syslog zeigt nur lastlogins bis zum 29. august an [Archiv]

Archiv verlassen und diese Seite im Standarddesign anzeigen : syslog zeigt nur lastlogins bis zum 29. august an

planetmax

04.11.04, 14:07

Hallo

Ich habe auf meinen Suse 9.0 Server syslog drauf.
Wenn ich last eingebe zeigt er mir nur die logs bis zum 29.8 an.

PS: syslog lief immer, also der prozess wurde nicht beendet.

mfg
planetmax

Der Untergeher

04.11.04, 18:44

Hallo,

man wtmp verrät:

... wtmp is maintained by login(1), init(1), and some versions of getty(1). Neither of these programs creates the file, so if it is removed, record-keeping is turned off.

Syslog ist also unschuldig. Da du was von logins bis zum 29.8. geschrieben hast wird die Datei /var/log/wtmp wohl auch existieren ... vielleicht was mit den Rechten. Was sagt
ls -l /var/log/wtmp
?

Grüße

Untergeher

planetmax

04.11.04, 18:55

Was sagt
ls -l /var/log/wtmp
?

Hi,

Das gibt er aus:

-rw-rw-r-- 1 root tty 325248 Nov 4 19:53 /var/log/wtmp

Der Untergeher

04.11.04, 19:08

Hmm, das sieht eigentlich gut aus ... mach mal auf einer Konsole

tail -f /var/log/wtmp

und melde dich mit einem User an - via ssh oder auf ner tty.
Tut sich dann auf der `tail-Konsole` was?
Sitzt du eigentlich vor dem Rechner oder ist der nur durch ssh erreichbar?

Canahan

04.11.04, 19:09

schonmal chkrootkit laufen lassen?

Der Untergeher

04.11.04, 19:18

schonmal chkrootkit laufen lassen?

Auch ne Idee. Zumal wtmp wohl heute schon Zugriffe hatte - siehe oben. Das last davon nix merkt ist schon merkwürdig.

planetmax

04.11.04, 19:23

Wenn ich chrootkit in der konsole eingebe kommt nur das er den befehl nicht kennt.

iceface

04.11.04, 19:29

Wenn ich last eingebe zeigt er mir nur die logs bis zum 29.8 an.

Geht die Anzeige vom 29.8 bis jetzt (04.11.) oder meinst Du "Vergangenheit" bis zum 29.8.?

iceface

04.11.04, 19:30

Wenn ich chrootkit in der konsole eingebe kommt nur das er den befehl nicht kennt.
Probiere mal als root.

planetmax

04.11.04, 19:37

Geht die Anzeige vom 29.8 bis jetzt (04.11.) oder meinst Du "Vergangenheit" bis zum 29.8.?
Vergangenheit

Und mit root hab ich auch schon probiert

Der Untergeher

04.11.04, 19:39

chkrootkit ist meines Wissens nach nicht bei suse dabei ... http://www.chkrootkit.org/

Was man mal schnell probieren könnte:

touch dummy_wtmp; last -f dummy_wtmp

wenn da wieder was vom 29.8. steht ...

planetmax

04.11.04, 19:45

Was man mal schnell probieren könnte:

touch dummy_wtmp; last -f dummy_wtmp

wenn da wieder was vom 29.8. steht ...

Das bekomm ich:

dummy_wtmp begins Thu Nov 4 20:44:25 2004

Der Untergeher

04.11.04, 19:48

das wäre soweit ok, muß aber nix heißen, probier mal http://www.chkrootkit.org/

planetmax

04.11.04, 19:53

ok hab jetzt chkrootkit laufen lassen aber er zeigt noch immer die alten logs an

Der Untergeher

04.11.04, 19:57

Dem entnehme ich mal, dass

make; ./chkrootkit

nix verdächtiges gemeldet hat. Probier mal als root

logrotate /etc/logrotate.conf -f

(speichert die alten logs und legt neue an)

planetmax

04.11.04, 20:03

jetzt gehts :)

Danke

Der Untergeher

04.11.04, 20:13

Dann hat irgendwer oder irgendwas deine wtmp zerschossen. Ob das `nen Sicherheitsproblem war/ist kann ich leider nicht beurteilen.