Archiv verlassen und diese Seite im Standarddesign anzeigen : syslog zeigt nur lastlogins bis zum 29. august an
Hallo
Ich habe auf meinen Suse 9.0 Server syslog drauf.
Wenn ich last eingebe zeigt er mir nur die logs bis zum 29.8 an.
PS: syslog lief immer, also der prozess wurde nicht beendet.
mfg
planetmax
Der Untergeher
04.11.04, 18:44
Hallo,
man wtmp verrät:
... wtmp is maintained by login(1), init(1), and some versions of getty(1). Neither of these programs creates the file, so if it is removed, record-keeping is turned off.
Syslog ist also unschuldig. Da du was von logins bis zum 29.8. geschrieben hast wird die Datei /var/log/wtmp wohl auch existieren ... vielleicht was mit den Rechten. Was sagt
ls -l /var/log/wtmp
?
Grüße
Untergeher
Was sagt
ls -l /var/log/wtmp
?
Hi,
Das gibt er aus:
-rw-rw-r-- 1 root tty 325248 Nov 4 19:53 /var/log/wtmp
Der Untergeher
04.11.04, 19:08
Hmm, das sieht eigentlich gut aus ... mach mal auf einer Konsole
tail -f /var/log/wtmp
und melde dich mit einem User an - via ssh oder auf ner tty.
Tut sich dann auf der `tail-Konsole` was?
Sitzt du eigentlich vor dem Rechner oder ist der nur durch ssh erreichbar?
schonmal chkrootkit laufen lassen?
Der Untergeher
04.11.04, 19:18
schonmal chkrootkit laufen lassen?
Auch ne Idee. Zumal wtmp wohl heute schon Zugriffe hatte - siehe oben. Das last davon nix merkt ist schon merkwürdig.
Wenn ich chrootkit in der konsole eingebe kommt nur das er den befehl nicht kennt.
Wenn ich last eingebe zeigt er mir nur die logs bis zum 29.8 an.
Geht die Anzeige vom 29.8 bis jetzt (04.11.) oder meinst Du "Vergangenheit" bis zum 29.8.?
Wenn ich chrootkit in der konsole eingebe kommt nur das er den befehl nicht kennt.
Probiere mal als root.
Geht die Anzeige vom 29.8 bis jetzt (04.11.) oder meinst Du "Vergangenheit" bis zum 29.8.?
Vergangenheit
Und mit root hab ich auch schon probiert
Der Untergeher
04.11.04, 19:39
chkrootkit ist meines Wissens nach nicht bei suse dabei ... http://www.chkrootkit.org/
Was man mal schnell probieren könnte:
touch dummy_wtmp; last -f dummy_wtmp
wenn da wieder was vom 29.8. steht ...
Was man mal schnell probieren könnte:
touch dummy_wtmp; last -f dummy_wtmp
wenn da wieder was vom 29.8. steht ...
Das bekomm ich:
dummy_wtmp begins Thu Nov 4 20:44:25 2004
Der Untergeher
04.11.04, 19:48
das wäre soweit ok, muß aber nix heißen, probier mal http://www.chkrootkit.org/
ok hab jetzt chkrootkit laufen lassen aber er zeigt noch immer die alten logs an
Der Untergeher
04.11.04, 19:57
Dem entnehme ich mal, dass
make; ./chkrootkit
nix verdächtiges gemeldet hat. Probier mal als root
logrotate /etc/logrotate.conf -f
(speichert die alten logs und legt neue an)
Der Untergeher
04.11.04, 20:13
Dann hat irgendwer oder irgendwas deine wtmp zerschossen. Ob das `nen Sicherheitsproblem war/ist kann ich leider nicht beurteilen.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.