|
|
|
|
|
|
|||||||
| Linux, UNIX, Open Source Rat & Tat bei Problemen und Fragen rund um GNU/Linux, BSD und sonstige UNIXe |
 |
|
|
Themen-Optionen | Ansicht |
23.12.2007, 14:43
|
#1 |
|
Hero
 
Registriert seit: 26.07.2001
Ort: Wien
Beiträge: 811
|
debian users/uptime
hallo!
habe auf einem server ein ungewöhnliches phänomen festgestellt: unter "uptime" werden 2 users angegeben, unter "users" aber nur 1 - wo ist der 2. user hin?? "chkrootkit" liefert Code:
Searching for suspicious files and dirs, it may take a while... /usr/lib/jvm/.java-1.5.0-sun.jinfo /usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs /usr/lib/jvm/.java-gcj.jinfo /lib/init/rw/.ramfs Searching for OBSD rk v1... /usr/lib/security /usr/lib/security/classpath.security Code:
* Filesystem checks
Checking /dev for suspicious files... [ OK ]
Scanning for hidden files... [ Warning! ]
---------------
/etc/.pwd.lock
/etc/.java /dev/.static
/dev/.udev
/dev/.initramfs
/dev/.initramfs-tools
---------------
Please inspect: /etc/.java (directory) /dev/.static (directory) /dev/.udev (directory) /dev/.initramfs (directory)
* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible risk!
info: "PermitRootLogin yes" found in file /etc/ssh/sshd_config
Hint: See logfile for more information about this issue
Checking for allowed protocols... [ OK (Only SSH2 allowed) ]
____________________________________
nobody is perfect |
|
|
|
24.12.2007, 08:52
|
#2 |
|
Inventar
 Registriert seit: 05.01.2000
Beiträge: 3.812
|
Schau mal mit "w" wer online ist.
Sloter |
|
|
|
|
24.12.2007, 10:25
|
#3 |
|
Hero
Registriert seit: 26.07.2001
Ort: Wien
Beiträge: 811
|
tja, das ist das problem, laut "w" oder dergleichen nur ich...
d.h.: Code:
10:23:50 up 61 days, 22:56, 2 users, load average: 0,02, 0,09, 0,08 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 xx-xxx-xxx-xxx.x 10:23 0.00s 0.02s 0.00s w
____________________________________
nobody is perfect |
|
|
|
|
25.12.2007, 03:37
|
#4 |
|
Veteran
 Registriert seit: 13.11.1999
Beiträge: 466
|
Und mit "who" bekommst du dann vermutlich:
root pts/0 root pts/1 Das waeren dann die 2 user ... |
|
|
|
|
25.12.2007, 20:08
|
#5 |
|
Hero
Registriert seit: 26.07.2001
Ort: Wien
Beiträge: 811
|
nein, ebenfalls nur
Code:
root pts/0 2007-12-25 20:05 (xx-xxx-xx-xxx.bla.bla.com)
____________________________________
nobody is perfect |
|
|
|
|
26.12.2007, 21:35
|
#6 |
|
Hero
Registriert seit: 26.07.2001
Ort: Wien
Beiträge: 811
|
hehe, mit dem befehl "finger" habe ich den ghost user gefunden:
Code:
Login Name Tty Idle Login Time Office Office Phone root root *pts/0 Dec 26 21:00 (xx.xxx.xx.xxx) userxy userxy *pts/0 Nov 12 00:23
____________________________________
nobody is perfect |
|
|
|
|
27.12.2007, 07:59
|
#7 |
|
rh 805007434729099
 
Registriert seit: 03.09.2003
Ort: wien
Alter: 55
Beiträge: 710
|
irgendein prozess muss doch mit der userid userxy laufen, oder ?
|
|
|
|
|
27.12.2007, 12:23
|
#8 |
|
Hero
Registriert seit: 26.07.2001
Ort: Wien
Beiträge: 811
|
ich habe bis jetzt noch keinen gefunden, "ps -A u|grep userxy|grep -v 'grep userxy'" gibt nichts aus. ich vermute, dass irgendein fehler beim loggen passiert ist, und deswegen ein user noch "eingeloggt" ist?!
____________________________________
nobody is perfect |
|
|
|
|
27.12.2007, 14:07
|
#9 |
|
rh 805007434729099
Registriert seit: 03.09.2003
Ort: wien
Alter: 55
Beiträge: 710
|
dann schau ins proc, was unter dem user noch da ist...
|
|
|
|
|
27.12.2007, 14:40
|
#10 |
|
rh 805007434729099
Registriert seit: 03.09.2003
Ort: wien
Alter: 55
Beiträge: 710
|
beide programme schaun übrigens ins proc, das w auch noch ins /var/run/utmp... vielleicht liegt da noch was.
|
|
|
|
|
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
|
|
Linear-Darstellung
