해킹 같습니다.

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

올려주신 로그를 보면, 이 로그를 발생한 데몬부분을 주의해서 보시면 답을 쉽게 알 수 있습니다. 로그를 보시면 이 로그를 생성한 데몬은 crond이며 시각을 보아도 cron에 의해 생성된 로그라는 것을 추측할 수 있습니다.

따라서 이 로그만으로는 해킹이 아니며 정상적인 과정중 하나로 보입니다. 실제 cron에 있는 많은 응용프로그램들이 정기적으로 실행을 하면서 su를 이용하여 user를 substitute 하는 경우가 많이 있습니다.

따라서 일단 관련 로그를 무시하셔도 무방하며 이후 /etc/cron.*/ 디렉토리의 내용을 확인해 보시고 불필요한 부분은 없는지 확인하시어 삭제하시면 이후에 불필요한 작업은 하지 않을 것입니다.

감사합니다.