Problem mit last (/var/log/wtmp) und fremden IP's - bin ich gehackt ?
Hallo ML, eher zufällig habe ich mit last ein bißchen in /var/log/wtmp rumgeschnüffelt (auf diversen SuSE-Systemen von 9.1 - 9.3). Dabei habe ich auf allen (immerhin 5 Stück) fremde IP's gefunden, die nicht zu unserem Netz gehören. Diese tauchen aber immer nur auf, wenn sich jemand per xdm einloggt, bei Einlogvorgängen über ssh oder an Konsolen (tty) tauchen die "richtigen", zu unserem Netz gehörenden IP's auf. Teilweise sind unsere Systeme Server, die z.B. Webdienste nach außen anbieten, teilweise aber auch Maschinen, die keine Dienste nach außen haben. Diese fremden IP's sind auf einigen Maschinen immer die gleichen, auf anderen immer unterschiedliche. Ich poste hier mal zwei Schnipsel, mit last -i |less erzeugt: root pts/76 xxx Mon Apr 23 16:28 still logged in root pts/75 xxx Mon Apr 23 16:11 still logged in xxx :0 248.80.3.64 Tue Apr 17 08:36 still logged in root pts/71 xxx Mon Apr 16 17:06 - 17:31 (00:24) xxx :0 248.80.3.64 Fri Apr 13 14:38 - 14:58 (00:19) xxx :0 248.80.3.64 Fri Apr 13 14:35 - 14:38 (00:03) xxx :0 248.80.3.64 Fri Apr 13 14:20 - 14:34 (00:14) xxx :0 248.80.3.64 Fri Apr 13 14:15 - 14:20 (00:04) xxx :0 248.80.3.64 Fri Apr 13 13:58 - 14:14 (00:16) xxx :0 248.80.3.64 Fri Apr 13 12:34 - 13:56 (01:22) xxx :0 248.80.3.64 Fri Apr 13 11:25 - 12:33 (01:08) xxx :0 248.80.3.64 Fri Apr 13 10:00 - 11:25 (01:24) root pts/44 xxx Mon Apr 9 20:12 - 20:40 (00:28) root pts/43 xxx Fri Apr 6 13:34 - 13:40 (00:05) xxx :0 248.80.3.64 Tue Mar 27 14:18 - 10:00 (16+19:41) reboot system boot 0.0.0.0 Tue Mar 27 14:16 (27+03:02) xxx :0 248.80.3.64 Tue Mar 27 14:13 - crash (00:02) reboot system boot 0.0.0.0 Tue Mar 27 14:12 (27+03:05) xxx :0 248.80.3.64 Mon Mar 26 17:56 - 17:57 (00:00) -------------------- root pts/3 127.0.0.2 Mon Apr 23 12:47 - 15:08 (02:20) xxx pts/2 0.0.0.0 Mon Apr 23 12:47 - 15:08 (02:20) xxx :0 220.202.235.183 Mon Apr 23 12:47 - 15:25 (02:38) xxx pts/1 xxx Mon Apr 23 12:45 - 13:01 (00:15) xxx :0 220.202.235.183 Mon Apr 23 12:42 - 12:44 (00:01) root pts/6 127.0.0.2 Mon Apr 23 11:02 - 12:42 (01:39) xxx pts/5 0.0.0.0 Mon Apr 23 11:02 - 12:42 (01:40) xxx pts/4 0.0.0.0 Mon Apr 23 10:56 - 11:09 (00:13) xxx pts/3 0.0.0.0 Mon Apr 23 10:45 - 12:42 (01:56) xxx pts/2 0.0.0.0 Mon Apr 23 10:44 - 12:42 (01:58) xxx pts/1 0.0.0.0 Mon Apr 23 10:33 - 12:42 (02:09) xxx :0 220.202.235.183 Mon Apr 23 10:18 - 12:42 (02:24) Mit xxx habe ich die Usernamen und unsere eigenen IP's gelöscht, man weiß ja nie mehr hier noch liest :-) Die Uhrzeiten dieser Einlogvorgänge stimmen immer genau mit graf. logins per xdm an der Maschine überein, das habe ich probiert und ist auch reproduzierbar. Kennt jemand dieses Problem, hat jemand eine Idee ? Danke. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Bernd, Am Montag, 23. April 2007 17:38 schrieb Lentes, Bernd: 127.0.0.2, 0.0.0.0 erklärt sich von selbst und xxx :0 248.80.3.64 Tue Apr 17 08:36 still logged in zumindest über diese Adressen musst du dir keine Gedanken machen. Das sind Multicast-IPs (224++.x.x.x) und dienen IMHO dem XDM dazu die laufendem Server per XDMCP-broadcast im Netz bekannt zu machen. Was diese 220er ist, weiß ich auch nicht. Gruß Sebastian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ach ich wusste doch woher ich 220. kenne. China Unicom :-) Na denn http://www.ip2location.com/free.asp 220.202.235.183 CN CHINA BEIJING BEIJING CHINA UNITED TELECOMMUNICATIONS CORPORATION These results produced by the IP2Location™ IP-COUNTRY-REGION-CITY-LATITUDE-LONGITUDE-ISP [DB6] January 2007 Edition Database HTH Sebastian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Sebastian, 248.80.3.64 ist lt. Wikipedia keine Multicatsadresse, der Adressbereich geht von 224.0.0.0 bis 239.255.255.255. Siehe http://de.wikipedia.org/wiki/Multicast und auch http://www.iana.org/assignments/multicast-addresses . Das mit China hatte ich über whois auch schon rausgekriegt. Glaubst Du dass ich gehackt worden bin ? Ich kann mir das aus mehreren Gründen kaum vorstellen: 1. 5 Maschinen gleichzeitig halte ich für unwahrscheinlich. 2. Mehrere Maschinen sind von außen nicht erreichbar. 3. Diese Einloggvorgänge entsprechen zeitlich genau lokalen Einlogvorgängen über xdm. Dies ist absolut reproduzierbar. Der Hacker kann sich doch nicht immer genau zeitgleich mit mir einloggen. Ich tippe irgendwie auf einen bug in diesem log-Mechanismus. Bin für weitere Ideen und Vorschläge sehr dankbar. Bernd -----Ursprüngliche Nachricht----- Von: Sebastian Koerner [mailto:s.koerner@online.de] Gesendet: Montag, 23. April 2007 18:20 An: opensuse-de@opensuse.org Betreff: Re: Problem mit last (/var/log/wtmp) und fremden IP's - bin ich gehackt ? Ach ich wusste doch woher ich 220. kenne. China Unicom :-) Na denn http://www.ip2location.com/free.asp 220.202.235.183 CN CHINA BEIJING BEIJING CHINA UNITED TELECOMMUNICATIONS CORPORATION These results produced by the IP2Location(tm) IP-COUNTRY-REGION-CITY-LATITUDE-LONGITUDE-ISP [DB6] January 2007 Edition Database HTH Sebastian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Bernd wrote:
3. Diese Einloggvorgänge entsprechen zeitlich genau lokalen Einlogvorgängen über xdm. Dies ist absolut reproduzierbar. Der Hacker kann sich doch nicht immer genau zeitgleich mit mir einloggen. Ich tippe irgendwie auf einen bug in diesem log-Mechanismus. Bin für weitere Ideen und Vorschläge sehr dankbar.
Hallo Bernd, schmeiß doch mal Wireshark oder iptraf an und schau Dir an, ob beim Login eines Benutzers Pakete an die fremden Adressen gesendet werden. Oder setz mit iptables einen Filter auf den ganzen Adressblock und schau Dir an, was last danach zu den Anmeldungen zu sagen hat. Und ich würde mal eine systemweite Suche nach den IP-Adressen und den Hostnamen, zu denen sie aufgelöst werden, durchführen. Vielleicht stößt Du auf eine verkorkste Conf-Datei, vielleicht auf andere Logs. Grüße, Felix -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Felix, danke für die Tipps. Ich werde das morgen mal ausprobieren. Wireshark oder iptraf sagt mir zwar nix, kann aber auch keine Hexerei sein. Ich werde auch mal nach den IP-Adressen greppen. Ergebnisse teile ich hier mit. Danke und schönen Abend. Bernd -----Original Message----- From: Felix Nawroth [mailto:lists@felix-nawroth.net] Sent: Monday, April 23, 2007 7:22 PM To: opensuse-de@opensuse.org Subject: Re: AW: Problem mit last (/var/log/wtmp) und fremden IP's - bin ich gehackt ? Hallo Bernd, schmeiß doch mal Wireshark oder iptraf an und schau Dir an, ob beim Login eines Benutzers Pakete an die fremden Adressen gesendet werden. Oder setz mit iptables einen Filter auf den ganzen Adressblock und schau Dir an, was last danach zu den Anmeldungen zu sagen hat. Und ich würde mal eine systemweite Suche nach den IP-Adressen und den Hostnamen, zu denen sie aufgelöst werden, durchführen. Vielleicht stößt Du auf eine verkorkste Conf-Datei, vielleicht auf andere Logs. Grüße, Felix -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Felix, habe zwei Maschinen nach der IP abgesucht. Bei einer so: nice -10 find / -type f -xdev -exec grep 248.80.3.64 {} \; -print Ergebnis: bei beiden nix. Sonst noch 'ne Idee ? Bernd
Und ich würde mal eine systemweite Suche nach den IP-Adressen und den Hostnamen, zu denen sie aufgelöst werden, durchführen. Vielleicht stößt Du auf eine >verkorkste Conf-Datei, vielleicht auf andere Logs.
Grüße, Felix -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Lentes, Bernd wrote:
Hallo Felix,
habe zwei Maschinen nach der IP abgesucht. Bei einer so: nice -10 find / -type f -xdev -exec grep 248.80.3.64 {} \; -print
Ergebnis: bei beiden nix. Sonst noch 'ne Idee ?
Bernd
Hallo Bernd, ich bin nicht gerade ein Konsolen-Profi, also habe ich mal mit Deiner Befehlsfolge nach einer IP gesucht, die in meiner /etc/hosts steht. Lief zwar ewig, aber er gefunden hat er sie. Zum "out of memory" aus Deinem anderen Thread würde ich vermuten, dass damit tatsächlich Ergebnisse verloren gegangen sein können. Im Zweifelsfall ruf doch den find-Befehl für /etc/, /var/log usw. einzeln auf. Vielleicht wendest Du Dich mal direkt an die Entwickler des xdm, der bei Dir läuft? (Welcher X-Server läuft unter 9.1 bis 9.3? Ich vermute, der xdm ist Bestandteil des jeweiligen X-Servers, wie kdm Bestandteil von KDE ist(?)) Ich denke nicht, dass es etwas in Richtung ist, aber wenn Du ganz sicher gehen willst, such Dir mal einen der Rechner mit Netzwerkanschluss aus und mach Dich auf die Suche nach einem Rootkit. Rettungssystem von CD booten, Festplatte mounten und MD5-Summen der wichtigsten Programme abgleichen (ls, ps, ...) - und das mit md5sum von CD oder einem frisch runtergeladenen. Der Rootkit-Scanner von http://rkhunter.nl ist ziemlich beliebt. Und überleg Dir mal, ob Du Snort und/oder Tripwire installierst. Ich schlafe seitdem um einiges ruhiger :) Schönen Abend, Felix -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Bernd Am Montag, 23. April 2007 18:51 schrieb Lentes, Bernd:
248.80.3.64 ist lt. Wikipedia keine Multicatsadresse, der Adressbereich geht von 224.0.0.0 bis 239.255.255.255. Siehe http://de.wikipedia.org/wiki/Multicast und auch http://www.iana.org/assignments/multicast-addresses . Hmm. Stimmt eigentlich. Andererseits http://www.faqs.org/docs/linux_network/x-087-2-issues.ip-addresses.html Classes D, E, and F
Addresses falling into the range of 224.0.0.0 through 254.0.0.0 are either experimental or are reserved for special purpose use and don't specify any network. IP Multicast, which is a service that allows material to be transmitted to many points on an internet at one time, has been assigned addresses from within this range.
Das mit China hatte ich über whois auch schon rausgekriegt. Glaubst Du dass ich gehackt worden bin ? Ich kann mir das aus mehreren Gründen kaum vorstellen: 1. 5 Maschinen gleichzeitig halte ich für unwahrscheinlich.
Tja. So etwas ist wirklich schwer zu sagen. Wenn es wirklich eine zeitliche Übereinstimmung gibt, dann ist es unwahrscheinlich. Wahrscheinlich ist das eine wirklich XDMCP und irgend eine Software aus deinem XDM sucht nach Updates. Wie Felix schon antwortete: Versuche mal wireshark/ethereal oder tcpdump mit der -vv Option. Meist sind die Ausgaben dort schon recht sprechend. Gruß Sebastian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 23. April 2007 schrieb Lentes, Bernd: Hallo Bernd,
eher zufällig habe ich mit last ein bißchen in /var/log/wtmp rumgeschnüffelt (auf diversen SuSE-Systemen von 9.1 - 9.3). Dabei habe ich auf allen (immerhin 5 Stück) fremde IP's gefunden, die nicht zu unserem Netz gehören. Diese tauchen aber immer nur auf, wenn sich jemand per xdm einloggt, bei Einlogvorgängen über ssh oder an Konsolen (tty) tauchen die "richtigen", zu unserem Netz gehörenden IP's auf.
Ich kann Dir zwar keinen Tip geben, aber mir ist ebenfalls etwas merkwuerdiges aufgefallen. Immer, wenn ich unter KDE eine konsole oder ein xterm aufmache und last -i abfrage, erhalte ich eine willkuerliche IP hinter meinem Usernamen. Jetzt ist die Frage, welches Script sich darum kuemmert. Ich hatte ISDN und Capisuite in Verdacht. Daran liegt es nicht. Die IP's haben Imho auch nichts mit dem Internetzugang per DSL zu tun. Zumindest wird kein Einwahlversuch gestartet. Leider habe ich jetzt keine Zeit mehr, der Sache auf den Grund zu gehen. Vielleicht finde ich heute Abend noch etwas. PS.: Mein Laptop, der am selben Router per WLan haengt und ebenfalls SuSE 10.2 (allerdings 32bit) drauf hat, zeigt dieses Verhalten nicht. Hier zeigt last -i immer die 0.0.0.0 MfG Th. Moritz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Also, hab jetzt einiges probiert: Auf einem 9.2 System habe ich einfach das Netzwerkkabel gezogen, und mich danach über X/xdm lokal angemeldet. Wieder ist eine fremde IP in last aufgetaucht, dies kann aber nun definitiv kein remote-login sein, da ja das Netzwerkkabel gezogen war. Auf diesem 9.2 tauchen übrigens immer unterschiedliche IP's auf, und sogar bei jedem Star eines xterm. Auf einem weiterem 9.2 System sowie einem 9.1 System ist es immer die gleiche IP, und auch nur beim login, nicht beim Starten eines xterms. Diese IP's habe ich bereits gepostet. Auf diesen beiden Systemen habe ich nun mit "tcpdump -vv -w ~/tcpdump.txt host IP" mitgesnifft. Dabei kam nix raus. Das heisst doch, daß da keine Pakte hingehen ? Ich glaube überhaupt nicht mehr an einen Eindringling, frage ich aber immer noch, woher diese fremden IP's kommen. Weitere Ideen ? Danke. bernd _________________________________ -----Original Message----- From: Thomas Moritz [mailto:thm_ml@thmoritz.de] Sent: Tuesday, April 24, 2007 7:55 AM To: opensuse-de@opensuse.org Subject: Re: Problem mit last (/var/log/wtmp) und fremden IP's - bin ich gehackt ? Am Montag, 23. April 2007 schrieb Lentes, Bernd: Hallo Bernd, Ich kann Dir zwar keinen Tip geben, aber mir ist ebenfalls etwas merkwuerdiges aufgefallen. Immer, wenn ich unter KDE eine konsole oder ein xterm aufmache und last -i abfrage, erhalte ich eine willkuerliche IP hinter meinem Usernamen. Jetzt ist die Frage, welches Script sich darum kuemmert. Ich hatte ISDN und Capisuite in Verdacht. Daran liegt es nicht. Die IP's haben Imho auch nichts mit dem Internetzugang per DSL zu tun. Zumindest wird kein Einwahlversuch gestartet. Leider habe ich jetzt keine Zeit mehr, der Sache auf den Grund zu gehen. Vielleicht finde ich heute Abend noch etwas. PS.: Mein Laptop, der am selben Router per WLan haengt und ebenfalls SuSE 10.2 (allerdings 32bit) drauf hat, zeigt dieses Verhalten nicht. Hier zeigt last -i immer die 0.0.0.0 MfG Th. Moritz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Lentes, Bernd schrieb:
Also,
hab jetzt einiges probiert: Auf einem 9.2 System habe ich einfach das Netzwerkkabel gezogen, und mich danach über X/xdm lokal angemeldet. Wieder ist eine fremde IP in last aufgetaucht, dies kann aber nun definitiv kein remote-login sein, da ja das Netzwerkkabel gezogen war. Auf diesem 9.2 tauchen übrigens immer unterschiedliche IP's auf, und sogar bei jedem Star eines xterm. Auf einem weiterem 9.2 System sowie einem 9.1 System ist es immer die gleiche IP, und auch nur beim login, nicht beim Starten eines xterms. Diese IP's habe ich bereits gepostet. Auf diesen beiden Systemen habe ich nun mit "tcpdump -vv -w ~/tcpdump.txt host IP" mitgesnifft. Dabei kam nix raus. Das heisst doch, daß da keine Pakte hingehen ?
1. dhcp läuft definitiv nicht ?! - daher kommt also nix... 2. Firewall ? 2.1. ist an ? 2.2 macht NAT - wenn ja - auf welche Adresse(n) 3. Portforward leitet keine Ports an irgendwen weiter ?
Ich glaube überhaupt nicht mehr an einen Eindringling, frage ich aber immer noch, woher diese fremden IP's kommen. Weitere Ideen ?
mehr fällt mir auf Anhieb nicht ein.... 1-2-3 alle könenn ihre "eigene" IP-Nummer machen...
Danke.
bernd
Grüss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Fred,
1. dhcp läuft definitiv nicht ?! - daher kommt also nix... Nein, nur der dhcpcd (also der Client), da wir in unserem Netz die IP per DHCP kriegen
2. Firewall ? 2.1. ist an ? 2.2 macht NAT - wenn ja - auf welche Adresse(n) Nein, läuft alles nicht
3. Portforward leitet keine Ports an irgendwen weiter ? Verstehe ich nicht genau, was Du meinst. Portforwarding im Zusammenhang mit NAT ? Wenn Du das meinst, klares Nein, da 1. keine FW und 2. Kiste kein Router ist. Oder meinst Du Portforwarding per ssh ? Das machen wir gelegentlich für X-Zugriff.
mehr fällt mir auf Anhieb nicht ein.... 1-2-3 alle könenn ihre "eigene" IP-Nummer machen...
Sonst noch Ideen ? Bin für alles dankbar. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Lentes, Bernd schrieb am 23.04.2007 17:38:
Hallo ML,
eher zufällig habe ich mit last ein bißchen in /var/log/wtmp rumgeschnüffelt (auf diversen SuSE-Systemen von 9.1 - 9.3). Dabei habe ich auf allen (immerhin 5 Stück) fremde IP's gefunden, die nicht zu unserem Netz gehören. Diese tauchen aber immer nur auf, wenn sich jemand per xdm einloggt, bei Einlogvorgängen über ssh oder an Konsolen (tty) tauchen die "richtigen", zu unserem Netz gehörenden IP's auf. Teilweise sind unsere Systeme Server, die z.B. Webdienste nach außen anbieten, teilweise aber auch Maschinen, die keine Dienste nach außen haben. Diese fremden IP's sind auf einigen Maschinen immer die gleichen, auf anderen immer unterschiedliche. Ich poste hier mal zwei Schnipsel, mit last -i |less erzeugt:
root pts/76 xxx Mon Apr 23 16:28 still logged in root pts/75 xxx Mon Apr 23 16:11 still logged in xxx :0 248.80.3.64 Tue Apr 17 08:36 still logged in
Mit xxx habe ich die Usernamen und unsere eigenen IP's gelöscht, man weiß ja nie mehr hier noch liest :-) Die Uhrzeiten dieser Einlogvorgänge stimmen immer genau mit graf. logins per xdm an der Maschine überein, das habe ich probiert und ist auch reproduzierbar. Kennt jemand dieses Problem, hat jemand eine Idee ? Danke. Bernd
Hallo Bernd, ich habe bei mir gerade ein last -i eingegeben. Die Uhrzeiten kann ich z. T. nachvollziehen, aber die IP-Adressen sind zufallsgeneriert... Anscheinend wird jedes Mal, wenn ich mich anmelde oder eine Shell aus KDE heraus öffne, eine Zufallszahl erzeugt und als IP-Adresse abgelegt ;-) Entweder spinnt last oder die Einträge in der Datenbank sind Ulk. Beispiel von last -i: wflamme pts/8 192.92.14.0 Thu Apr 5 09:37 - 17:12 (07:35) wflamme pts/6 190.210.7.0 Thu Apr 5 09:02 - 17:13 (08:11) wflamme pts/3 124.131.10.0 Thu Apr 5 09:02 - 17:13 (08:11) wflamme pts/2 Thu Apr 5 09:02 - 17:13 (08:11) wflamme pts/1 244.246.9.0 Thu Apr 5 09:02 - 17:13 (08:11) wflamme pts/0 116.216.9.0 Thu Apr 5 09:02 - 17:13 (08:11) wflamme tty2 0.0.0.0 Thu Apr 5 09:01 - 17:15 (08:13) Und wessen Rechner hat schon eine 0 als 4. Teil der IP-Adresse? ;-) Die whois-Auskuft sagt mir, dass 190.210.7.0 nicht vergeben ist... Habe an diesem Tag meinen Rechner also gegen 9 Uhr in Betrieb genommen und mich im Runlevel 3 angemeldet. Per startx habe ich KDE aufgerufen und dort sind per Default 4 Shells in einem Fenster offen. In diesem Fall kam vielleicht noch eine kssh-Verbindung dazu. Eine halbe Stunde später habe ich die nächste kssh-Verbindung geöffnet... Aber woher die IP-Adressen kommen, wissen die Götter, meine Firma hat 141.65.x.y... Es gibt allerdings auch "echte" Besucher - Username und IP-Adresse sind dann aus unserem Bestand (mein PC authentifiziert gegen LDAP, SSH ist firmenintern erlaubt). Gruß Werner - -- Werner Flamme, Abt. WKDV Helmholtz-Zentrum für Umweltforschung GmbH - UFZ Permoserstr. 15 - 04318 Leipzig Tel.: (0341) 235-3921 - Fax (0341) 235-453921 http://www.ufz.de - eMail: werner.flamme@ufz.de -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org iD8DBQFGLgLDk33Krq8b42MRAi8xAJ9nBj2tzJgz9xAp5RjztiRs5ByIkACfbW36 0XR5/y1sYDeFCF+ckG1hQMQ= =WAOz -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 23. April 2007 schrieb Lentes, Bernd: Hallo zusammen, ich schiebe das einfach mal so hier rein. Gestern Abend meinte mein Bekannter, er habe das Problem mit den Zufalls-IP's per "last -i" nicht. Heute hat er ein Update eingespielt und nun kennt er es auch. rpm -qa --last | grep Apr >/home/<Username>/lastrpm.txt Zeigt alle Pakete, die er sich heute neu raufgezogen hat. Eines davon ist Schuld an dem Kram. Leider bin ich ab morgen wieder auf Dienstreise und kann auf die Schnelle nicht "Basteln". Vielleicht interessiert sich aber trotzdem schonmal jemand fuer die Liste der neu eingespielten rpm's Ich tippe mal ganz stark auf den neuen X-Server. Vieles aus der Liste sollte nichts mit dem eigentlichen Problem zu tun haben. Trotzdem schicke ich mal die komplette Update-Liste mit. (ich hoffe, der Anhang von 1,2 KB kommt durch) MfG Th. Moritz libexiv2-0.12-101.pm.1 Di 24 Apr 2007 16:55:13 CEST jack-0.103.0-142.pm.1 Di 24 Apr 2007 16:54:55 CEST kaffeine-0.8.4-0.pm.3 Di 24 Apr 2007 16:54:51 CEST transcode-1.0.3-0.pm.1 Di 24 Apr 2007 16:54:22 CEST xine-lib-32bit-1.1.2-40.3 Di 24 Apr 2007 16:51:37 CEST 3gpwiz-1.3-0.pm.1 Di 24 Apr 2007 16:40:07 CEST xorg-x11-Xvnc-7.1-33.3 Di 24 Apr 2007 15:21:35 CEST xorg-x11-server-7.2-30.6 Di 24 Apr 2007 15:21:30 CEST wxGTK-2.6.3.3-30.2 Di 24 Apr 2007 15:21:12 CEST kchmviewer-2.6-40.1 Di 24 Apr 2007 15:21:03 CEST xorg-x11-libs-7.2-21 Di 24 Apr 2007 15:21:00 CEST xorg-x11-libs-32bit-7.2-21 Di 24 Apr 2007 15:20:55 CEST avahi-0.6.14-36 Di 24 Apr 2007 15:20:50 CEST man-2.4.3-28 Di 24 Apr 2007 15:20:46 CEST xorg-x11-libX11-7.2-15 Di 24 Apr 2007 15:20:41 CEST xorg-x11-libX11-32bit-7.2-15 Di 24 Apr 2007 15:20:34 CEST chmlib-0.39-1.2 Di 24 Apr 2007 15:20:31 CEST
Hallo Thomas, ich habe zwar auch den X-Server in Verdacht, habe aber ganz andere X-Versionen als Du in Betrieb. Beispielhaft mal hier von der SuSE 9.2-Kiste: pc51329:~ # rpm -qa |grep xorg xorg-x11-Mesa-6.8.1-15.1 xorg-x11-server-6.8.1-15.6 xorg-x11-6.8.1-15.1 xorg-x11-server-glx-6.8.1-15.1 xorg-x11-devel-6.8.1-15 xorg-x11-Mesa-devel-6.8.1-15 xorg-x11-fonts-scalable-6.8.1-15.1 xorg-x11-Xvnc-6.8.1-15.1 xorg-x11-libs-6.8.1-15.7 xorg-x11-fonts-75dpi-6.8.1-15.5 pc51329:~ # rpm -qa |grep x11 yast2-x11-2.10.8-2.1 xorg-x11-Mesa-6.8.1-15.1 xorg-x11-server-6.8.1-15.6 xorg-x11-6.8.1-15.1 ghostscript-x11-7.07.1rc1-207.1 heimdal-x11-0.6.2-8 xorg-x11-server-glx-6.8.1-15.1 emacs-x11-21.3-193 xorg-x11-devel-6.8.1-15 xorg-x11-Mesa-devel-6.8.1-15 xorg-x11-fonts-scalable-6.8.1-15.1 xorg-x11-Xvnc-6.8.1-15.1 xorg-x11-libs-6.8.1-15.7 xorg-x11-fonts-75dpi-6.8.1-15.5 Das sieht doch sehr anders aus als bei Dir, was für mich dann einen Bug im X/xdm wiederum unwahrscheinlicher erscheinen lässt. Bernd -----Original Message----- From: Thomas Moritz [mailto:thm_ml@thmoritz.de] Sent: Tuesday, April 24, 2007 8:51 PM To: opensuse-de@opensuse.org Subject: Update ist schuld (Re: Problem mit last (/var/log/wtmp)) Hallo zusammen, ich schiebe das einfach mal so hier rein. Gestern Abend meinte mein Bekannter, er habe das Problem mit den Zufalls-IP's per "last -i" nicht. Heute hat er ein Update eingespielt und nun kennt er es auch. rpm -qa --last | grep Apr >/home/<Username>/lastrpm.txt Zeigt alle Pakete, die er sich heute neu raufgezogen hat. Eines davon ist Schuld an dem Kram. Leider bin ich ab morgen wieder auf Dienstreise und kann auf die Schnelle nicht "Basteln". Vielleicht interessiert sich aber trotzdem schonmal jemand fuer die Liste der neu eingespielten rpm's Ich tippe mal ganz stark auf den neuen X-Server. Vieles aus der Liste sollte nichts mit dem eigentlichen Problem zu tun haben. Trotzdem schicke ich mal die komplette Update-Liste mit. (ich hoffe, der Anhang von 1,2 KB kommt durch) MfG Th. Moritz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
Felix Nawroth -
Fred Ockert -
Lentes, Bernd -
Sebastian Koerner -
Thomas Moritz -
Werner Flamme