Mi hanno bucato?
Ciao a tutti.
Qualcuno puó per favore smentire il mio timore e confermare che posso stare
tranquillo? :o(
Ho lasciato il PC andare tutta notte per finire un download di eDonkey,
stamattina verso le nove uptime mi dava tre utenti collegati (cosa strana
essendo un desktop casalingo), e users mi dava quest'output:
$users
usul usul usul
Stessa cosa ora (14:15)
Ho guardato auth.log per le ore della notte in cui il pc era incustodito:
Sep 30 05:17:01 Sietch-Tabr CRON[8589]: (pam_unix) session opened for user
root by (uid=0)
Sep 30 05:17:02 Sietch-Tabr CRON[8589]: (pam_unix) session closed for user
root
Sep 30 06:17:01 Sietch-Tabr CRON[8775]: (pam_unix) session opened for user
root by (uid=0)
Sep 30 06:17:01 Sietch-Tabr CRON[8775]: (pam_unix) session closed for user
root
Sep 30 06:25:01 Sietch-Tabr CRON[8796]: (pam_unix) session opened for user
root by (uid=0)
Sep 30 06:25:01 Sietch-Tabr su[8814]: + ??? root:nobody
Sep 30 06:25:01 Sietch-Tabr su[8814]: (pam_unix) session opened for user
nobody by (uid=0)
Sep 30 06:26:24 Sietch-Tabr CRON[8796]: (pam_unix) session closed for user
root
Sep 30 07:17:01 Sietch-Tabr CRON[9108]: (pam_unix) session opened for user
root by (uid=0)
Sep 30 07:17:01 Sietch-Tabr CRON[9108]: (pam_unix) session closed for user
root
Sep 30 08:17:01 Sietch-Tabr CRON[9260]: (pam_unix) session opened for user
root by (uid=0)
Sep 30 08:17:02 Sietch-Tabr CRON[9260]: (pam_unix) session closed for user
root
Le "session opened" di cron c'erano ogni ora per cui non mi insospettiscono,
ma c'é quel "root:nobody" che avrebbe fatto "su" alle 06:25. Root che fa "su"
per diventare "nobody" è normale?
La cosa veramente brutta é che syslog inizia proprio dalle 06:26, un minuto
dopo il "su" di root:nobody, per cui potrebbe essere entrato uno e aver
cancellato i log. Syslog riporta poi tentativi di connessione a postfix, se
non erro:
Sep 30 06:26:23 Sietch-Tabr syslogd 1.4.1#17: restart.
Sep 30 06:27:11 Sietch-Tabr postfix/smtp[8986]: fatal: specify a password
table via the `smtp_sasl_password_maps' configuration parameter
Sep 30 06:27:11 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=67.170.144.149
DST=84.160.197.230 LEN=30 TOS=0x00 PREC=0x00 TTL=114 ID=25653 PROTO=UDP
SPT=62824 DPT=4672 $
Sep 30 06:27:12 Sietch-Tabr postfix/master[1752]: warning:
process /usr/lib/postfix/smtp pid 8986 exit status 1
Sep 30 06:27:12 Sietch-Tabr postfix/master[1752]:
warning: /usr/lib/postfix/smtp: bad command startup -- throttling
Sep 30 06:27:28 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=201.154.26.26
DST=84.160.197.230 LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=29370 DF PROTO=TCP
SPT=47508 DPT=379$
Sep 30 06:27:42 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=82.139.8.9
DST=84.160.197.230 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=22003 DF PROTO=TCP
SPT=4141 DPT=15118 W$
Sep 30 06:27:45 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=82.139.8.9
DST=84.160.197.230 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=22511 DF PROTO=TCP
SPT=4141 DPT=15118 W$
Sep 30 06:28:12 Sietch-Tabr postfix/smtp[8991]: fatal: specify a password
table via the `smtp_sasl_password_maps' configuration parameter
Sep 30 06:28:13 Sietch-Tabr postfix/master[1752]: warning:
process /usr/lib/postfix/smtp pid 8991 exit status 1
Sep 30 06:28:13 Sietch-Tabr postfix/master[1752]:
warning: /usr/lib/postfix/smtp: bad command startup -- throttling
Sep 30 06:29:03 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=67.15.121.40
DST=84.160.197.230 LEN=40 TOS=0x00 PREC=0x00 TTL=231 ID=45797 DF PROTO=TCP
SPT=80 DPT=46878 W$
Sep 30 06:29:13 Sietch-Tabr postfix/smtp[8992]: fatal: specify a password
table via the `smtp_sasl_password_maps' configuration parameter
Sep 30 06:29:14 Sietch-Tabr postfix/master[1752]: warning:
process /usr/lib/postfix/smtp pid 8992 exit status 1
Sep 30 06:29:14 Sietch-Tabr postfix/master[1752]:
warning: /usr/lib/postfix/smtp: bad command startup -- throttling
Sep 30 06:29:34 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=67.170.144.149
DST=84.160.197.230 LEN=30 TOS=0x00 PREC=0x00 TTL=114 ID=31706 PROTO=UDP
SPT=62824 DPT=4672 $
Sep 30 06:30:14 Sietch-Tabr postfix/smtp[8993]: fatal: specify a password
table via the `smtp_sasl_password_maps' configuration parameter
Sep 30 06:30:15 Sietch-Tabr postfix/master[1752]: warning:
process /usr/lib/postfix/smtp pid 8993 exit status 1
Sep 30 06:30:15 Sietch-Tabr postfix/master[1752]:
warning: /usr/lib/postfix/smtp: bad command startup -- throttling
Peró in messages c'é un restart di syslogd alle 06:26:23 anche ieri, per cui
potrebbe essere normale cosí che syslogd si riavvii a quell'ora, visto che i
log fino alle 06:26 del 30 (oggi) sono archiviati in syslog.0
Grazie per l'aiuto.
Roberto
Reply to: