WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)
-   -   debian users/uptime (http://www.wcm.at/forum/showthread.php?t=225724)

void 23.12.2007 14:43
debian users/uptime
 
hallo!

habe auf einem server ein ungewöhnliches phänomen festgestellt:
unter "uptime" werden 2 users angegeben, unter "users" aber nur 1 - wo ist der 2. user hin??

"chkrootkit" liefert
Code:
Searching for suspicious files and dirs, it may take a while...
/usr/lib/jvm/.java-1.5.0-sun.jinfo
/usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs
/usr/lib/jvm/.java-gcj.jinfo
/lib/init/rw/.ramfs

Searching for OBSD rk v1... /usr/lib/security
/usr/lib/security/classpath.security
"rkhunter"
Code:
* Filesystem checks
  Checking /dev for suspicious files...                      [ OK ]
  Scanning for hidden files...                              [ Warning! ]
---------------
/etc/.pwd.lock
/etc/.java /dev/.static
/dev/.udev
/dev/.initramfs
/dev/.initramfs-tools
---------------
Please inspect:  /etc/.java (directory)  /dev/.static (directory)  /dev/.udev (directory)  /dev/.initramfs (directory)

* Check: SSH
  Searching for sshd_config...
  Found /etc/ssh/sshd_config
  Checking for allowed root login... Watch out Root login possible. Possible risk!
    info: "PermitRootLogin yes" found in file /etc/ssh/sshd_config
    Hint: See logfile for more information about this issue
  Checking for allowed protocols...                          [ OK (Only SSH2 allowed) ]
muss ich mir sorgen machen??

Sloter 24.12.2007 08:52
Schau mal mit "w" wer online ist.

Sloter

void 24.12.2007 10:25
tja, das ist das problem, laut "w" oder dergleichen nur ich...
d.h.:
Code:
10:23:50 up 61 days, 22:56,  2 users,  load average: 0,02, 0,09, 0,08
USER    TTY      FROM              LOGIN@  IDLE  JCPU  PCPU WHAT
root    pts/0    xx-xxx-xxx-xxx.x 10:23    0.00s  0.02s  0.00s w

ff 25.12.2007 03:37
Und mit "who" bekommst du dann vermutlich:

root pts/0
root pts/1

Das waeren dann die 2 user ...

void 25.12.2007 20:08
nein, ebenfalls nur
Code:
root    pts/0        2007-12-25 20:05 (xx-xxx-xx-xxx.bla.bla.com)
kann man der anzeige "2 user" nicht trauen? weil man ev. nicht ausgeloggt hat?

void 26.12.2007 21:35
hehe, mit dem befehl "finger" habe ich den ghost user gefunden:
Code:
Login    Name      Tty      Idle  Login Time  Office    Office Phone
root      root      *pts/0          Dec 26 21:00 (xx.xxx.xx.xxx)
userxy    userxy    *pts/0          Nov 12 00:23
hat nun jemand eine idee, wie ich diesen killen kann?

ingomar 27.12.2007 07:59
irgendein prozess muss doch mit der userid userxy laufen, oder ?

void 27.12.2007 12:23
ich habe bis jetzt noch keinen gefunden, "ps -A u|grep userxy|grep -v 'grep userxy'" gibt nichts aus. ich vermute, dass irgendein fehler beim loggen passiert ist, und deswegen ein user noch "eingeloggt" ist?!

ingomar 27.12.2007 14:07
dann schau ins proc, was unter dem user noch da ist...

ingomar 27.12.2007 14:40
beide programme schaun übrigens ins proc, das w auch noch ins /var/run/utmp... vielleicht liegt da noch was.

void 27.12.2007 23:03
wahrscheinlich, habe noch das gefunden:
Zitat:
Original von http://www.oreilly.de/german/freeboo...ger/ch084.html
Beachten Sie, daß die Dateien wtmp und utmp auf verschiedenen Systemen unterschiedliche Formate haben können. Manche Programme sind so kompiliert, daß sie das eine Format erwarten, und andere so, daß sie das andere Format erwarten. Deshalb kann es passieren, daß die Befehle, die auf diese Dateien zugreifen, verwirrende oder falsche Informationen ausgeben - dies gilt besonders dann, wenn die Dateien von einem Programm geschrieben werden, das ein falsches Format benutzt.
also werde ich es dabei belassen :D

ingomar 28.12.2007 11:27
hast nicht irgendeinen *"§$%* Prozess im /proc drinnen, der unter dem user läuft ?

lösch mal den Prozessordner - wenn er dich lässt, oder versuch noch mal, die ID zu killen... was passiert dann ?


achja, ich nehme mal nicht an, daß Du w, finger und andere selbst kompiliert hast - die distributionsgelieferten Tools sollten eigentlich schon anzeigen, was Sache ist. Tut ja mein RHEL 5.1 auch nicht anders :confused:

colossus 30.12.2007 10:06
Zitat:
Original geschrieben von ingomar
beide programme schaun übrigens ins proc, das w auch noch ins /var/run/utmp... vielleicht liegt da noch was.
Hast du auch in die Sourcen genau seiner Versionen dieser Programme gesehen? Grade fuer solche Basistools gibt es erstaunlich viele Parallelimplementierungen mit aehnlichem Funktionsumfang, aber ganz anderem Innenleben.

Ich tippe mal drauf, dass irgendein Programm /var/[uw]tmp inkonsistent zurueckgelassen hat, uns das das eine oder andere kleine Tool, das sich auf die nicht notwendigerweise korrekten Infos daraus verlaesst, verwirrt.

Kannst du die Kiste rebooten?

void 30.12.2007 13:25
Zitat:
Original geschrieben von ingomar
hast nicht irgendeinen *"§$%* Prozess im /proc drinnen, der unter dem user läuft ?
hmm, als root habe ich nichts gefunden
Zitat:
Original geschrieben von ingomar
lösch mal den Prozessordner - wenn er dich lässt, oder versuch noch mal, die ID zu killen... was passiert dann ?
welche id denn :confused:
Zitat:
Original geschrieben von ingomar
achja, ich nehme mal nicht an, daß Du w, finger und andere selbst kompiliert hast
nein, habe ich nicht
Zitat:
Original geschrieben von colossus
Ich tippe mal drauf, dass irgendein Programm /var/[uw]tmp inkonsistent zurueckgelassen hat, uns das das eine oder andere kleine Tool, das sich auf die nicht notwendigerweise korrekten Infos daraus verlaesst, verwirrt.
genau das vermute ich auch ;)
Zitat:
Original geschrieben von colossus
Kannst du die Kiste rebooten?
das rebooten werde ich beizeiten durchführen :hammer:

void 25.02.2008 16:23
Zitat:
Original geschrieben von void
das rebooten werde ich beizeiten durchführen :hammer:
es war so weit, und der ghost-user ist wie erwartet verschwunden...


Alle Zeitangaben in WEZ +2. Es ist jetzt 03:56 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag