Mailinglist Archive: opensuse-de (5835 mails)
| < Previous | Next > |
Re: Seltsame Einträg e in wtmp bei "last"
- From: Roland Poppenreiter <susemail@xxxxxxxxx>
- Date: Thu, 14 Nov 2002 10:50:21 +0100
- Message-id: <20021114095021.GH19545@xxxxxxxxxx>
* On Tue, 05 Nov 2002 at 11:29 +0100, Roland Poppenreiter wrote:
> tach,
>
> ich habe hier ein paar seltsame Einträge bei:
>
> samba:~ # last -i
> X******* ****X******* 108.97.0.0 Wed May 14 20:20 still
> logged in
> X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20
> (00:00)
> X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20
> (00:00)
> X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20
> (-195+-17:-2
> X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 12:48
> (195+17:27)
> X******* ****X******* 88.198.4.8 Sun Apr 7 02:37 - 20:20
> (20856+16:43
> X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 02:37
> (-20856+-16:
> X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20
> (-195+-17:-2
>
> wtmp begins Wed Jun 12 10:16:00 2002
>
> samba:~ # date
> Mon Nov 4 00:39:01 CET 2002
>
> endeckt, die mich etwas beunruhigen ....hat sowas schon jemand
> gesehen?
>
> Beim Logfiles durchchecken und bei einem chkrootkit-check ist nichts
> rausgekommen, habe dann ein paar md5 checksummen verglichen und die
> stimmten mit den Originalen überein ...., firewall-log ebenfalls
> nichts auffälliges .... obwohl die IP´s (s.o.) bei meiner firewall
> gesperrt sind.
>
> hat jemand eine Idee von woher die kommen? - was ich dagegen
> unternehmen kann... wo ich suchen soll?
>
> grüsse, roland
Weiss denn hier wirklich niemand was dazu ....?
Mittlerweile steht ein neuer Firewall-Rechner mit neuer Firewall und
einer Debian Version dort ... habe aber leider noch keine Zeit
gefunden den anderen Rechner durchzuchecken ...
grüsse roland
> tach,
>
> ich habe hier ein paar seltsame Einträge bei:
>
> samba:~ # last -i
> X******* ****X******* 108.97.0.0 Wed May 14 20:20 still
> logged in
> X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20
> (00:00)
> X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20
> (00:00)
> X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20
> (-195+-17:-2
> X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 12:48
> (195+17:27)
> X******* ****X******* 88.198.4.8 Sun Apr 7 02:37 - 20:20
> (20856+16:43
> X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 02:37
> (-20856+-16:
> X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20
> (-195+-17:-2
>
> wtmp begins Wed Jun 12 10:16:00 2002
>
> samba:~ # date
> Mon Nov 4 00:39:01 CET 2002
>
> endeckt, die mich etwas beunruhigen ....hat sowas schon jemand
> gesehen?
>
> Beim Logfiles durchchecken und bei einem chkrootkit-check ist nichts
> rausgekommen, habe dann ein paar md5 checksummen verglichen und die
> stimmten mit den Originalen überein ...., firewall-log ebenfalls
> nichts auffälliges .... obwohl die IP´s (s.o.) bei meiner firewall
> gesperrt sind.
>
> hat jemand eine Idee von woher die kommen? - was ich dagegen
> unternehmen kann... wo ich suchen soll?
>
> grüsse, roland
Weiss denn hier wirklich niemand was dazu ....?
Mittlerweile steht ein neuer Firewall-Rechner mit neuer Firewall und
einer Debian Version dort ... habe aber leider noch keine Zeit
gefunden den anderen Rechner durchzuchecken ...
grüsse roland
| < Previous | Next > |