-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Lentes, Bernd schrieb am 23.04.2007 17:38:
Hallo ML,
eher zufällig habe ich mit last ein bißchen in /var/log/wtmp rumgeschnüffelt (auf diversen SuSE-Systemen von 9.1 - 9.3). Dabei habe ich auf allen (immerhin 5 Stück) fremde IP's gefunden, die nicht zu unserem Netz gehören. Diese tauchen aber immer nur auf, wenn sich jemand per xdm einloggt, bei Einlogvorgängen über ssh oder an Konsolen (tty) tauchen die "richtigen", zu unserem Netz gehörenden IP's auf. Teilweise sind unsere Systeme Server, die z.B. Webdienste nach außen anbieten, teilweise aber auch Maschinen, die keine Dienste nach außen haben. Diese fremden IP's sind auf einigen Maschinen immer die gleichen, auf anderen immer unterschiedliche. Ich poste hier mal zwei Schnipsel, mit last -i |less erzeugt:
root pts/76 xxx Mon Apr 23 16:28 still logged in root pts/75 xxx Mon Apr 23 16:11 still logged in xxx :0 248.80.3.64 Tue Apr 17 08:36 still logged in
Mit xxx habe ich die Usernamen und unsere eigenen IP's gelöscht, man weiß ja nie mehr hier noch liest :-) Die Uhrzeiten dieser Einlogvorgänge stimmen immer genau mit graf. logins per xdm an der Maschine überein, das habe ich probiert und ist auch reproduzierbar. Kennt jemand dieses Problem, hat jemand eine Idee ? Danke. Bernd
Hallo Bernd, ich habe bei mir gerade ein last -i eingegeben. Die Uhrzeiten kann ich z. T. nachvollziehen, aber die IP-Adressen sind zufallsgeneriert... Anscheinend wird jedes Mal, wenn ich mich anmelde oder eine Shell aus KDE heraus öffne, eine Zufallszahl erzeugt und als IP-Adresse abgelegt ;-) Entweder spinnt last oder die Einträge in der Datenbank sind Ulk. Beispiel von last -i: wflamme pts/8 192.92.14.0 Thu Apr 5 09:37 - 17:12 (07:35) wflamme pts/6 190.210.7.0 Thu Apr 5 09:02 - 17:13 (08:11) wflamme pts/3 124.131.10.0 Thu Apr 5 09:02 - 17:13 (08:11) wflamme pts/2 Thu Apr 5 09:02 - 17:13 (08:11) wflamme pts/1 244.246.9.0 Thu Apr 5 09:02 - 17:13 (08:11) wflamme pts/0 116.216.9.0 Thu Apr 5 09:02 - 17:13 (08:11) wflamme tty2 0.0.0.0 Thu Apr 5 09:01 - 17:15 (08:13) Und wessen Rechner hat schon eine 0 als 4. Teil der IP-Adresse? ;-) Die whois-Auskuft sagt mir, dass 190.210.7.0 nicht vergeben ist... Habe an diesem Tag meinen Rechner also gegen 9 Uhr in Betrieb genommen und mich im Runlevel 3 angemeldet. Per startx habe ich KDE aufgerufen und dort sind per Default 4 Shells in einem Fenster offen. In diesem Fall kam vielleicht noch eine kssh-Verbindung dazu. Eine halbe Stunde später habe ich die nächste kssh-Verbindung geöffnet... Aber woher die IP-Adressen kommen, wissen die Götter, meine Firma hat 141.65.x.y... Es gibt allerdings auch "echte" Besucher - Username und IP-Adresse sind dann aus unserem Bestand (mein PC authentifiziert gegen LDAP, SSH ist firmenintern erlaubt). Gruß Werner - -- Werner Flamme, Abt. WKDV Helmholtz-Zentrum für Umweltforschung GmbH - UFZ Permoserstr. 15 - 04318 Leipzig Tel.: (0341) 235-3921 - Fax (0341) 235-453921 http://www.ufz.de - eMail: werner.flamme@ufz.de -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org iD8DBQFGLgLDk33Krq8b42MRAi8xAJ9nBj2tzJgz9xAp5RjztiRs5ByIkACfbW36 0XR5/y1sYDeFCF+ckG1hQMQ= =WAOz -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org