El 2005-03-17 a las 23:36 +0100, Peter Holm escribió:
Si hago un "last -di" , me sale:
peter pts/2 0.0.0.0 Thu Mar 17 23:26 still logged in peter pts/1 0.0.0.0 Thu Mar 17 23:24 still logged in peter pts/1 0.0.0.0 Thu Mar 17 23:08 - 23:09 (00:01) peter pts/1 0.0.0.0 Thu Mar 17 22:22 - 22:24 (00:02) peter pts/1 0.0.0.0 Thu Mar 17 22:20 - 22:21 (00:01) peter pts/1 0.0.0.0 Thu Mar 17 15:57 - 16:01 (00:03) peter pts/3 0.0.0.0 Thu Mar 17 15:20 - 15:56 (00:36) peter pts/1 0.0.0.0 Thu Mar 17 15:11 - 15:11 (00:00) peter pts/1 0.0.0.0 Thu Mar 17 11:12 - 11:12 (00:00) peter pts/0 0.0.0.0 Thu Mar 17 11:11 still logged in peter :0 220.138.236.183 Thu Mar 17 11:10 still logged in reboot system boot 0.0.0.0 Thu Mar 17 11:08 (12:22) peter pts/1 0.0.0.0 Thu Mar 17 02:25 - 02:26 (00:01) peter pts/3 0.0.0.0 Thu Mar 17 01:53 - 01:53 (00:00) peter pts/1 0.0.0.0 Wed Mar 16 20:26 - 20:26 (00:00)
Hum. :-/
y mirando con "whois IP" me salen conexiones a Taiwan...salvo con la correspondiente 248.112.3.64 que dice: "No whois server is known for this kind of object."
Si, a mi me sale como 248.0.4.64, pero si uso "last" a secas, me sale "console" en esas lineas.
La pregunta es: Suponiendo que la IP 248.112.3.64 sea de uso interno de mi entorno de ventanas (KDE) y que por eso no tiene respuesta whois...¿Quien o quienes son las otras que me dicen que son de Tw?
¿No se ven esas entradas en el log del firewall también? Pues yo diría que te han entrado. Saben tu password.
Ni chkrootkit ni rkhunter me encuentran nada extraño y mi antivirus (Clamav / Klamav) tampoco.
¿Que tienes abierto en el firewall, desde el exterior? Ahora bien... Yo prefiero el comando "last" a secas. -di me confunde. Pensemos... Pero veamos de nuevo este par de lineas:
peter :0 220.138.236.183 Thu Mar 17 11:10 still logged in reboot system boot 0.0.0.0 Thu Mar 17 11:08 (12:22)
Es la primera "conexión" desde que se arranca el sistema, unos meros dos minutos después. Si no fuera por la IP, yo diría que eres tu mismo. Y, si no lo fueras, tu conexión a las X debería aparecer, porque esa linea es precisamente una conexión a las X. El resto de las lineas son terminales. Yo diría que eres tu mismo; lo que no entiendo, es la IP con la que aparece. ¿Como te conectas, usas dhcp? ¿Concuerda "last -di" con "last"? -- Saludos Carlos Robinson