WCM Forum - debian users/uptime

WCM Forum (http://www.wcm.at/forum/index.php)

- Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)

- - debian users/uptime (http://www.wcm.at/forum/showthread.php?t=225724)

debian users/uptime

hallo!

habe auf einem server ein ungewöhnliches phänomen festgestellt:
unter "uptime" werden 2 users angegeben, unter "users" aber nur 1 - wo ist der 2. user hin??

"chkrootkit" liefert

Code:

Searching for suspicious files and dirs, it may take a while...

/usr/lib/jvm/.java-1.5.0-sun.jinfo

/usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs

/usr/lib/jvm/.java-gcj.jinfo

/lib/init/rw/.ramfs



Searching for OBSD rk v1... /usr/lib/security

/usr/lib/security/classpath.security

"rkhunter"

Code:

* Filesystem checks

   Checking /dev for suspicious files...                      [ OK ]

   Scanning for hidden files...                               [ Warning! ]

---------------

/etc/.pwd.lock

/etc/.java /dev/.static

/dev/.udev

/dev/.initramfs

/dev/.initramfs-tools

---------------

Please inspect:  /etc/.java (directory)  /dev/.static (directory)  /dev/.udev (directory)  /dev/.initramfs (directory)



* Check: SSH

   Searching for sshd_config...

   Found /etc/ssh/sshd_config

   Checking for allowed root login... Watch out Root login possible. Possible risk!

    info: "PermitRootLogin yes" found in file /etc/ssh/sshd_config

    Hint: See logfile for more information about this issue

   Checking for allowed protocols...                          [ OK (Only SSH2 allowed) ]

muss ich mir sorgen machen??

Schau mal mit "w" wer online ist.

Sloter

tja, das ist das problem, laut "w" oder dergleichen nur ich...
d.h.:

Code:

 10:23:50 up 61 days, 22:56,  2 users,  load average: 0,02, 0,09, 0,08

USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT

root     pts/0    xx-xxx-xxx-xxx.x 10:23    0.00s  0.02s  0.00s w

Und mit "who" bekommst du dann vermutlich:

root pts/0
root pts/1

Das waeren dann die 2 user ...

nein, ebenfalls nur

Code:

root pts/0 2007-12-25 20:05 (xx-xxx-xx-xxx.bla.bla.com)

kann man der anzeige "2 user" nicht trauen? weil man ev. nicht ausgeloggt hat?

hehe, mit dem befehl "finger" habe ich den ghost user gefunden:

Code:

Login     Name       Tty      Idle  Login Time   Office     Office Phone

root      root      *pts/0          Dec 26 21:00 (xx.xxx.xx.xxx)

userxy    userxy    *pts/0          Nov 12 00:23

hat nun jemand eine idee, wie ich diesen killen kann?

irgendein prozess muss doch mit der userid userxy laufen, oder ?

ich habe bis jetzt noch keinen gefunden, "ps -A u|grep userxy|grep -v 'grep userxy'" gibt nichts aus. ich vermute, dass irgendein fehler beim loggen passiert ist, und deswegen ein user noch "eingeloggt" ist?!

dann schau ins proc, was unter dem user noch da ist...

beide programme schaun übrigens ins proc, das w auch noch ins /var/run/utmp... vielleicht liegt da noch was.