Mi hanno bucato?

To: debian-italian@lists.debian.org
Subject: Mi hanno bucato?
From: Roberto Nicolini <roberto_nicolini@web.de>
Date: Fri, 30 Sep 2005 14:39:58 +0200
Message-id: <200509301439.58160.roberto_nicolini@web.de>

Ciao a tutti.

Qualcuno puó per favore smentire il mio timore e confermare che posso stare 
tranquillo? :o(

Ho lasciato il PC andare tutta notte per finire un download di eDonkey, 
stamattina verso le nove uptime mi dava tre utenti collegati (cosa strana 
essendo un desktop casalingo), e users mi dava quest'output:

$users
usul usul usul

Stessa cosa ora (14:15)

Ho guardato auth.log per le ore della notte in cui il pc era incustodito:

Sep 30 05:17:01 Sietch-Tabr CRON[8589]: (pam_unix) session opened for user 
root by (uid=0)
Sep 30 05:17:02 Sietch-Tabr CRON[8589]: (pam_unix) session closed for user 
root
Sep 30 06:17:01 Sietch-Tabr CRON[8775]: (pam_unix) session opened for user 
root by (uid=0)
Sep 30 06:17:01 Sietch-Tabr CRON[8775]: (pam_unix) session closed for user 
root
Sep 30 06:25:01 Sietch-Tabr CRON[8796]: (pam_unix) session opened for user 
root by (uid=0)
Sep 30 06:25:01 Sietch-Tabr su[8814]: + ??? root:nobody
Sep 30 06:25:01 Sietch-Tabr su[8814]: (pam_unix) session opened for user 
nobody by (uid=0)
Sep 30 06:26:24 Sietch-Tabr CRON[8796]: (pam_unix) session closed for user 
root
Sep 30 07:17:01 Sietch-Tabr CRON[9108]: (pam_unix) session opened for user 
root by (uid=0)
Sep 30 07:17:01 Sietch-Tabr CRON[9108]: (pam_unix) session closed for user 
root
Sep 30 08:17:01 Sietch-Tabr CRON[9260]: (pam_unix) session opened for user 
root by (uid=0)
Sep 30 08:17:02 Sietch-Tabr CRON[9260]: (pam_unix) session closed for user 
root

Le "session opened" di cron c'erano ogni ora per cui non mi insospettiscono, 
ma c'é quel "root:nobody" che avrebbe fatto "su" alle 06:25. Root che fa "su" 
per diventare "nobody" è normale?

La cosa veramente brutta é che syslog inizia proprio dalle 06:26, un minuto 
dopo il "su" di root:nobody, per cui potrebbe essere entrato uno e aver 
cancellato i log. Syslog riporta poi tentativi di connessione a postfix, se 
non erro:
Sep 30 06:26:23 Sietch-Tabr syslogd 1.4.1#17: restart.
Sep 30 06:27:11 Sietch-Tabr postfix/smtp[8986]: fatal: specify a password 
table via the `smtp_sasl_password_maps' configuration parameter
Sep 30 06:27:11 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=67.170.144.149 
DST=84.160.197.230 LEN=30 TOS=0x00 PREC=0x00 TTL=114 ID=25653 PROTO=UDP 
SPT=62824 DPT=4672 $
Sep 30 06:27:12 Sietch-Tabr postfix/master[1752]: warning: 
process /usr/lib/postfix/smtp pid 8986 exit status 1
Sep 30 06:27:12 Sietch-Tabr postfix/master[1752]: 
warning: /usr/lib/postfix/smtp: bad command startup -- throttling
Sep 30 06:27:28 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=201.154.26.26 
DST=84.160.197.230 LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=29370 DF PROTO=TCP 
SPT=47508 DPT=379$
Sep 30 06:27:42 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=82.139.8.9 
DST=84.160.197.230 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=22003 DF PROTO=TCP 
SPT=4141 DPT=15118 W$
Sep 30 06:27:45 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=82.139.8.9 
DST=84.160.197.230 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=22511 DF PROTO=TCP 
SPT=4141 DPT=15118 W$
Sep 30 06:28:12 Sietch-Tabr postfix/smtp[8991]: fatal: specify a password 
table via the `smtp_sasl_password_maps' configuration parameter
Sep 30 06:28:13 Sietch-Tabr postfix/master[1752]: warning: 
process /usr/lib/postfix/smtp pid 8991 exit status 1
Sep 30 06:28:13 Sietch-Tabr postfix/master[1752]: 
warning: /usr/lib/postfix/smtp: bad command startup -- throttling
Sep 30 06:29:03 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=67.15.121.40 
DST=84.160.197.230 LEN=40 TOS=0x00 PREC=0x00 TTL=231 ID=45797 DF PROTO=TCP 
SPT=80 DPT=46878 W$
Sep 30 06:29:13 Sietch-Tabr postfix/smtp[8992]: fatal: specify a password 
table via the `smtp_sasl_password_maps' configuration parameter
Sep 30 06:29:14 Sietch-Tabr postfix/master[1752]: warning: 
process /usr/lib/postfix/smtp pid 8992 exit status 1
Sep 30 06:29:14 Sietch-Tabr postfix/master[1752]: 
warning: /usr/lib/postfix/smtp: bad command startup -- throttling
Sep 30 06:29:34 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=67.170.144.149 
DST=84.160.197.230 LEN=30 TOS=0x00 PREC=0x00 TTL=114 ID=31706 PROTO=UDP 
SPT=62824 DPT=4672 $
Sep 30 06:30:14 Sietch-Tabr postfix/smtp[8993]: fatal: specify a password 
table via the `smtp_sasl_password_maps' configuration parameter
Sep 30 06:30:15 Sietch-Tabr postfix/master[1752]: warning: 
process /usr/lib/postfix/smtp pid 8993 exit status 1
Sep 30 06:30:15 Sietch-Tabr postfix/master[1752]: 
warning: /usr/lib/postfix/smtp: bad command startup -- throttling

Peró in messages c'é un restart di syslogd alle 06:26:23 anche ieri, per cui 
potrebbe essere normale cosí che syslogd si riavvii a quell'ora, visto che i 
log fino alle 06:26 del 30 (oggi) sono archiviati in syslog.0

Grazie per l'aiuto.

Roberto

Reply to:

Follow-Ups:
- Re: Mi hanno bucato?
  - From: Ottavio Campana <ottavio@campana.vi.it>

Prev by Date: Re: insegnare a spamassassin
Next by Date: Re: ethereal problems
Previous by thread: Problema ftp co TIS-fwtk
Next by thread: Re: Mi hanno bucato?
Index(es):
- Date
- Thread