß
Tom

 

[Yamagi]

Nologin verhindert nicht, dass sich jemand einloggt. Der Login läuft aus Sicht von PAM ganz normal ab, der Unterschied zur normalen Shell ist nur, dass nologin sofort einen Logout durchführt.

 

[tom81]

das weiss ich aber user mit nologin können schonmal kein ftp-login machen, ausser sie sind in der mysql tabelle des proftpd aufgeführt... Das ist ja nicht das Problem.

Das Problem ist, dass sich trotzdem jemand eingeloggt hat und das erfolgreich.
Ich will jetzt wissen, wie das möglich war. Schließlich werden meine Loginversuche mit dem User mysql unterbunden.


Gruß
Tom

 

[Yamagi]

Ach so, dann habe ich das falsch verstanden. Sorry.