Hey,

Zusätzlich zu allem logge ich meinen SSH Zugang in dem ich sage das ich über jeden Login informiert werden möchte. Heute ist mir das erste mal aufgefallen das jeden Tag um die selbe Uhrzeit ein Login von www-data stattfindet.

Ehe jetzt wieder diese Vernutung von Gehackt kommen … unmöglich! Unmöglich! Mal davon abgesehen hat mir ein Versuch gezeigt das dieser „Bug“ nach jeder neu Installation auch auftaucht.

Es geht nicht darum das diese Meldung kommt .. stört mich nicht .. ich will nur wissen WARUM

Zitat von martin

Was sagen denn die logs dazu?

Lediglich das ein Login von www-data stattgefunden hat. Bin grade unterwegs und kann erst später mal genauer schauen

Huhu ????

Hier mal Logs https://paste.evarioo.de/?8a12f5fd648e5…zdgAGq9LB9EVMbZ

Alles sauber denke ich …

Kann gerne mal auflisten was da alles läuft:

1. KeyHelp
2. Portainer aber nur lokal / ReverseProxy
3. So Sachen wie smtp imap dovecote rspamd ..
4. 
   Wenn ich dich richtig versteh meinst sowas wie ne Art daemon und nem externen Panel zb? KeyHelp hat einen Updateserver und der kommuniziert denke mit meinem Server? Könnte das sowas sein?

Das größte Problem ist vernünftige Logs dazu zu finden. Oben ist das einzige was ich dazu filtern kann. Ein grep nach www-data ergab nichts. Die var ip ist null, das Telegram script funktioniert auch einwandfrei. Kommt nur einmal am Tag und das immer zur selben Uhrzeit, plus minus 1 minute

Zitat von Syntafin

Muss man denn beim Update-Server was hinterlegen?

Nope ???? aber da zb das Panel von keyhelp unter www-data läuft dachte ich das ist naheliegend. Und cronjobs sind da auch ein Riesen Thema. Kein Plan.