Лишние процессы LOGIN. Взлом? 0

Глянь pstree, может что проясниться. Можно напрямую глянуть в proc, кто родитель. Если их видит who, то думаю они там есть.

Пробовал, не видит. В /proc тоже нет.

#pstree -acp

init,1

|-acpid,3091

|-agetty,3232 38400 tty2 linux

|-agetty,3233 38400 tty3 linux

|-agetty,3234 38400 tty4 linux

|-agetty,3235 38400 tty5 linux

|-agetty,3236 38400 tty6 linux

|-agetty,8546 38400 tty1 linux

|-artsd,24164 -F 10 -S 4096 -s 60 -m artsmessage -l 3 -f

|-atd,3135 -b 15 -l 1

|-clamav-milter,1878 --external --quiet --dont-scan-on-error --local --max-children=2--pidfile=/var/run/clamav-milter/milter.pid

| `-{clamav-milter},1880

|-clamd,1868

|-crond,3133 -l10

|-dbus-daemon,3099 --system

|-gpm,3223 -m /dev/mouse -t imps2

|-hald,3105 --daemon=yes

| `-hald-runner,3106

| |-hald-addon-acpi,3118

| |-hald-addon-keyb,3113

| |-hald-addon-keyb,3114

| |-hald-addon-keyb,3115

| `-hald-addon-stor,3119

|-httpd,11234 -DSSL

| |-httpd,11235 -DSSL

| |-httpd,11237 -DSSL

| |-httpd,11238 -DSSL

| |-httpd,11239 -DSSL

| |-httpd,11240 -DSSL

| |-httpd,11244 -DSSL

| |-httpd,11255 -DSSL

| |-httpd,11338 -DSSL

| |-httpd,18747 -DSSL

| `-httpd,25217 -DSSL

|-inetd,3075

|-klogd,2477 -c 3 -x

|-mysqld,3199

| |-{mysqld},3203

| |-{mysqld},3204

| |-{mysqld},3205

| |-{mysqld},3206

| |-{mysqld},3208

| |-{mysqld},3209

| |-{mysqld},3210

| |-{mysqld},3211

| |-{mysqld},3217

| |-{mysqld},14215

| |-{mysqld},14216

| |-{mysqld},14217

| |-{mysqld},14218

| |-{mysqld},14219

| `-{mysqld},14221

|-portsentry,2828 -atcp

|-portsentry,2830 -audp

|-sendmail,3158

|-sendmail,3162

|-snort,3216 -c /etc/snort/snort.conf -i eth0 -g snort -D

|-sshd,3083

| |-sshd,10737

| | `-bash,10741

| | `-mc,24994

| | `-bash,24996 -rcfile .bashrc

| | `-pstree,25780 -a -c -p

| |-sshd,13761

| | `-bash,13765 -c echo\040FISH:;\040/bin/sh

| | `-sh,13767

| `-sshd,25132

| `-bash,25136 -c echo\040FISH:;\040/bin/sh

| `-sh,25138

|-syslogd,2473

`-udevd,1190 --daemon

who вроде utmp использует, как насчет по времени в логах посмотреть что происходило? Судя по id на первой консоли явно что-то происходило. Не заню можно ли подцепиться к agetty удаленно в умолчальной настройке. Или есть подозрения, что кто-нибудь локально логинился?

Локально логинился там человек, было дело. Может даже и не с первого раза правильно вошёл. Но значит ли это, что в таком случае будут три логин-процесса для этого терминала, причём все живые, вот что меня смущает. По времени уже не посмотрю, поздно. Может ребутну его завтра и проверю, что будет. Если опять лишние процессы будут торчать, то появятся нехорошие мысли. По идее, если чел не сумел залогиниться, то логин-процесс должен убиваться и respawn снова. А если вошёл и не вышел, то who показывать должна. Но чтобы аж три одновременно на один терминал… Может, конечно, и подвисли они мёртвые в табличке.

Но процессов то нет реально, но остались записи в utmp, вопрос почему. Никаких записей в utmp после неудачных логинов оставаться не должно. Если не сумел залогиниться, то даже и убиваться ничего не должно, тот же процесс остается, а вот если сумел и вышел, то respawn. Советую проверить на идеинтичность сам логин.

Записи остались в utmp и top двух пользователей показывает, недовыход какой-то. Не совсем понял что значит проверить логин на идентичность.

OlegL
Записи остались в utmp и top двух пользователей показывает, недовыход какой-то. Не совсем понял что значит проверить логин на идентичность.

В смысле на подлинность, саму утилиту login.

# last -f /var/run/utmp

root tty1 Sun Mar 30 14:12 gone — no logout

root pts/0 IP Mon Oct 27 19:22 still logged in

reboot system boot Sun Mar 30 11:56 (211+08:42)

То есть чел вошёл по KVM, сделал, что надо и не сказав, logout системе, вышел из KVM и ушёл. Через некоторое время система отрубила его (gone — no logout) и он не залогинен, поэтому юзер не виден в who. А top показывает двух пользователей. Действительно, не вышел и не залогинен, недовыход получается. А login завтра утром проверю. Кажется, похоже на правду.

Утилита login правильная, сверил с дистрибутивом по md5.