wtmp è "ripartito"

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
strummer
Linux 2.4
Linux 2.4
Messaggi: 276
Iscritto il: mer set 29, 2004 0:00
Località: Firenze

wtmp è "ripartito"

Messaggioda strummer » lun gen 02, 2006 19:02

ciao,
ho notato che i log registrati da /var/log/wtmp, che rispondono al comando last e lastlog, sono ripartiti oggi, senza lasciare traccia dei vecchi login...
è normale?

Avatar utente
bruno82
Linux 2.0
Linux 2.0
Messaggi: 148
Iscritto il: lun mag 16, 2005 0:00
Località: Palemmmo
Contatta:

Messaggioda bruno82 » mar gen 03, 2006 16:08

Di solito, quando si entra senza permesso, la prima cosa che si fa è cancellare le tracce... :roll:

strummer
Linux 2.4
Linux 2.4
Messaggi: 276
Iscritto il: mer set 29, 2004 0:00
Località: Firenze

Messaggioda strummer » mar gen 03, 2006 19:10

si infatti questo lo so è per questo che mi preoccupavo un pò, solo può darsi anche che funzioni come il logrotate per i messages, infatti ho visto un file wtmp.1

Avatar utente
gallows
Staff
Staff
Messaggi: 3466
Iscritto il: lun set 20, 2004 0:00
Kernel: FreeBSD 8.0-RELEASE-p3
Desktop: ratpoison
Località: Palermo
Contatta:

Messaggioda gallows » mar gen 03, 2006 19:36

Sì, per leggere i vecchi puoi usare:
last -f wtmp.1

Così vedi se c'è tutto ;)

strummer
Linux 2.4
Linux 2.4
Messaggi: 276
Iscritto il: mer set 29, 2004 0:00
Località: Firenze

Messaggioda strummer » mar gen 03, 2006 20:42

ho controllato wtmp.1 e manca roba relativa ad un solo utente, che però è un'utenza autorizzata!
con il software wzap si può riscrivere il wtmp cancellando arbitrariamente le entry di un utente!
poi un'altra cosa strana, sempre guardando il wtmp.1, ci sono solo le entry di gennaio e dicembre!
comunque parrebbe che il wtmp si riavvi una volta all'anno?!!
se fosse così, non lo sapevo di questa cosa!
comunque ora proverò, quando sono lontano dalla macchina, ad attivare il keylogger, per vedere se ci fossero intrusioni!
Grazie a tutti per ora!


Torna a “Sicurezza”

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti