Realmente intrigado.....¿Alguien sabe que podria ser?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hola: Si hago un "last -di" , me sale: peter pts/2 0.0.0.0 Thu Mar 17 23:26 still logged in peter pts/1 0.0.0.0 Thu Mar 17 23:24 still logged in peter pts/1 0.0.0.0 Thu Mar 17 23:08 - 23:09 (00:01) peter pts/1 0.0.0.0 Thu Mar 17 22:22 - 22:24 (00:02) peter pts/1 0.0.0.0 Thu Mar 17 22:20 - 22:21 (00:01) peter pts/1 0.0.0.0 Thu Mar 17 15:57 - 16:01 (00:03) peter pts/3 0.0.0.0 Thu Mar 17 15:20 - 15:56 (00:36) peter pts/1 0.0.0.0 Thu Mar 17 15:11 - 15:11 (00:00) peter pts/1 0.0.0.0 Thu Mar 17 11:12 - 11:12 (00:00) peter pts/0 0.0.0.0 Thu Mar 17 11:11 still logged in peter :0 220.138.236.183 Thu Mar 17 11:10 still logged in reboot system boot 0.0.0.0 Thu Mar 17 11:08 (12:22) peter pts/1 0.0.0.0 Thu Mar 17 02:25 - 02:26 (00:01) peter pts/3 0.0.0.0 Thu Mar 17 01:53 - 01:53 (00:00) peter pts/1 0.0.0.0 Wed Mar 16 20:26 - 20:26 (00:00) peter pts/1 0.0.0.0 Wed Mar 16 20:16 - 20:16 (00:00) peter pts/0 0.0.0.0 Wed Mar 16 20:16 - down (06:11) peter :0 220.138.236.183 Wed Mar 16 20:15 - 02:27 (06:11) peter pts/1 0.0.0.0 Wed Mar 16 19:30 - 19:30 (00:00) peter pts/0 0.0.0.0 Wed Mar 16 19:29 - 20:16 (00:46) peter :0 220.138.236.183 Wed Mar 16 19:29 - 20:14 (00:45) reboot system boot 0.0.0.0 Wed Mar 16 19:27 (06:59) peter pts/3 0.0.0.0 Wed Mar 16 17:29 - 17:31 (00:01) peter pts/3 0.0.0.0 Wed Mar 16 17:23 - 17:25 (00:01) peter pts/1 0.0.0.0 Wed Mar 16 17:06 - 17:06 (00:00) peter pts/0 0.0.0.0 Wed Mar 16 17:05 - 17:32 (00:27) peter :0 220.138.236.183 Wed Mar 16 17:05 - 17:32 (00:27) reboot system boot 0.0.0.0 Wed Mar 16 17:02 (00:30) peter pts/2 0.0.0.0 Wed Mar 16 12:03 - 12:05 (00:01) peter pts/2 0.0.0.0 Wed Mar 16 11:57 - 12:03 (00:05) peter pts/2 0.0.0.0 Wed Mar 16 10:53 - 11:13 (00:19) peter pts/3 0.0.0.0 Wed Mar 16 10:42 - 11:13 (00:30) peter pts/2 0.0.0.0 Wed Mar 16 10:27 - 10:53 (00:25) peter pts/2 0.0.0.0 Wed Mar 16 09:24 - 09:24 (00:00) peter pts/2 0.0.0.0 Wed Mar 16 09:00 - 09:00 (00:00) peter pts/1 0.0.0.0 Wed Mar 16 08:59 - down (08:02) peter :0 220.122.236.183 Wed Mar 16 08:58 - down (08:02) peter :0 220.122.236.183 Wed Mar 16 08:58 - 08:58 (00:00) reboot system boot 0.0.0.0 Wed Mar 16 08:56 (08:04) peter pts/2 0.0.0.0 Wed Mar 16 01:18 - 01:26 (00:08) peter pts/2 0.0.0.0 Wed Mar 16 00:59 - 01:03 (00:03) peter pts/2 0.0.0.0 Wed Mar 16 00:55 - 00:56 (00:00) peter pts/2 0.0.0.0 Tue Mar 15 22:49 - 22:50 (00:00) peter pts/2 0.0.0.0 Tue Mar 15 21:34 - 21:39 (00:05) peter pts/2 0.0.0.0 Tue Mar 15 21:16 - 21:24 (00:07) peter pts/2 0.0.0.0 Tue Mar 15 21:09 - 21:11 (00:02) peter pts/2 0.0.0.0 Tue Mar 15 21:07 - 21:07 (00:00) peter pts/2 0.0.0.0 Tue Mar 15 21:04 - 21:06 (00:01) peter pts/2 0.0.0.0 Tue Mar 15 20:17 - 20:18 (00:00) peter pts/4 0.0.0.0 Tue Mar 15 20:00 - 20:00 (00:00) peter pts/2 0.0.0.0 Tue Mar 15 19:58 - 20:04 (00:05) peter pts/4 0.0.0.0 Tue Mar 15 19:20 - 19:52 (00:31) peter pts/2 0.0.0.0 Tue Mar 15 18:34 - 19:07 (00:33) peter pts/2 0.0.0.0 Tue Mar 15 16:56 - 17:00 (00:04) peter pts/2 0.0.0.0 Tue Mar 15 12:29 - 12:29 (00:00) peter pts/1 0.0.0.0 Tue Mar 15 12:28 - down (13:03) peter :0 220.122.236.183 Tue Mar 15 12:27 - 01:31 (13:03) peter :0 220.122.236.183 Tue Mar 15 12:27 - 12:27 (00:00) reboot system boot 0.0.0.0 Tue Mar 15 12:21 (13:10) peter pts/2 0.0.0.0 Tue Mar 15 01:47 - 01:50 (00:03) peter pts/2 0.0.0.0 Mon Mar 14 21:46 - 21:46 (00:00) peter pts/2 0.0.0.0 Mon Mar 14 21:17 - 21:19 (00:01) peter pts/1 0.0.0.0 Mon Mar 14 21:15 - 01:58 (04:42) peter :0 220.122.236.183 Mon Mar 14 21:15 - 01:58 (04:42) peter :0 220.122.236.183 Mon Mar 14 21:15 - 21:15 (00:00) peter pts/2 0.0.0.0 Mon Mar 14 21:13 - 21:13 (00:00) peter pts/2 0.0.0.0 Mon Mar 14 20:25 - 20:39 (00:13) peter pts/2 0.0.0.0 Mon Mar 14 16:52 - 17:04 (00:12) peter pts/0 0.0.0.0 Mon Mar 14 16:30 - 16:41 (00:11) peter pts/5 0.0.0.0 Mon Mar 14 16:24 - 16:26 (00:01) peter pts/0 0.0.0.0 Mon Mar 14 13:03 - 13:09 (00:05) peter pts/0 0.0.0.0 Mon Mar 14 12:42 - 12:43 (00:01) peter pts/0 0.0.0.0 Mon Mar 14 12:35 - 12:37 (00:02) peter pts/0 0.0.0.0 Mon Mar 14 12:34 - 12:34 (00:00) peter pts/0 0.0.0.0 Mon Mar 14 12:33 - 12:34 (00:01) peter pts/0 0.0.0.0 Mon Mar 14 12:31 - 12:32 (00:00) peter pts/0 0.0.0.0 Mon Mar 14 12:28 - 12:29 (00:00) peter pts/0 0.0.0.0 Mon Mar 14 10:57 - 10:57 (00:00) peter pts/1 0.0.0.0 Mon Mar 14 10:53 - 21:15 (10:21) peter :0 220.138.236.183 Mon Mar 14 10:53 - 21:15 (10:22) peter :0 220.138.236.183 Mon Mar 14 10:53 - 10:53 (00:00) root tty1 0.0.0.0 Mon Mar 14 10:48 - 10:54 (00:06) peter :0 220.138.236.183 Mon Mar 14 10:47 - 10:47 (00:00) peter :0 220.138.236.183 Mon Mar 14 10:47 - 10:47 (00:00) peter :0 220.138.236.183 Mon Mar 14 10:45 - 10:46 (00:00) peter :0 220.138.236.183 Mon Mar 14 10:45 - 10:45 (00:00) reboot system boot 0.0.0.0 Mon Mar 14 10:42 (15:16) peter :0 220.138.3.64 Mon Mar 14 00:11 - 00:11 (00:00) peter :0 220.138.3.64 Mon Mar 14 00:11 - 00:11 (00:00) peter :0 220.138.3.64 Mon Mar 14 00:10 - 00:10 (00:00) peter :0 220.138.3.64 Mon Mar 14 00:10 - 00:10 (00:00) peter :0 220.138.3.64 Mon Mar 14 00:09 - 00:09 (00:00) peter :0 220.138.3.64 Mon Mar 14 00:09 - 00:09 (00:00) root tty1 0.0.0.0 Mon Mar 14 00:08 - 00:09 (00:00) peter :0 220.138.3.64 Mon Mar 14 00:06 - 00:08 (00:01) peter :0 220.138.3.64 Mon Mar 14 00:06 - 00:06 (00:00) peter :0 220.138.3.64 Mon Mar 14 00:05 - 00:06 (00:00) peter :0 220.138.3.64 Mon Mar 14 00:05 - 00:05 (00:00) peter pts/1 0.0.0.0 Sun Mar 13 23:31 - 23:58 (00:26) peter pts/2 0.0.0.0 Sun Mar 13 23:04 - 23:22 (00:17) peter pts/2 0.0.0.0 Sun Mar 13 22:59 - 23:01 (00:01) peter pts/2 0.0.0.0 Sun Mar 13 22:55 - 22:55 (00:00) peter pts/1 0.0.0.0 Sun Mar 13 22:52 - 23:20 (00:28) peter pts/1 0.0.0.0 Sun Mar 13 22:39 - 22:48 (00:08) peter pts/1 0.0.0.0 Sun Mar 13 21:29 - 21:37 (00:07) peter pts/1 0.0.0.0 Sun Mar 13 21:26 - 21:26 (00:00) peter pts/1 0.0.0.0 Sun Mar 13 21:25 - 21:26 (00:00) peter pts/1 0.0.0.0 Sun Mar 13 21:21 - 21:24 (00:02) peter pts/1 0.0.0.0 Sun Mar 13 20:37 - 20:39 (00:01) peter pts/1 0.0.0.0 Sun Mar 13 20:12 - 20:29 (00:17) peter pts/1 0.0.0.0 Sun Mar 13 19:49 - 19:50 (00:01) peter pts/1 0.0.0.0 Sun Mar 13 19:48 - 19:48 (00:00) peter pts/0 0.0.0.0 Sun Mar 13 19:45 - down (04:26) peter :0 220.138.3.64 Sun Mar 13 19:44 - 00:04 (04:19) peter :0 220.138.3.64 Sun Mar 13 19:44 - 19:44 (00:00) peter tty2 0.0.0.0 Sun Mar 13 19:13 - 19:19 (00:06) peter tty1 0.0.0.0 Sun Mar 13 18:59 - 19:48 (00:49) reboot system boot 0.0.0.0 Sun Mar 13 18:56 (05:14) peter pts/4 0.0.0.0 Sun Mar 13 18:50 - 18:51 (00:01) peter pts/4 0.0.0.0 Sun Mar 13 17:26 - 17:26 (00:00) peter :0 248.112.3.64 Sat Mar 12 12:15 - down (1+06:39) peter :0 248.112.3.64 Sat Mar 12 12:15 - 12:15 (00:00) reboot system boot 0.0.0.0 Sat Mar 12 12:14 (1+06:40) peter :0 248.112.3.64 Fri Mar 11 05:02 - 05:53 (1+00:51) peter :0 248.112.3.64 Fri Mar 11 05:02 - 05:02 (00:00) reboot system boot 0.0.0.0 Fri Mar 11 05:00 (1+00:54) peter :0 248.112.3.64 Thu Mar 10 10:32 - 01:37 (15:05) peter :0 248.112.3.64 Thu Mar 10 10:32 - 10:32 (00:00) reboot system boot 0.0.0.0 Thu Mar 10 10:30 (15:08) peter :0 248.112.3.64 Wed Mar 9 14:53 - 02:32 (11:39) peter :0 248.112.3.64 Wed Mar 9 14:53 - 14:53 (00:00) peter pts/2 0.0.0.0 Wed Mar 9 13:09 - 13:12 (00:03) peter pts/2 0.0.0.0 Wed Mar 9 13:03 - 13:04 (00:00) peter :0 248.112.3.64 Wed Mar 9 11:37 - 14:52 (03:15) peter :0 248.112.3.64 Wed Mar 9 11:37 - 11:37 (00:00) reboot system boot 0.0.0.0 Wed Mar 9 11:34 (14:58) peter :0 248.112.3.64 Wed Mar 9 08:03 - 08:43 (00:39) peter :0 248.112.3.64 Wed Mar 9 08:03 - 08:03 (00:00) reboot system boot 0.0.0.0 Wed Mar 9 08:02 (00:41) peter :0 248.112.3.64 Tue Mar 8 19:10 - 02:20 (07:10) peter :0 248.112.3.64 Tue Mar 8 19:10 - 19:10 (00:00) reboot system boot 0.0.0.0 Tue Mar 8 19:03 (07:16) peter :0 248.112.3.64 Tue Mar 8 14:18 - 18:14 (03:55) peter :0 248.112.3.64 Tue Mar 8 14:18 - 14:18 (00:00) reboot system boot 0.0.0.0 Tue Mar 8 14:07 (04:07) peter :0 248.112.3.64 Tue Mar 8 00:28 - 03:09 (02:40) peter :0 248.112.3.64 Tue Mar 8 00:28 - 00:28 (00:00) reboot system boot 0.0.0.0 Tue Mar 8 00:26 (02:42) peter :0 248.112.3.64 Mon Mar 7 22:10 - crash (02:15) peter :0 248.112.3.64 Mon Mar 7 22:10 - 22:10 (00:00) peter :0 248.112.3.64 Mon Mar 7 22:09 - 22:10 (00:00) peter :0 248.112.3.64 Mon Mar 7 22:09 - 22:09 (00:00) peter :0 248.112.3.64 Mon Mar 7 22:05 - 22:09 (00:04) peter :0 248.112.3.64 Mon Mar 7 22:05 - 22:05 (00:00) peter :0 248.112.3.64 Mon Mar 7 22:04 - 22:04 (00:00) peter :0 248.112.3.64 Mon Mar 7 22:04 - 22:04 (00:00) peter pts/1 0.0.0.0 Mon Mar 7 21:56 - 22:03 (00:07) peter :0 248.112.3.64 Mon Mar 7 21:56 - 22:03 (00:07) peter :0 248.112.3.64 Mon Mar 7 21:56 - 21:56 (00:00) peter :0 248.112.3.64 Mon Mar 7 21:54 - 21:55 (00:00) peter :0 248.112.3.64 Mon Mar 7 21:54 - 21:54 (00:00) peter tty1 0.0.0.0 Mon Mar 7 21:53 - 21:54 (00:00) peter :0 248.112.3.64 Mon Mar 7 21:53 - 21:54 (00:01) peter :0 248.112.3.64 Mon Mar 7 21:53 - 21:53 (00:00) reboot system boot 0.0.0.0 Mon Mar 7 21:51 (05:18) peter tty1 0.0.0.0 Mon Mar 7 21:28 - down (00:21) peter pts/1 0.0.0.0 Mon Mar 7 21:27 - down (00:22) peter :0 248.112.3.64 Mon Mar 7 21:27 - down (00:22) peter :0 248.112.3.64 Mon Mar 7 21:27 - 21:27 (00:00) reboot system boot 0.0.0.0 Mon Mar 7 21:25 (00:24) root :0 248.112.3.64 Mon Mar 7 20:11 - 20:56 (00:44) root :0 248.112.3.64 Mon Mar 7 20:11 - 20:11 (00:00) root :0 248.112.3.64 Mon Mar 7 20:10 - 20:11 (00:00) root :0 248.112.3.64 Mon Mar 7 20:10 - 20:10 (00:00) peter :0 248.112.3.64 Mon Mar 7 20:09 - 20:10 (00:00) peter :0 248.112.3.64 Mon Mar 7 20:09 - 20:09 (00:00) root :0 248.112.3.64 Mon Mar 7 20:01 - 20:07 (00:06) root :0 248.112.3.64 Mon Mar 7 20:01 - 20:01 (00:00) peter :0 248.112.3.64 Mon Mar 7 20:00 - 20:00 (00:00) peter :0 248.112.3.64 Mon Mar 7 20:00 - 20:00 (00:00) peter pts/1 0.0.0.0 Mon Mar 7 19:58 - down (00:58) peter :0 248.112.3.64 Mon Mar 7 19:58 - 19:59 (00:01) peter :0 248.112.3.64 Mon Mar 7 19:58 - 19:58 (00:00) peter :0 248.112.3.64 Mon Mar 7 19:56 - 19:56 (00:00) peter :0 248.112.3.64 Mon Mar 7 19:56 - 19:56 (00:00) peter tty1 0.0.0.0 Mon Mar 7 19:51 - down (01:05) root :0 248.112.3.64 Mon Mar 7 19:50 - 19:51 (00:01) root :0 248.112.3.64 Mon Mar 7 19:50 - 19:50 (00:00) peter :0 248.112.3.64 Mon Mar 7 19:49 - 19:50 (00:00) peter :0 248.112.3.64 Mon Mar 7 19:49 - 19:49 (00:00) reboot system boot 0.0.0.0 Mon Mar 7 19:48 (01:09) peter pts/71 0.0.0.0 Mon Mar 7 19:40 - 19:40 (00:00) peter pts/69 0.0.0.0 Mon Mar 7 19:28 - 19:42 (00:14) peter pts/67 0.0.0.0 Mon Mar 7 17:15 - down (02:31) peter pts/65 0.0.0.0 Mon Mar 7 16:56 - 16:58 (00:01) peter pts/64 0.0.0.0 Mon Mar 7 16:54 - 17:11 (00:16) peter pts/63 0.0.0.0 Mon Mar 7 16:20 - 16:21 (00:01) peter pts/62 0.0.0.0 Mon Mar 7 16:18 - 16:19 (00:01) peter pts/52 0.0.0.0 Mon Mar 7 14:59 - 15:30 (00:30) peter pts/49 0.0.0.0 Mon Mar 7 14:34 - 14:34 (00:00) peter pts/47 0.0.0.0 Mon Mar 7 14:15 - 14:16 (00:01) peter pts/45 0.0.0.0 Mon Mar 7 12:57 - 13:01 (00:03) peter pts/44 0.0.0.0 Mon Mar 7 12:48 - 14:59 (02:10) peter pts/43 0.0.0.0 Mon Mar 7 12:42 - 12:42 (00:00) peter :0 248.112.3.64 Mon Mar 7 12:37 - 19:42 (07:05) peter :0 248.112.3.64 Mon Mar 7 12:37 - 12:37 (00:00) reboot system boot 0.0.0.0 Mon Mar 7 12:36 (07:10) y mirando con "whois IP" me salen conexiones a Taiwan...salvo con la correspondiente 248.112.3.64 que dice: "No whois server is known for this kind of object." La pregunta es: Suponiendo que la IP 248.112.3.64 sea de uso interno de mi entorno de ventanas (KDE) y que por eso no tiene respuesta whois...¿Quien o quienes son las otras que me dicen que son de Tw? Ni chkrootkit ni rkhunter me encuentran nada extraño y mi antivirus (Clamav / Klamav) tampoco. Agradeceria cualquier respuesta. Un saludo Peter Holm. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iQIVAwUBQjoGaS+g7+3ZFf1AAQKWgA/+M4zEKtLHclPpwco+zCMFMVrW6qxJS7wE 3dQbOpZo2uPjcYg8zT+IPkjGhNX13UxCRrJ62vGGL/KjUaCrWSbL6OzHk4S3tVxa kun/43GU79iCKosymYgHQfBK4LRbxmEWLUKp1GelJq6W3+4m6+1aqFOmENPj49IB jghBlRaZfMPXMOngzwmjRU9GwBfL94Pp+xM9xQ4qNv7chrNMuXQWIHD6qznXJB4o cP/9uW8dFcvRd135X4XfJtp8YhbDtVDRItwrLdqkLw1qN078349xbpVJDR8x0yge 1pRmV42SI2HWMVYQkejc8TTRL+9zciQdTQ/y4/Qrx69QMpBvmRNOW3rQ+vbxKnZn nW8WRm/lo9kaw3zc1WCgskZHNQ366rEXGCiM+4uz0lVyk6OxNLbxZXLROdcFnNyD rOBHf8DD5vsWnyZ1cv7I4nhz6/fl0KPji0S5wMYBBPtpPDBHZFsZNvp99A7Y7oJG sEEQakZpvjwqyYQAOHPMkB6/QCRZDOizINwR3cags8lAgZNKVsqaxKczQL25iQ9n GNtNhyxgkmRRGHtSjIXb5/19CX6/m6YKQSQ09YqVetwEc+spthRo46KIrk70HyB9 1vEZqjp28FVzC6FVZds75X0JxjOi/yEjxP0SqK6oj/tGHkACxEdona2MIV6V8gqH juWZAZMavJM= =lbm+ -----END PGP SIGNATURE-----
Hola. El Jueves, 17 de Marzo de 2005 23:36, Peter Holm escribió:
Hola: Si hago un "last -di" , me sale:
La pregunta es: Suponiendo que la IP 248.112.3.64 sea de uso interno de mi entorno de ventanas (KDE) y que por eso no tiene respuesta whois...¿Quien o quienes son las otras que me dicen que son de Tw?
eso mismo me pasa a mi, la direccion que me sale es de Japon!!!! alguien sabe de que va esto? -- Un Saludo. Carlos Lorenzo Matés
El 2005-03-17 a las 23:36 +0100, Peter Holm escribió:
Si hago un "last -di" , me sale:
peter pts/2 0.0.0.0 Thu Mar 17 23:26 still logged in peter pts/1 0.0.0.0 Thu Mar 17 23:24 still logged in peter pts/1 0.0.0.0 Thu Mar 17 23:08 - 23:09 (00:01) peter pts/1 0.0.0.0 Thu Mar 17 22:22 - 22:24 (00:02) peter pts/1 0.0.0.0 Thu Mar 17 22:20 - 22:21 (00:01) peter pts/1 0.0.0.0 Thu Mar 17 15:57 - 16:01 (00:03) peter pts/3 0.0.0.0 Thu Mar 17 15:20 - 15:56 (00:36) peter pts/1 0.0.0.0 Thu Mar 17 15:11 - 15:11 (00:00) peter pts/1 0.0.0.0 Thu Mar 17 11:12 - 11:12 (00:00) peter pts/0 0.0.0.0 Thu Mar 17 11:11 still logged in peter :0 220.138.236.183 Thu Mar 17 11:10 still logged in reboot system boot 0.0.0.0 Thu Mar 17 11:08 (12:22) peter pts/1 0.0.0.0 Thu Mar 17 02:25 - 02:26 (00:01) peter pts/3 0.0.0.0 Thu Mar 17 01:53 - 01:53 (00:00) peter pts/1 0.0.0.0 Wed Mar 16 20:26 - 20:26 (00:00)
Hum. :-/
y mirando con "whois IP" me salen conexiones a Taiwan...salvo con la correspondiente 248.112.3.64 que dice: "No whois server is known for this kind of object."
Si, a mi me sale como 248.0.4.64, pero si uso "last" a secas, me sale "console" en esas lineas.
La pregunta es: Suponiendo que la IP 248.112.3.64 sea de uso interno de mi entorno de ventanas (KDE) y que por eso no tiene respuesta whois...¿Quien o quienes son las otras que me dicen que son de Tw?
¿No se ven esas entradas en el log del firewall también? Pues yo diría que te han entrado. Saben tu password.
Ni chkrootkit ni rkhunter me encuentran nada extraño y mi antivirus (Clamav / Klamav) tampoco.
¿Que tienes abierto en el firewall, desde el exterior? Ahora bien... Yo prefiero el comando "last" a secas. -di me confunde. Pensemos... Pero veamos de nuevo este par de lineas:
peter :0 220.138.236.183 Thu Mar 17 11:10 still logged in reboot system boot 0.0.0.0 Thu Mar 17 11:08 (12:22)
Es la primera "conexión" desde que se arranca el sistema, unos meros dos minutos después. Si no fuera por la IP, yo diría que eres tu mismo. Y, si no lo fueras, tu conexión a las X debería aparecer, porque esa linea es precisamente una conexión a las X. El resto de las lineas son terminales. Yo diría que eres tu mismo; lo que no entiendo, es la IP con la que aparece. ¿Como te conectas, usas dhcp? ¿Concuerda "last -di" con "last"? -- Saludos Carlos Robinson
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Carlos E. R. wrote:
El 2005-03-17 a las 23:36 +0100, Peter Holm escribió:
peter pts/1 0.0.0.0 Wed Mar 16 20:26 - 20:26 (00:00)
Hum. :-/
y mirando con "whois IP" me salen conexiones a Taiwan...salvo con la correspondiente 248.112.3.64 que dice: "No whois server is known for this kind of object."
Si, a mi me sale como 248.0.4.64, pero si uso "last" a secas, me sale "console" en esas lineas.
La pregunta es: Suponiendo que la IP 248.112.3.64 sea de uso interno de mi entorno de ventanas (KDE) y que por eso no tiene respuesta whois...¿Quien o quienes son las otras que me dicen que son de Tw?
¿No se ven esas entradas en el log del firewall también? Pues yo diría que te han entrado. Saben tu password.
En el cortafuegos solo me salen las del broadcast del router, desde 192.168.1.1 a 192.168.1.255, hace tiempo que no salen mas asientos..... por eso instale ayer el Firestarter, a ver si "veo" algo mas....
Ni chkrootkit ni rkhunter me encuentran nada extraño y mi antivirus (Clamav / Klamav) tampoco.
¿Que tienes abierto en el firewall, desde el exterior?
Que yo sepa nada, anule el rlogin -rkhunter dice que no se permite rlogin- y solo permito conex ssh 2 (por si acaso, supongo que cerrando el rlogin lo del ssh ya no seria necesario, pero lo dicho: por si acaso)
Ahora bien...
Yo prefiero el comando "last" a secas. -di me confunde.
Pensemos...
Pero veamos de nuevo este par de lineas:
peter :0 220.138.236.183 Thu Mar 17 11:10 still logged in reboot system boot 0.0.0.0 Thu Mar 17 11:08 (12:22)
Es la primera "conexión" desde que se arranca el sistema, unos meros dos minutos después. Si no fuera por la IP, yo diría que eres tu mismo. Y, si no lo fueras, tu conexión a las X debería aparecer, porque esa linea es precisamente una conexión a las X. El resto de las lineas son terminales.
Yo diría que eres tu mismo; lo que no entiendo, es la IP con la que aparece. ¿Como te conectas, usas dhcp? ¿Concuerda "last -di" con "last"?
Copio los asientos equiv de last y last -di, son diferentes
last -di:
peter pts/2 0.0.0.0 Fri Mar 18 22:14 - 22:14 (00:00)
peter pts/0 0.0.0.0 Fri Mar 18 22:13 still logged in
peter :0 220.138.236.183 Fri Mar 18 22:13 still logged in
reboot system boot 0.0.0.0 Fri Mar 18 22:11 (13:41)
peter pts/3 0.0.0.0 Fri Mar 18 21:08 - 21:15 (00:06)
last a secas:
peter pts/2 Fri Mar 18 22:14 - 22:14 (00:00)
peter pts/0 Fri Mar 18 22:13 still logged in
peter :0 console Fri Mar 18 22:13 still logged in
reboot system boot 2.6.8-24.10-defa Fri Mar 18 22:11 (13:41)
peter pts/3 Fri Mar 18 21:08 - 21:15 (00:06)
con last a secas las IP que me salen son todas "cortas", de numeros bajos,
aunque tambien cambian igual que las "largas" manteniendo el cambio segun
la IP, es decir, a una misma IP "larga" le corresponde la misma IP ·"corta"
Uso DHCP, osea IP dinamica tanto del router "hacia la calle" como desde el
router a la red local, aunque esto lo tengo como ordenador independiente.
Un saludo, Peter Holm.
- --
<< ********************************************************************>>
¡¡¡ NO A LAS PATENTES !!!
http://petition.eurolinux.org/signatures.html
http://www.eurolinux.org/
GPG:0x9CCF37BD ~ Linux User: 318588 ~ Máquina Linux: 269188
<
El 2005-03-19 a las 12:12 +0100, Peter Holm escribió:
¿Que tienes abierto en el firewall, desde el exterior?
Que yo sepa nada, anule el rlogin -rkhunter dice que no se permite rlogin- y solo permito conex ssh 2 (por si acaso, supongo que cerrando el rlogin lo del ssh ya no seria necesario, pero lo dicho: por si acaso)
Si no necesitas hacer ssh desde el exterior, lo puedes cerrar. rlogin y ssh son servicios distintos. El rlogin es un predecesor del telnet, y no está encriptado. No debería usarse en internet.
Yo diría que eres tu mismo; lo que no entiendo, es la IP con la que aparece. ¿Como te conectas, usas dhcp? ¿Concuerda "last -di" con "last"?
Copio los asientos equiv de last y last -di, son diferentes last -di: peter pts/2 0.0.0.0 Fri Mar 18 22:14 - 22:14 (00:00) peter pts/0 0.0.0.0 Fri Mar 18 22:13 still logged in peter :0 220.138.236.183 Fri Mar 18 22:13 still logged in reboot system boot 0.0.0.0 Fri Mar 18 22:11 (13:41) peter pts/3 0.0.0.0 Fri Mar 18 21:08 - 21:15 (00:06)
last a secas: peter pts/2 Fri Mar 18 22:14 - 22:14 (00:00) peter pts/0 Fri Mar 18 22:13 still logged in peter :0 console Fri Mar 18 22:13 still logged in reboot system boot 2.6.8-24.10-defa Fri Mar 18 22:11 (13:41) peter pts/3 Fri Mar 18 21:08 - 21:15 (00:06)
con last a secas las IP que me salen son todas "cortas", de numeros bajos, aunque tambien cambian igual que las "largas" manteniendo el cambio segun la IP, es decir, a una misma IP "larga" le corresponde la misma IP ·"corta"
O sea, con -di: peter :0 220.138.236.183 Fri Mar 18 22:13 still logged in Sin:
peter :0 console Fri Mar 18 22:13 still logged in
O sea, eres tu mismo, por consola. Y la siguiente linea:
reboot system boot 2.6.8-24.10-defa Fri Mar 18 22:11 (13:41)
es la versión del kernel... Yo creo que ese comando se ha liado que no veas. Pues espera al lunes, y preguntalo en la lista inglesa, que tiene mucho más tráfico, o quizás incluso en la de seguridad - si hago caso de tu nombre imagino que hablas algún otro idioma además del español, posiblemente el inglés, ¿no? Y si no, pues lo pregunto yo por ti. Pon la salida de ambos "last" del dia 18 completos, y menciona que aparece en muchos más dias: pero no hace falta enviar la salida entera. También puedes probar con "last -d" a secas, y luego con "-i", para comparar. Me da en la nariz que esos dos son incompatibles, o hay un bug llamativo en el programa. -- Saludos Carlos Robinson
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Carlos E. R. wrote:
El 2005-03-17 a las 23:36 +0100, Peter Holm escribió:
Si hago un "last -di" , me sale:
peter pts/2 0.0.0.0 Thu Mar 17 23:26 still logged in peter pts/1 0.0.0.0 Thu Mar 17 23:24 still logged in peter pts/1 0.0.0.0 Thu Mar 17 23:08 - 23:09 (00:01) peter pts/1 0.0.0.0 Thu Mar 17 22:22 - 22:24 (00:02) peter pts/1 0.0.0.0 Thu Mar 17 22:20 - 22:21 (00:01) peter pts/1 0.0.0.0 Thu Mar 17 15:57 - 16:01 (00:03) peter pts/3 0.0.0.0 Thu Mar 17 15:20 - 15:56 (00:36) peter pts/1 0.0.0.0 Thu Mar 17 15:11 - 15:11 (00:00) peter pts/1 0.0.0.0 Thu Mar 17 11:12 - 11:12 (00:00) peter pts/0 0.0.0.0 Thu Mar 17 11:11 still logged in peter :0 220.138.236.183 Thu Mar 17 11:10 still logged in reboot system boot 0.0.0.0 Thu Mar 17 11:08 (12:22) peter pts/1 0.0.0.0 Thu Mar 17 02:25 - 02:26 (00:01) peter pts/3 0.0.0.0 Thu Mar 17 01:53 - 01:53 (00:00) peter pts/1 0.0.0.0 Wed Mar 16 20:26 - 20:26 (00:00)
Hum. :-/
y mirando con "whois IP" me salen conexiones a Taiwan...salvo con la correspondiente 248.112.3.64 que dice: "No whois server is known for this kind of object."
Si, a mi me sale como 248.0.4.64, pero si uso "last" a secas, me sale "console" en esas lineas.
La pregunta es: Suponiendo que la IP 248.112.3.64 sea de uso interno de mi entorno de ventanas (KDE) y que por eso no tiene respuesta whois...¿Quien o quienes son las otras que me dicen que son de Tw?
¿No se ven esas entradas en el log del firewall también? Pues yo diría que te han entrado. Saben tu password.
Ni chkrootkit ni rkhunter me encuentran nada extraño y mi antivirus (Clamav / Klamav) tampoco.
¿Que tienes abierto en el firewall, desde el exterior?
Ahora bien...
Yo prefiero el comando "last" a secas. -di me confunde.
Pensemos...
Pero veamos de nuevo este par de lineas:
peter :0 220.138.236.183 Thu Mar 17 11:10 still logged in reboot system boot 0.0.0.0 Thu Mar 17 11:08 (12:22)
Es la primera "conexión" desde que se arranca el sistema, unos meros dos minutos después. Si no fuera por la IP, yo diría que eres tu mismo. Y, si no lo fueras, tu conexión a las X debería aparecer, porque esa linea es precisamente una conexión a las X. El resto de las lineas son terminales.
Yo diría que eres tu mismo; lo que no entiendo, es la IP con la que aparece. ¿Como te conectas, usas dhcp? ¿Concuerda "last -di" con "last"?
Creo que ya esta ........ por lo que dicen en los foros podria ser un bug
del KDM, cuando hago last a secas me sale Console.....asi que no creo que
hayan entrado y como bien dices se activa al poco de arrancar el sistema,
ya que no hay mas IP que esa,debe ser la correspondiente a la conex. de las
X (KDE en mi caso).
Uso dhcp, osea : IP dinamica tanto de router hacia "el mundo exterior" como
desde el router hacia "dentro de casa".
Lo que me tiene mosqueado ahora es porque no me salen asientos de conex. en
los logs, ni en /var/log/messages , ni en /var/log/warn, ni en la pestaña
evantos del Firestarter.... tengo puesto como interface "eth0" y en mi
configuracion de YaST2 es "eth-bus-pcmcia" , aunque creo que da lo mismo
poner uno u otro (Firestarter solo me presenta "eht0" o "Tunel IPv6 (sit0)"
y que no se lo que es.
Un saludo y ¡gracias por tu ayuda! Peter Holm.
P.D. ¿Como es que no salió mi carta anterior?, tenia To Carlos E.R. y CC:
Listas SuSE Linux Español... ???
- --
<< ********************************************************************>>
¡¡¡ NO A LAS PATENTES !!!
http://petition.eurolinux.org/signatures.html
http://www.eurolinux.org/
GPG:0x9CCF37BD ~ Linux User: 318588 ~ Máquina Linux: 269188
<
El 2005-03-19 a las 20:25 +0100, Peter Holm escribió:
Creo que ya esta ........ por lo que dicen en los foros podria ser un bug del KDM,
¿Del kdm? :-o
cuando hago last a secas me sale Console.....asi que no creo que hayan entrado y como bien dices se activa al poco de arrancar el sistema, ya que no hay mas IP que esa,debe ser la correspondiente a la conex. de las X (KDE en mi caso).
Si, pero no tiene sentido que las X usen una IP publica. En cambio, la "248.0.4.64" debe ser un rango reservado, trata de hacer un "host 248.0.4.64" o un whois a ver que te sale. Pero no he localizado para que está reservado.
Uso dhcp, osea : IP dinamica tanto de router hacia "el mundo exterior" como desde el router hacia "dentro de casa". Lo que me tiene mosqueado ahora es porque no me salen asientos de conex. en los logs, ni en /var/log/messages , ni en /var/log/warn, ni en la pestaña evantos del Firestarter.... tengo puesto como interface "eth0" y en mi configuracion de YaST2 es "eth-bus-pcmcia" , aunque creo que da lo mismo poner uno u otro (Firestarter solo me presenta "eht0" o "Tunel IPv6 (sit0)" y que no se lo que es.
Bueno, esas son pseudoconexiones, van por la interfaz "lo", creo. De hecho, si haces un ping a la dirección IP de tu propia eth0, tampoco se ve. Parece que hay algo "inteligente" por ahí que lo envia directamente a "lo", y programas como ethereal no lo ven.
P.D. ¿Como es que no salió mi carta anterior?, tenia To Carlos E.R. y CC: Listas SuSE Linux Español... ???
No se, yo si he visto una tuya parecida a esta: Date: Sat, 19 Mar 2005 12:12:01 +0100 From: Peter Holm To: Carlos E. R. Cc: Listas Suse Linux Español Subject: Re: [suse-linux-s] Realmente intrigado.....¿Alguien sabe que podria ser? Pero no hace falta que me pongas en copia, me llega la lista. Si tu programa de correo respeta el hilado (y lo hace), me es bastante facil detectar las respuestas a correos mios, o en hilos en los que tengo interés especial. -- Saludos Carlos Robinson
Las direcciones por encima de 224.0.0.0 son direcciones de Multicast a excepcion de las ultimas "248.0.4.64" es una direccion multicast Seria interesante saber que TTL tiene los paquetes con ese destino. Si el TTL es 1, los paquetes no pasarn mas alla del proximo router. Un saludo lluis
El 2005-03-20 a las 23:20 +0100, lmartinez escribió:
Las direcciones por encima de 224.0.0.0 son direcciones de Multicast a excepcion de las ultimas
"248.0.4.64" es una direccion multicast
Pues no encaja muy bien, porque son conexiones establecidas, de horas. Mira: cer :0 248.48.4.64 Sun Mar 20 13:12 - 16:04 (02:51) Casi tres horas conectado con esa IP. Ahora mismo, también estoy conectado: cer :0 248.48.4.64 Mon Mar 21 12:01 still logged in Pero sólo sale con "last -di", ni iptraf ni nada.
Seria interesante saber que TTL tiene los paquetes con ese destino.
No se pueden ver :-/
Si el TTL es 1, los paquetes no pasarn mas alla del proximo router.
Puedo intentar abrir un iptraf en consola mientras abro las X, para ver si se ven :-? Pues con iptraf se ven (gnome) un montón de conexiones de y a localhost al puerto de sunrpc (el 111), nada más. -- Saludos Carlos Robinson
Ojo puedo estar metiendo mucho la pata, solo es una idea Podria ser que tu equipo realice algunas funciones con el mismo o con otros cercanos a traves de una conexion multicast Eso al fin y al cabo es como utilizar las X con conexion a socket remoto. Para poder ver que pasa, yo conectaria otro pc al del problema, con un HUB (No sirve un SWITCH) y mediante el ethereal miraria si esos paquetes existen realmente en el exterior del equipo. Has mirado si el tiempo de conexion coincide con tu tiempo de uso de algo??? Pd... Corto tu mensaje para que no me riñas otra vez. Un saludo cariñoso LLuis
El 2005-03-22 a las 18:24 +0100, lmartinez escribió:
Para poder ver que pasa, yo conectaria otro pc al del problema, con un HUB (No sirve un SWITCH) y mediante el ethereal miraria si esos paquetes existen realmente en el exterior del equipo.
No pueden existir. Pruebalo: cer@nimrodel:~> ping 248.48.4.64 connect: Invalid argument cer@nimrodel:~> host 248.48.4.64 Host 64.4.48.248.in-addr.arpa not found: 3(NXDOMAIN) cer@nimrodel:~> whois 248.48.4.64 No whois server is known for this kind of object. Es imposible enviar paquetes a esa IP.
Has mirado si el tiempo de conexion coincide con tu tiempo de uso de algo???
Claro, justo el tiempo que estoy en mis sesiones X.
Pd... Corto tu mensaje para que no me riñas otra vez.
:-) -- Saludos Carlos Robinson
Sorry, se me quedo algo en el tintero Deberia ponerse en marcha el PC-Espia antes que el sistema a analizar. El saber como y cuando se produce esa conexion puede ser importante. Saludos lluis pd. Carlos ahora que ya has conseguido intrigarme a mi, no dudes en contar con mi colaboracion
El Martes, 22 de Marzo de 2005 18:28, lmartinez escribió:
Sorry, se me quedo algo en el tintero
Deberia ponerse en marcha el PC-Espia antes que el sistema a analizar.
El saber como y cuando se produce esa conexion puede ser importante.
Saludos
lluis
pd. Carlos ahora que ya has conseguido intrigarme a mi, no dudes en contar con mi colaboracion
¿Que es eso del PC-Espia?
Ahora solo me sale esto:
peter pts/3 0.0.0.0 Tue Mar 22 18:37 still logged in
peter pts/3 0.0.0.0 Tue Mar 22 18:35 - 18:37 (00:01)
peter pts/1 0.0.0.0 Tue Mar 22 18:30 still logged in
peter pts/1 0.0.0.0 Tue Mar 22 18:20 - 18:22 (00:01)
peter pts/0 0.0.0.0 Tue Mar 22 18:18 still logged in
peter :0 0.0.0.0 Tue Mar 22 18:18 still logged in
reboot system boot 0.0.0.0 Tue Mar 22 18:15 (00:22)
y en todos los arranques anteriores tambien me salen las IP como 0.0.0.0
esto es desde que actualice a Kde 3.4 y coloque kdm para arrancar (antes
tenia Gdm , pero Gnome se fue al garete al ponerse las letras ilegibles
(solo una rayita sin separaciones), por lo que me pase al KDE de forma
definitiva.
Uptime me da :
6:41PM funcionando 0:27, 4 usuarios, carga promedio: 1,24, 1,21, 1,1
ps:
PID TTY TIME CMD
11114 pts/3 00:00:00 bash
11488 pts/3 00:00:00 ps
No se si hay algo raro en esto (ahora ando con la paranoia "subida").
Un saludo,. Peter Holm.
--
<<********************************************************************>>
GnuPG ID: 0x9CCF37BD Linux user: 318588
<
http://www.telefonica.net/web/peter-holm Collaborative Intrusion Detection join "http://www.dshield.org/" <<********************************************************************>>
participants (5)
-
Carlos E. R.
-
Carlos Lorenzo Matés
-
lmartinez
-
Peter Holm
-
Peter Holm