* Sunday 28 March 2004, alle 16:49, - scrive:
> Salve a tutti.
Ciao
> Ieri per caso mi sono
> accorto che il comando who mi da soltanto gli utenti loggati in locale,
> ignorando completamente quelli loggati via ssh... top invece mi segnala
> tutti i processi, anche quelli degli utenti remoti.
Davvero buffo
w cosa dice ?
andy@hpdeb:~$ w
17:43:52 up 22 days, 1:29, 2 users, load average: 1.95, 2.14, 2.10
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
andy pts/0 10.4.13.27 12:19 1:01m 49.98s 0.50s sshd:
andy [priv]
andy pts/1 10.4.13.27 17:41 1.00s 0.63s 0.31s w
andy@hpdeb:~$ who
andy pts/0 Mar 28 12:19 (10.4.13.27)
andy pts/1 Mar 28 17:41 (10.4.13.27)
> Mi ?? stato suggerito
> che le possibilit?? sono due:1) un bug di rwho (ma non ho trovato nulla
> in tal senso); 2) mi hanno bucato il sistema.
Mah
Controlla magari le firme dei pacchetti in questione
> Considerando che chkrootkit dice che sono a posto...
Non sempre e non troppo significativo, come tutti i tool di sto genere,
antivirus compresi
> c'?? un modo per
> sapere se e quali files sono stati manomessi ed eventualmente in che
> modo?
Bisognava pensarci prima (vedi i vari tripware, aide e compagnia
cantante)
> C'?? un modo per sistemare il tutto senza reinstallare?
Se, e sottolineo _se_, un sistema è stato compromesso reinstallare _è_
la scelta giusta
> Grazie anticipatamente per le risposte.
Mo si figuri
Andy
--
Mi vuoi dire caro Sancho che dovrei tirarmi indietro perchè il male ed
il potere hanno un aspetto cosi tetro ?
|