Ne "w" ne "who" mostrano gli utenti
Ciao a tutti,
oggi ho visto un aumento del traffico in uscita e ho pensato che
qualcuno stesse scaricando via ssh.Allora ho dato un w per vedere se
c'erano utenti connessi ma la risposta è stata:
uovobw@electricsheep:~$ w
11:21:52 up 5 days, 18:25, 0 users, load average: 0,75, 0,74, 0,54
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
uovobw@electricsheep:~$
da root l'output del comando è identico.
Anche il comando who non mi ritorna nulla, sia da root che da utente,
mentre con ps aux non mi pare di vedere processi strani.
electricsheep:/home/uovobw# who
electricsheep:/home/uovobw#
Questa cosa mi lascia molto molto perplesso perchè fino a un paio di
giorni fa sia w che who mi facevano vedere anche gli utenti "connessi"
in locale (aka:eventuali mie shell aperte e così via) oltre a quelle
remote.
Se infatti mi connetto da una macchina interna alla rete la risposta è:
uovobw@electricsheep:~$ w
11:30:39 up 5 days, 18:34, 1 user, load average: 0,64, 0,87, 0,68
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
UTENTE pts/10 IPINTERNO 11:30 2.00s 0.01s 0.01s -bash
ma non mi mostra le svariate shell aperte in terminale sotto x, come
invece faceva prima.
Se invece mi loggo sulla macchina in testuale vedo che in effetti
compaio:
11:32:19 up 5 days, 18:36, 1 user, load average: 0,35, 0,73, 0,65
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
uovobw tty1 - 11:32 6.00s 0.01s 0.01s -bash
ma rimane il problema dei terminali in x.
Sia chakrootkit che rkhunter mi dicono che la macchina è pulita, mi
riportano un packet sniffer su eth0, ma è dhcp:
Checking `sniffer'... eth0: PACKET SNIFFER(/usr/sbin/dhcpd[10803])
Avete di idee di come mai possa essere successo questo?
Configurazioni sballate o la macchina è stata bucata?
Grazie mille
ciao
--
Andrea Lusuardi aka UoVoBW
Registered Linux User #364578
http://uovobw.homelinux.org
There's no place I can be
Since I found Serenity
But you can't take the sky from me
Reply to: