| View previous topic :: View next topic |
| Author |
Message |
Zazbar
Apprentice
Joined: 26 Jul 2005
Posts: 279
Location: Paris Time
|
 Posted: Fri Oct 28, 2005 1:37 pm Post subject: [LOG] Root a l'air de se connecter et deconnecter (resolu) |
 |
|
Bonjour j'etais en traine de faire un tail -f /var/log/messages et je m'apercois de lignes comme celles ci qui apparaissent toutes les 5 secondes :
| /var/log/messages wrote: |
Oct 28 15:35:08 Gentoo-Mobile su(pam_unix)[22246]: session closed for user root
Oct 28 15:35:13 Gentoo-Mobile su(pam_unix)[22251]: session opened for user root by (uid=0)
Oct 28 15:35:13 Gentoo-Mobile su(pam_unix)[22251]: session closed for user root
Oct 28 15:35:18 Gentoo-Mobile su(pam_unix)[22256]: session opened for user root by (uid=0)
Oct 28 15:35:18 Gentoo-Mobile su(pam_unix)[22256]: session closed for user root
Oct 28 15:35:23 Gentoo-Mobile su(pam_unix)[22261]: session opened for user root by (uid=0)
Oct 28 15:35:23 Gentoo-Mobile su(pam_unix)[22261]: session closed for user root
Oct 28 15:35:28 Gentoo-Mobile su(pam_unix)[22266]: session opened for user root by (uid=0)
Oct 28 15:35:28 Gentoo-Mobile su(pam_unix)[22266]: session closed for user root
Oct 28 15:35:33 Gentoo-Mobile su(pam_unix)[22271]: session opened for user root by (uid=0)
Oct 28 15:35:33 Gentoo-Mobile su(pam_unix)[22271]: session closed for user root
|
Alors que je ne fais rien sur la machine, je suis juste en ssh .... avec un tail -f /varlog/messages
Est ce que ce sont des tentatives d'intrusion ou autre chose ?
Merci d'avance pour vos réponses ...
_________________
Mieux vaut fermer sa gueule et passer pour un con que l'ouvrir et montrer qu'on l'est. -- P. Dac - Pensées
Last edited by Zazbar on Fri Oct 28, 2005 1:55 pm; edited 1 time in total |
|
| Back to top |
|
 |
_droop_
l33t
Joined: 30 May 2004
Posts: 957
|
| Posted: Fri Oct 28, 2005 1:43 pm Post subject: |
|
|
Bonjour,
Dans les logs tu as le numéro de processus du "su". Tu as essayé de regarder dans un "ps -e f", les processus parents ou fils de cette commande. Ca devrait déja donner une petite idée. (edit : ca va être dur la session reste pas ouvert longtemps).
Sinon, tu as des crons ou des scripts qui tourne en root ?
Voilà. |
|
| Back to top |
|
|
Zazbar
Apprentice
Joined: 26 Jul 2005
Posts: 279
Location: Paris Time
|
| Posted: Fri Oct 28, 2005 1:46 pm Post subject: |
|
|
bah en fait la session ne reste ouverte meme pas un seconde ... pour avoir un chance de trouver le processus, il va falloir que je devine le prochain pid pour l'ouverture de session, non ?
Il ne me semble pas avoir de scripts qui tournent (en fait je suis meme sur que non ...) , et en ce qui concerne Cron je n'ai encore rien configuré dedans ....
_________________
Mieux vaut fermer sa gueule et passer pour un con que l'ouvrir et montrer qu'on l'est. -- P. Dac - Pensées |
|
| Back to top |
|
|
Zazbar
Apprentice
Joined: 26 Jul 2005
Posts: 279
Location: Paris Time
|
| Posted: Fri Oct 28, 2005 1:54 pm Post subject: |
|
|
Bon apparement c'est un truc de la base oracle que j'avais installé et qui essaye de se lancer .. j'ai pu remarquer cela a l'aide ta commande ... puisque je voyais un processus qui faisait sleep 5 qui correspond au temps entre deux logins :
| ps -e f wrote: |
21604 tty1 Ss+ 0:00 /bin/sh /etc/init.d/init.cssd run
21645 tty1 S+ 0:00 \_ /bin/sh /etc/init.d/init.cssd startcheck
24012 tty1 S+ 0:00 \_ /bin/sleep 5
|
Ce fichier correspond a un fichier de config Oracle ...
je vais donc supprimer Oracle maintenant que j'ai resolu mon probleme avec vmware !
merci pour l'aide !
_________________
Mieux vaut fermer sa gueule et passer pour un con que l'ouvrir et montrer qu'on l'est. -- P. Dac - Pensées |
|
| Back to top |
|
|
|
French
