nixp.ru v3.0

19 января 2017,
четверг,
07:38:10 MSK

DevOps с компанией «Флант»
Аватар пользователя OlegL
OlegL написал 27 октября 2008 года в 17:47 (501 просмотр) Ведет себя как мужчина; открыл 14 тем в форуме, оставил 60 комментариев на сайте.

Смутил меня факт, что top показывает, что 2 юзера в системе, когда залогинен я один. Смотрю:

#who

root pts/0 Время IP

Вроде нормально.

#who -a

system boot 2008-03-30 11:56

run-level 3 2008-03-30 11:56 last=S

LOGIN tty1 2008-03-30 14:12 8546 id=c1

LOGIN tty2 2008-03-30 11:56 3232 id=c2

LOGIN tty3 2008-03-30 11:56 3233 id=c3

LOGIN tty4 2008-03-30 11:56 3234 id=c4

LOGIN tty5 2008-03-30 11:56 3235 id=c5

LOGIN tty6 2008-03-30 11:56 3236 id=c6

root + pts/0 2008-10-27 13:06 . 10741 (IP)

LOGIN tty1 2008-03-30 12:43 6015 id=1

LOGIN tty1 2008-03-30 14:09 8528 id=1

Умершие процессы не показаны для экономии места. Вот два последних процесса смущают, ps их не видит, top — тоже. Глюк, следствие зависания процесса или реально взлом? rkhunter ничего не находит, ps в первозданном виде. Не понимаю я что-то.

metal

Глянь pstree, может что проясниться. Можно напрямую глянуть в proc, кто родитель. Если их видит who, то думаю они там есть.

OlegL

Пробовал, не видит. В /proc тоже нет.

#pstree -acp

init,1

|-acpid,3091

|-agetty,3232 38400 tty2 linux

|-agetty,3233 38400 tty3 linux

|-agetty,3234 38400 tty4 linux

|-agetty,3235 38400 tty5 linux

|-agetty,3236 38400 tty6 linux

|-agetty,8546 38400 tty1 linux

|-artsd,24164 -F 10 -S 4096 -s 60 -m artsmessage -l 3 -f

|-atd,3135 -b 15 -l 1

|-clamav-milter,1878 —external —quiet —dont-scan-on-error —local —max-children=2—pidfile=/var/run/clamav-milter/milter.pid

| `-{clamav-milter},1880

|-clamd,1868

|-crond,3133 -l10

|-dbus-daemon,3099 —system

|-gpm,3223 -m /dev/mouse -t imps2

|-hald,3105 —daemon=yes

| `-hald-runner,3106

| |-hald-addon-acpi,3118

| |-hald-addon-keyb,3113

| |-hald-addon-keyb,3114

| |-hald-addon-keyb,3115

| `-hald-addon-stor,3119

|-httpd,11234 -DSSL

| |-httpd,11235 -DSSL

| |-httpd,11237 -DSSL

| |-httpd,11238 -DSSL

| |-httpd,11239 -DSSL

| |-httpd,11240 -DSSL

| |-httpd,11244 -DSSL

| |-httpd,11255 -DSSL

| |-httpd,11338 -DSSL

| |-httpd,18747 -DSSL

| `-httpd,25217 -DSSL

|-inetd,3075

|-klogd,2477 -c 3 -x

|-mysqld,3199

| |-{mysqld},3203

| |-{mysqld},3204

| |-{mysqld},3205

| |-{mysqld},3206

| |-{mysqld},3208

| |-{mysqld},3209

| |-{mysqld},3210

| |-{mysqld},3211

| |-{mysqld},3217

| |-{mysqld},14215

| |-{mysqld},14216

| |-{mysqld},14217

| |-{mysqld},14218

| |-{mysqld},14219

| `-{mysqld},14221

|-portsentry,2828 -atcp

|-portsentry,2830 -audp

|-sendmail,3158

|-sendmail,3162

|-snort,3216 -c /etc/snort/snort.conf -i eth0 -g snort -D

|-sshd,3083

| |-sshd,10737

| | `-bash,10741

| | `-mc,24994

| | `-bash,24996 -rcfile .bashrc

| | `-pstree,25780 -a -c -p

| |-sshd,13761

| | `-bash,13765 -c echo\040FISH:;\040/bin/sh

| | `-sh,13767

| `-sshd,25132

| `-bash,25136 -c echo\040FISH:;\040/bin/sh

| `-sh,25138

|-syslogd,2473

`-udevd,1190 —daemon

metal

who вроде utmp использует, как насчет по времени в логах посмотреть что происходило? Судя по id на первой консоли явно что-то происходило. Не заню можно ли подцепиться к agetty удаленно в умолчальной настройке. Или есть подозрения, что кто-нибудь локально логинился?

OlegL

Локально логинился там человек, было дело. Может даже и не с первого раза правильно вошёл. Но значит ли это, что в таком случае будут три логин-процесса для этого терминала, причём все живые, вот что меня смущает. По времени уже не посмотрю, поздно. Может ребутну его завтра и проверю, что будет. Если опять лишние процессы будут торчать, то появятся нехорошие мысли. По идее, если чел не сумел залогиниться, то логин-процесс должен убиваться и respawn снова. А если вошёл и не вышел, то who показывать должна. Но чтобы аж три одновременно на один терминал… Может, конечно, и подвисли они мёртвые в табличке.

metal

Но процессов то нет реально, но остались записи в utmp, вопрос почему. Никаких записей в utmp после неудачных логинов оставаться не должно. Если не сумел залогиниться, то даже и убиваться ничего не должно, тот же процесс остается, а вот если сумел и вышел, то respawn. Советую проверить на идеинтичность сам логин.

OlegL

Записи остались в utmp и top двух пользователей показывает, недовыход какой-то. Не совсем понял что значит проверить логин на идентичность.

metal
OlegL
Записи остались в utmp и top двух пользователей показывает, недовыход какой-то. Не совсем понял что значит проверить логин на идентичность.

В смысле на подлинность, саму утилиту login.

OlegL

# last -f /var/run/utmp

root tty1 Sun Mar 30 14:12 gone — no logout

root pts/0 IP Mon Oct 27 19:22 still logged in

reboot system boot Sun Mar 30 11:56 (211+08:42)

То есть чел вошёл по KVM, сделал, что надо и не сказав, logout системе, вышел из KVM и ушёл. Через некоторое время система отрубила его (gone — no logout) и он не залогинен, поэтому юзер не виден в who. А top показывает двух пользователей. Действительно, не вышел и не залогинен, недовыход получается. А login завтра утром проверю. Кажется, похоже на правду.

OlegL

Утилита login правильная, сверил с дистрибутивом по md5.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.