Seltsame Einträge in wtmp bei "last"
tach, ich habe hier ein paar seltsame Einträge bei: samba:~ # last -i X******* ****X******* 108.97.0.0 Wed May 14 20:20 still logged in X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 12:48 (195+17:27) X******* ****X******* 88.198.4.8 Sun Apr 7 02:37 - 20:20 (20856+16:43 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 02:37 (-20856+-16: X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2 wtmp begins Wed Jun 12 10:16:00 2002 samba:~ # date Mon Nov 4 00:39:01 CET 2002 endeckt, die mich etwas beunruhigen ....hat sowas schon jemand gesehen? Beim Logfiles durchchecken und bei einem chkrootkit-check ist nichts rausgekommen, habe dann ein paar md5 checksummen verglichen und die stimmten mit den Originalen überein ...., firewall-log ebenfalls nichts auffälliges .... obwohl die IP´s (s.o.) bei meiner firewall gesperrt sind. hat jemand eine Idee von woher die kommen? - was ich dagegen unternehmen kann... wo ich suchen soll? grüsse, roland
* On Tue, 05 Nov 2002 at 11:29 +0100, Roland Poppenreiter wrote:
tach,
ich habe hier ein paar seltsame Einträge bei:
samba:~ # last -i X******* ****X******* 108.97.0.0 Wed May 14 20:20 still logged in X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 12:48 (195+17:27) X******* ****X******* 88.198.4.8 Sun Apr 7 02:37 - 20:20 (20856+16:43 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 02:37 (-20856+-16: X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2
wtmp begins Wed Jun 12 10:16:00 2002
samba:~ # date Mon Nov 4 00:39:01 CET 2002
endeckt, die mich etwas beunruhigen ....hat sowas schon jemand gesehen?
Beim Logfiles durchchecken und bei einem chkrootkit-check ist nichts rausgekommen, habe dann ein paar md5 checksummen verglichen und die stimmten mit den Originalen überein ...., firewall-log ebenfalls nichts auffälliges .... obwohl die IP´s (s.o.) bei meiner firewall gesperrt sind.
hat jemand eine Idee von woher die kommen? - was ich dagegen unternehmen kann... wo ich suchen soll?
grüsse, roland
Weiss denn hier wirklich niemand was dazu ....? Mittlerweile steht ein neuer Firewall-Rechner mit neuer Firewall und einer Debian Version dort ... habe aber leider noch keine Zeit gefunden den anderen Rechner durchzuchecken ... grüsse roland
Am Don, 2002-11-14 um 10.50 schrieb Roland Poppenreiter:
* On Tue, 05 Nov 2002 at 11:29 +0100, Roland Poppenreiter wrote:
tach,
ich habe hier ein paar seltsame Einträge bei:
samba:~ # last -i X******* ****X******* 108.97.0.0 Wed May 14 20:20 still logged in X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 12:48 (195+17:27) X******* ****X******* 88.198.4.8 Sun Apr 7 02:37 - 20:20 (20856+16:43 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 02:37 (-20856+-16: X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2
Hab mir mal die Mühe gemacht etwas rumzuspielen.... Die Ausgabe von Last auf einem Rechner mit X-Server ergibt so komische Einträge, wenn ein Benutzer X benutzt. Die unkenntlich gemachten Stellen deines Logs sollten in den merkwürdigen Zeilen einen Hinweis auf den X-Server oder das Display enthalten (:0 oder :1, etc). Die komischen Zeitangaben kommen über sehr lange Loginzeiten zustande. Woher die Netzwerkadresse kommt, weiss ich allerdings auch nicht. Aber bei laufendem System kommt immer dieselbe Adresse, wenn ich mich von KDM ab- und wieder anmelde. Hoffe das hilft ein wenig... Gruß Jens
Roland Poppenreiter schrieb am 05.11.2002 um 11:29:19 +0100: Hallo Roland,
ich habe hier ein paar seltsame Einträge bei:
samba:~ # last -i X******* ****X******* 108.97.0.0 Wed May 14 20:20 still logged in X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 12:48 (195+17:27) X******* ****X******* 88.198.4.8 Sun Apr 7 02:37 - 20:20 (20856+16:43 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 02:37 (-20856+-16: X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2
wtmp begins Wed Jun 12 10:16:00 2002
samba:~ # date Mon Nov 4 00:39:01 CET 2002
endeckt, die mich etwas beunruhigen ....hat sowas schon jemand gesehen?
Beim Logfiles durchchecken und bei einem chkrootkit-check ist nichts rausgekommen, habe dann ein paar md5 checksummen verglichen und die stimmten mit den Originalen überein ...., firewall-log ebenfalls nichts auffälliges .... obwohl die IP?s (s.o.) bei meiner firewall gesperrt sind.
hat jemand eine Idee von woher die kommen? - was ich dagegen unternehmen kann... wo ich suchen soll?
wo das herkommt, weiss ich auch noch nicht so genau, aber sowas habe ich auch schon mal bei mir gehabt. Allerdings haben die Rechner keinen Internetzugang. Es sind alle in einem 192.168. Netzwerk ohne Verbindung nach aussen, an die auch nur ich und 3 weitere Leute drankommen, die einen Schlüssel haben. Ich kann also mal ausschliessen, das auf die Rechner irgendwie von aussen und von mir Unbekannten zugegriffen wurde. Interessant ist auch, das sich die Dateien nach einem Logout und einem erneuten Login unterscheiden (abgesehen von dem zusätztlichen Eintrag) michael@blob1:~> last -i ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 gone - no logout ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 - 01:31 (00:00) ****`*** `*******`*** 0.0.0.0 Thu Jan 1 01:00 - 01:31 (1557+00:31) ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 - 01:00 (-1557+00:-3 ... wtmp begins Sun Apr 7 01:31:36 1974 michael@HOTSPOT1:~> nach dem logout/login: michael@blob1:~> last -i michael pts/1 0.0.0.0 Thu Nov 14 15:53 still logged in michael pts/1 0.0.0.0 Thu Nov 14 15:51 - 15:53 (00:01) ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 gone - no logout root pts/2 0.0.0.0 Thu Nov 14 10:16 - 10:24 (00:08) ... und die Daten stimmen jetzt sogar, mal abgesehen von der Zeile mit den *. Es wurde schon mal über ReiserFS spekuliert, aber die Rechner hier laufen alle unter ext3. Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
* On Thu, 14 Nov 2002 at 16:11 +0100, Michael Schulz wrote:
Roland Poppenreiter schrieb am 05.11.2002 um 11:29:19 +0100:
Hallo Roland,
ich habe hier ein paar seltsame Einträge bei:
samba:~ # last -i X******* ****X******* 108.97.0.0 Wed May 14 20:20 still logged in X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 12:48 (195+17:27) X******* ****X******* 88.198.4.8 Sun Apr 7 02:37 - 20:20 (20856+16:43 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 02:37 (-20856+-16: X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2
wtmp begins Wed Jun 12 10:16:00 2002
samba:~ # date Mon Nov 4 00:39:01 CET 2002
endeckt, die mich etwas beunruhigen ....hat sowas schon jemand gesehen?
Beim Logfiles durchchecken und bei einem chkrootkit-check ist nichts rausgekommen, habe dann ein paar md5 checksummen verglichen und die stimmten mit den Originalen überein ...., firewall-log ebenfalls nichts auffälliges .... obwohl die IP?s (s.o.) bei meiner firewall gesperrt sind.
hat jemand eine Idee von woher die kommen? - was ich dagegen unternehmen kann... wo ich suchen soll?
wo das herkommt, weiss ich auch noch nicht so genau, aber sowas habe ich auch schon mal bei mir gehabt. Allerdings haben die Rechner keinen Internetzugang. Es sind alle in einem 192.168. Netzwerk ohne Verbindung nach aussen, an die auch nur ich und 3 weitere Leute drankommen, die einen Schlüssel haben. Ich kann also mal ausschliessen, das auf die Rechner irgendwie von aussen und von mir Unbekannten zugegriffen wurde. Interessant ist auch, das sich die Dateien nach einem Logout und einem erneuten Login unterscheiden (abgesehen von dem zusätztlichen Eintrag)
das beruhigt mich schon mal etwas :) ... aber alles was in wtmp geschrieben wird hat einen eindeutigen Zeitstempel .... von daher sind solche Einträge schon etwas merkwürdig ...
michael@blob1:~> last -i ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 gone - no logout ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 - 01:31 (00:00) ****`*** `*******`*** 0.0.0.0 Thu Jan 1 01:00 - 01:31 (1557+00:31) ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 - 01:00 (-1557+00:-3 ...
wtmp begins Sun Apr 7 01:31:36 1974 michael@HOTSPOT1:~>
nach dem logout/login:
michael@blob1:~> last -i
michael pts/1 0.0.0.0 Thu Nov 14 15:53 still logged in michael pts/1 0.0.0.0 Thu Nov 14 15:51 - 15:53 (00:01) ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 gone - no logout root pts/2 0.0.0.0 Thu Nov 14 10:16 - 10:24 (00:08) ...
und die Daten stimmen jetzt sogar, mal abgesehen von der Zeile mit den *. Es wurde schon mal über ReiserFS spekuliert, aber die Rechner hier laufen alle unter ext3.
Hab hier nicht einmal Reiserfs am Laufen sondern normales ext2. Danke dir trotzdem .... werd auch am laufend halten sobald ich mehr weiss.
Bis denne,
Michael
grüsse, roland
participants (3)
-
Michael Schulz -
Roland Poppenreiter -
the_Q@t-online.de