Hallo
Ich habe auf meinen Suse 9.0 Server syslog drauf.
Wenn ich last eingebe zeigt er mir nur die logs bis zum 29.8 an.
PS: syslog lief immer, also der prozess wurde nicht beendet.
mfg
planetmax
Hallo
Ich habe auf meinen Suse 9.0 Server syslog drauf.
Wenn ich last eingebe zeigt er mir nur die logs bis zum 29.8 an.
PS: syslog lief immer, also der prozess wurde nicht beendet.
mfg
planetmax
Hallo,
man wtmp verrät:
... wtmp is maintained by login(1), init(1), and some versions of getty(1). Neither of these programs creates the file, so if it is removed, record-keeping is turned off.
Syslog ist also unschuldig. Da du was von logins bis zum 29.8. geschrieben hast wird die Datei /var/log/wtmp wohl auch existieren ... vielleicht was mit den Rechten. Was sagt
ls -l /var/log/wtmp
?
Grüße
Untergeher
Hi,Zitat von Der Untergeher
Das gibt er aus:
Code:-rw-rw-r-- 1 root tty 325248 Nov 4 19:53 /var/log/wtmp
Hmm, das sieht eigentlich gut aus ... mach mal auf einer Konsole
tail -f /var/log/wtmp
und melde dich mit einem User an - via ssh oder auf ner tty.
Tut sich dann auf der `tail-Konsole` was?
Sitzt du eigentlich vor dem Rechner oder ist der nur durch ssh erreichbar?
schonmal chkrootkit laufen lassen?
Auch ne Idee. Zumal wtmp wohl heute schon Zugriffe hatte - siehe oben. Das last davon nix merkt ist schon merkwürdig.Zitat von Canahan
Wenn ich chrootkit in der konsole eingebe kommt nur das er den befehl nicht kennt.
Geht die Anzeige vom 29.8 bis jetzt (04.11.) oder meinst Du "Vergangenheit" bis zum 29.8.?Zitat von planetmax
Probiere mal als root.Zitat von planetmax
VergangenheitZitat von iceface
Und mit root hab ich auch schon probiert
chkrootkit ist meines Wissens nach nicht bei suse dabei ... http://www.chkrootkit.org/
Was man mal schnell probieren könnte:
touch dummy_wtmp; last -f dummy_wtmp
wenn da wieder was vom 29.8. steht ...
Das bekomm ich:Zitat von Der Untergeher
dummy_wtmp begins Thu Nov 4 20:44:25 2004
das wäre soweit ok, muß aber nix heißen, probier mal http://www.chkrootkit.org/
ok hab jetzt chkrootkit laufen lassen aber er zeigt noch immer die alten logs an
Geändert von planetmax (04.11.04 um 19:57 Uhr)
Dem entnehme ich mal, dass
make; ./chkrootkit
nix verdächtiges gemeldet hat. Probier mal als root
logrotate /etc/logrotate.conf -f
(speichert die alten logs und legt neue an)
Lesezeichen