Repository 32bit  Forum
Repository 64bit  Wiki

wtmp è "ripartito"

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

wtmp è "ripartito"

Messaggioda strummer » lun gen 02, 2006 19:02

ciao,
ho notato che i log registrati da /var/log/wtmp, che rispondono al comando last e lastlog, sono ripartiti oggi, senza lasciare traccia dei vecchi login...
è normale?
strummer
Linux 2.4
Linux 2.4
 
Messaggi: 276
Iscritto il: mar set 28, 2004 23:00
Località: Firenze

Messaggioda bruno82 » mar gen 03, 2006 16:08

Di solito, quando si entra senza permesso, la prima cosa che si fa è cancellare le tracce... :roll:
Avatar utente
bruno82
Linux 2.0
Linux 2.0
 
Messaggi: 148
Iscritto il: dom mag 15, 2005 23:00
Località: Palemmmo

Messaggioda strummer » mar gen 03, 2006 19:10

si infatti questo lo so è per questo che mi preoccupavo un pò, solo può darsi anche che funzioni come il logrotate per i messages, infatti ho visto un file wtmp.1
strummer
Linux 2.4
Linux 2.4
 
Messaggi: 276
Iscritto il: mar set 28, 2004 23:00
Località: Firenze

Messaggioda gallows » mar gen 03, 2006 19:36

Sì, per leggere i vecchi puoi usare:
last -f wtmp.1

Così vedi se c'è tutto ;)
Avatar utente
gallows
Staff
Staff
 
Messaggi: 3466
Iscritto il: dom set 19, 2004 23:00
Località: Palermo
Kernel: FreeBSD 8.0-RELEASE-p3
Desktop: ratpoison

Messaggioda strummer » mar gen 03, 2006 20:42

ho controllato wtmp.1 e manca roba relativa ad un solo utente, che però è un'utenza autorizzata!
con il software wzap si può riscrivere il wtmp cancellando arbitrariamente le entry di un utente!
poi un'altra cosa strana, sempre guardando il wtmp.1, ci sono solo le entry di gennaio e dicembre!
comunque parrebbe che il wtmp si riavvi una volta all'anno?!!
se fosse così, non lo sapevo di questa cosa!
comunque ora proverò, quando sono lontano dalla macchina, ad attivare il keylogger, per vedere se ci fossero intrusioni!
Grazie a tutti per ora!
strummer
Linux 2.4
Linux 2.4
 
Messaggi: 276
Iscritto il: mar set 28, 2004 23:00
Località: Firenze


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

cron