Смутил меня факт, что top показывает, что 2 юзера в системе, когда залогинен я один. Смотрю:
#who
root pts/0 Время IP
Вроде нормально.
#who -a
system boot 2008-03-30 11:56
run-level 3 2008-03-30 11:56 last=S
LOGIN tty1 2008-03-30 14:12 8546 id=c1
LOGIN tty2 2008-03-30 11:56 3232 id=c2
LOGIN tty3 2008-03-30 11:56 3233 id=c3
LOGIN tty4 2008-03-30 11:56 3234 id=c4
LOGIN tty5 2008-03-30 11:56 3235 id=c5
LOGIN tty6 2008-03-30 11:56 3236 id=c6
root + pts/0 2008-10-27 13:06 . 10741 (IP)
LOGIN tty1 2008-03-30 12:43 6015 id=1
LOGIN tty1 2008-03-30 14:09 8528 id=1
Умершие процессы не показаны для экономии места. Вот два последних процесса смущают, ps их не видит, top — тоже. Глюк, следствие зависания процесса или реально взлом? rkhunter ничего не находит, ps в первозданном виде. Не понимаю я что-то.
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Глянь pstree, может что проясниться. Можно напрямую глянуть в proc, кто родитель. Если их видит who, то думаю они там есть.
Пробовал, не видит. В /proc тоже нет.
#pstree -acp
init,1
|-acpid,3091
|-agetty,3232 38400 tty2 linux
|-agetty,3233 38400 tty3 linux
|-agetty,3234 38400 tty4 linux
|-agetty,3235 38400 tty5 linux
|-agetty,3236 38400 tty6 linux
|-agetty,8546 38400 tty1 linux
|-artsd,24164 -F 10 -S 4096 -s 60 -m artsmessage -l 3 -f
|-atd,3135 -b 15 -l 1
|-clamav-milter,1878 --external --quiet --dont-scan-on-error --local --max-children=2--pidfile=/var/run/clamav-milter/milter.pid
| `-{clamav-milter},1880
|-clamd,1868
|-crond,3133 -l10
|-dbus-daemon,3099 --system
|-gpm,3223 -m /dev/mouse -t imps2
|-hald,3105 --daemon=yes
| `-hald-runner,3106
| |-hald-addon-acpi,3118
| |-hald-addon-keyb,3113
| |-hald-addon-keyb,3114
| |-hald-addon-keyb,3115
| `-hald-addon-stor,3119
|-httpd,11234 -DSSL
| |-httpd,11235 -DSSL
| |-httpd,11237 -DSSL
| |-httpd,11238 -DSSL
| |-httpd,11239 -DSSL
| |-httpd,11240 -DSSL
| |-httpd,11244 -DSSL
| |-httpd,11255 -DSSL
| |-httpd,11338 -DSSL
| |-httpd,18747 -DSSL
| `-httpd,25217 -DSSL
|-inetd,3075
|-klogd,2477 -c 3 -x
|-mysqld,3199
| |-{mysqld},3203
| |-{mysqld},3204
| |-{mysqld},3205
| |-{mysqld},3206
| |-{mysqld},3208
| |-{mysqld},3209
| |-{mysqld},3210
| |-{mysqld},3211
| |-{mysqld},3217
| |-{mysqld},14215
| |-{mysqld},14216
| |-{mysqld},14217
| |-{mysqld},14218
| |-{mysqld},14219
| `-{mysqld},14221
|-portsentry,2828 -atcp
|-portsentry,2830 -audp
|-sendmail,3158
|-sendmail,3162
|-snort,3216 -c /etc/snort/snort.conf -i eth0 -g snort -D
|-sshd,3083
| |-sshd,10737
| | `-bash,10741
| | `-mc,24994
| | `-bash,24996 -rcfile .bashrc
| | `-pstree,25780 -a -c -p
| |-sshd,13761
| | `-bash,13765 -c echo\040FISH:;\040/bin/sh
| | `-sh,13767
| `-sshd,25132
| `-bash,25136 -c echo\040FISH:;\040/bin/sh
| `-sh,25138
|-syslogd,2473
`-udevd,1190 --daemon
who вроде utmp использует, как насчет по времени в логах посмотреть что происходило? Судя по id на первой консоли явно что-то происходило. Не заню можно ли подцепиться к agetty удаленно в умолчальной настройке. Или есть подозрения, что кто-нибудь локально логинился?
Локально логинился там человек, было дело. Может даже и не с первого раза правильно вошёл. Но значит ли это, что в таком случае будут три логин-процесса для этого терминала, причём все живые, вот что меня смущает. По времени уже не посмотрю, поздно. Может ребутну его завтра и проверю, что будет. Если опять лишние процессы будут торчать, то появятся нехорошие мысли. По идее, если чел не сумел залогиниться, то логин-процесс должен убиваться и respawn снова. А если вошёл и не вышел, то who показывать должна. Но чтобы аж три одновременно на один терминал… Может, конечно, и подвисли они мёртвые в табличке.
Но процессов то нет реально, но остались записи в utmp, вопрос почему. Никаких записей в utmp после неудачных логинов оставаться не должно. Если не сумел залогиниться, то даже и убиваться ничего не должно, тот же процесс остается, а вот если сумел и вышел, то respawn. Советую проверить на идеинтичность сам логин.
Записи остались в utmp и top двух пользователей показывает, недовыход какой-то. Не совсем понял что значит проверить логин на идентичность.
В смысле на подлинность, саму утилиту login.
# last -f /var/run/utmp
root tty1 Sun Mar 30 14:12 gone — no logout
root pts/0 IP Mon Oct 27 19:22 still logged in
reboot system boot Sun Mar 30 11:56 (211+08:42)
То есть чел вошёл по KVM, сделал, что надо и не сказав, logout системе, вышел из KVM и ушёл. Через некоторое время система отрубила его (gone — no logout) и он не залогинен, поэтому юзер не виден в who. А top показывает двух пользователей. Действительно, не вышел и не залогинен, недовыход получается. А login завтра утром проверю. Кажется, похоже на правду.
Утилита login правильная, сверил с дистрибутивом по md5.