timon
07.04.05, 17:29
Hallo zusammen,
habe heute mal wieder last auf meiner Kiste aufgerufen und musste da einen Benutzer sehen der mir so richtig null sagt:
dummy pts/4 192.168.20.199 Thu Apr 7 17:14 - 17:23 (00:09)
date { Thu Apr 7 03:00 still logged in
date | Thu Apr 7 03:00 still logged in
Es dreht sich um den User date. Nun glaube ich, da auch keine IP erscheint, das es sich um einen von einem Programm erstellten User handelt ( jede Nacht um Punkt 3.00 Uhr ).
ABER: Glauben heisst nicht wissen !
Ich habe auch mal in der shadow bzw passwd nachgeschaut, kein User date. Ebenso fanden sowohl chkrootkit als auch rkhunter nichts. Im auth.log erscheint der User ebenfalls nicht.
Wie kann ich denn nun herausfinden, woher zum Geier dieser User kommt :-) ?
System, ist ein debian sid.
Viele Grüße
Timon
habe heute mal wieder last auf meiner Kiste aufgerufen und musste da einen Benutzer sehen der mir so richtig null sagt:
dummy pts/4 192.168.20.199 Thu Apr 7 17:14 - 17:23 (00:09)
date { Thu Apr 7 03:00 still logged in
date | Thu Apr 7 03:00 still logged in
Es dreht sich um den User date. Nun glaube ich, da auch keine IP erscheint, das es sich um einen von einem Programm erstellten User handelt ( jede Nacht um Punkt 3.00 Uhr ).
ABER: Glauben heisst nicht wissen !
Ich habe auch mal in der shadow bzw passwd nachgeschaut, kein User date. Ebenso fanden sowohl chkrootkit als auch rkhunter nichts. Im auth.log erscheint der User ebenfalls nicht.
Wie kann ich denn nun herausfinden, woher zum Geier dieser User kommt :-) ?
System, ist ein debian sid.
Viele Grüße
Timon