2*root

F

flor

Mitglied
Hallo,
ich hätte gerne mal eine Erklärung über diese zwei Einträge:

server:~ # finger -m

Login Name Tty Idle Loggin
root root pts/0 - Mon 00:36 wc6e3.w.pppool.de
root root *pts/1 - Mar 16 02:30 w8544.w.pppool.de

Habe ich am 16.03.08 Gäste bekommen ?
Oder was könnte der Grund für zwei root Einträge sein?

Danke

mfg
 
Das ist die Ausgabe die du bei 2 parallelen Sitzungen erhältst.
Die eine wurde am Montag um 00:36 Uhr erstellt und die andere am 16. März.

Es kann sein das ein Prozess, den du in dieser Sitzung gestartetet hast, diese offenhält. Schau mal mit 'ps aux | grep pts/1' nach was in dieser Sitzung läuft.
 
Hallo,


server:~ # ps aux | grep pts/1

root 4045 0.0 0.0 2736 744 pts/0 S+ 1415 0:00 grep pts/1

Das ist die Ausgabe ,sagt mir bis jetzt nichts.

mfg flor


ps:

server:~ # last

root pts/1 Mar Su 16 02:30 w8544.w.pppool.de gone no logout
 
Zuletzt bearbeitet:
Ok also läuft schonmal kein Programm unter diesem Login/virtuellen Terminal.
Wieso das dann noch offen ist, kann ich dir auch nicht sagen.

Ich denke, da ist ne Sitzung hängengeblieben. Nach den DNS Namen könntest das du gewesen sein, 100%ig kann ich das aber natürlich nicht sagen.
Ich lass immer mal wieder chkrootkit(http://www.chkrootkit.org) drüberlaufen, dass erkennt so einige Logfile und System Anomalien.
 
@olqs, danke Dir.

Das mit dem Link werde ich machen( probieren ).


mfg flor
 
Zuletzt bearbeitet:
@olqs, danke Dir.

Das mit dem Link werde ich machen( probieren ).

Mit deiner Vermutung könntest du Recht haben, weil ich habe das Passwort gewechselt.
Und zur Vorsicht zwei Terminal offen gehabt.

Noch was , mit :
server:~ # ps aux
Code: 
USER   PID %CPU %MEM   VSZ   RSS TTy  STAT START    TIME   COMMAND
root     372    0.0     0.0       640       296  ?      Ss     6:24PM    0:00   init[3] 
100    13987  0.0    0.0      3340       928  ?      Ss     6:24PM    0:00  /usr/bin/dbus-daemon --system


und wer ist hier der User 100 ?


Danke
mfg flor

sorry für den doppel Post.

Und noch einen mit kill beendet man Prozesse.
Wie müsste die Syntax hier aussehen ?
 
Zuletzt bearbeitet:
Wenn ne Zahl als Benutzername bei ps angezeigt wird, dann gibt es für diese Uid keinen Eintrag in der /etc/passwd.

D.h. Es wurde ein Prozess gestartet und der hat zur Uid 100 gewechselt, obwohl es hier keinen Benutzer gibt, oder ein Benutzer hat einen Prozess gestartetet und der Benutzer wurde dann im nachhinein gelöscht.

Beim einfachen kill gibst du die PID des Prozesses an, die kannst du z.b. über ps erfahren. Sollte aber definitiv in der manpage von kill erklärt sein (man kill).
 
@olqs,

habe das mit dem chkrootkit versucht.

make sense
gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c

make : gcc : Kommando nicht gefunden
make : *** [ chklastlog ] Fehler 127

danach habe ich einfach mal:
./chkrootkit gemacht .

Es kommen jede Menge "no infected , nothing found" und zum Schluss etliches
an Text .
Die Operation ist nicht Erlaubt Head Fehler beim Lesen von var/tmp/dirinstall/proc/sys/ kernel/cap_bounda: Die Operation ist nicht erlaubt.

usw.

Und jetzt komm ich nicht mehr aus dem Programm (schäm).

mfg flor


Ist das make überhaupt richtig durchgelaufen ?
 
Nein ist nicht richtig durchgelaufen. Du hast keinen Compiler drauf.

Ich denke da fehlts mal an den Grundlagen.
Hier ist mal ein Online Doku für Linux (Debian).
 
@olqs

Das habe ich mir aber nur fast gedacht,mit dem gcc.

Ok , besten Dank fürs erste.
Ich muss leider yast bemühen und brauche Kaffee.
Und mit den Grundlagen da hast du auch Recht.

mfg flor

melde mich dann wieder,tschau.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück