Hi,
Obwohl er war eher als ein user eingeloggt. Wie kann ich herausfinden, als welcher?
mit last|more kannst du sehen wer wann eingeloggt war.
Ja, gerade gemacht, aber er zeigt nichts um 4 uhr in der früh. Registriert offensichtlich nicht die ftp anmeldungen.
doch, das wird schon geloggt. Wenn Du aber keinen Eintrag sehen kannst, dann war er nicht eingeloggt oder war tatsächlich als root drin und hat anschließend die Spuren verwischt. Letzteres wird aber wohl unwahrscheinlich sein. Hattest Du denn root login per ftp oder telnet zugelassen (default ist as natürlich nicht)? Martin --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi Martin!
Ja, gerade gemacht, aber er zeigt nichts um 4 uhr in der früh. Registriert offensichtlich nicht die ftp anmeldungen.
doch, das wird schon geloggt. Wenn Du aber keinen Eintrag sehen kannst, dann war er nicht eingeloggt oder war tatsächlich als root drin und hat anschließend die Spuren verwischt. Letzteres wird aber wohl unwahrscheinlich sein. Hattest Du denn root login per ftp oder telnet zugelassen (default ist as natürlich nicht)?
NEIN! Das nicht, root darf weder ftp noch telnet. Und nachdem das ganze nur 16 sekunden gedauert hat, glaube ich auch eher nicht dass er noch zeit hatte, die spuren zu verwischen. Ich hab jetzt die situation rekonstruiert, hab mich über ftp mit falschem passwort angemeldet. In /var/log/messages stehen dann auch nur solche zeilen "connect from ..." aber nichts der art: "connection failed" oder "passwort falsch", also keine fehlermeldung. Jetzt bin ich schon beruhigt. Danke Euch Cristina --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (2)
-
cst@wohlmann.at
-
martin.ortlepp@hannoversche-leben.de