Ciao a tutti. Qualcuno puó per favore smentire il mio timore e confermare che posso stare tranquillo? :o(
Ho lasciato il PC andare tutta notte per finire un download di eDonkey, stamattina verso le nove uptime mi dava tre utenti collegati (cosa strana essendo un desktop casalingo), e users mi dava quest'output: $users usul usul usul Stessa cosa ora (14:15) Ho guardato auth.log per le ore della notte in cui il pc era incustodito: Sep 30 05:17:01 Sietch-Tabr CRON[8589]: (pam_unix) session opened for user root by (uid=0) Sep 30 05:17:02 Sietch-Tabr CRON[8589]: (pam_unix) session closed for user root Sep 30 06:17:01 Sietch-Tabr CRON[8775]: (pam_unix) session opened for user root by (uid=0) Sep 30 06:17:01 Sietch-Tabr CRON[8775]: (pam_unix) session closed for user root Sep 30 06:25:01 Sietch-Tabr CRON[8796]: (pam_unix) session opened for user root by (uid=0) Sep 30 06:25:01 Sietch-Tabr su[8814]: + ??? root:nobody Sep 30 06:25:01 Sietch-Tabr su[8814]: (pam_unix) session opened for user nobody by (uid=0) Sep 30 06:26:24 Sietch-Tabr CRON[8796]: (pam_unix) session closed for user root Sep 30 07:17:01 Sietch-Tabr CRON[9108]: (pam_unix) session opened for user root by (uid=0) Sep 30 07:17:01 Sietch-Tabr CRON[9108]: (pam_unix) session closed for user root Sep 30 08:17:01 Sietch-Tabr CRON[9260]: (pam_unix) session opened for user root by (uid=0) Sep 30 08:17:02 Sietch-Tabr CRON[9260]: (pam_unix) session closed for user root Le "session opened" di cron c'erano ogni ora per cui non mi insospettiscono, ma c'é quel "root:nobody" che avrebbe fatto "su" alle 06:25. Root che fa "su" per diventare "nobody" è normale? La cosa veramente brutta é che syslog inizia proprio dalle 06:26, un minuto dopo il "su" di root:nobody, per cui potrebbe essere entrato uno e aver cancellato i log. Syslog riporta poi tentativi di connessione a postfix, se non erro: Sep 30 06:26:23 Sietch-Tabr syslogd 1.4.1#17: restart. Sep 30 06:27:11 Sietch-Tabr postfix/smtp[8986]: fatal: specify a password table via the `smtp_sasl_password_maps' configuration parameter Sep 30 06:27:11 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=67.170.144.149 DST=84.160.197.230 LEN=30 TOS=0x00 PREC=0x00 TTL=114 ID=25653 PROTO=UDP SPT=62824 DPT=4672 $ Sep 30 06:27:12 Sietch-Tabr postfix/master[1752]: warning: process /usr/lib/postfix/smtp pid 8986 exit status 1 Sep 30 06:27:12 Sietch-Tabr postfix/master[1752]: warning: /usr/lib/postfix/smtp: bad command startup -- throttling Sep 30 06:27:28 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=201.154.26.26 DST=84.160.197.230 LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=29370 DF PROTO=TCP SPT=47508 DPT=379$ Sep 30 06:27:42 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=82.139.8.9 DST=84.160.197.230 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=22003 DF PROTO=TCP SPT=4141 DPT=15118 W$ Sep 30 06:27:45 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=82.139.8.9 DST=84.160.197.230 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=22511 DF PROTO=TCP SPT=4141 DPT=15118 W$ Sep 30 06:28:12 Sietch-Tabr postfix/smtp[8991]: fatal: specify a password table via the `smtp_sasl_password_maps' configuration parameter Sep 30 06:28:13 Sietch-Tabr postfix/master[1752]: warning: process /usr/lib/postfix/smtp pid 8991 exit status 1 Sep 30 06:28:13 Sietch-Tabr postfix/master[1752]: warning: /usr/lib/postfix/smtp: bad command startup -- throttling Sep 30 06:29:03 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=67.15.121.40 DST=84.160.197.230 LEN=40 TOS=0x00 PREC=0x00 TTL=231 ID=45797 DF PROTO=TCP SPT=80 DPT=46878 W$ Sep 30 06:29:13 Sietch-Tabr postfix/smtp[8992]: fatal: specify a password table via the `smtp_sasl_password_maps' configuration parameter Sep 30 06:29:14 Sietch-Tabr postfix/master[1752]: warning: process /usr/lib/postfix/smtp pid 8992 exit status 1 Sep 30 06:29:14 Sietch-Tabr postfix/master[1752]: warning: /usr/lib/postfix/smtp: bad command startup -- throttling Sep 30 06:29:34 Sietch-Tabr kernel: KMF: IN=ppp0 OUT= MAC= SRC=67.170.144.149 DST=84.160.197.230 LEN=30 TOS=0x00 PREC=0x00 TTL=114 ID=31706 PROTO=UDP SPT=62824 DPT=4672 $ Sep 30 06:30:14 Sietch-Tabr postfix/smtp[8993]: fatal: specify a password table via the `smtp_sasl_password_maps' configuration parameter Sep 30 06:30:15 Sietch-Tabr postfix/master[1752]: warning: process /usr/lib/postfix/smtp pid 8993 exit status 1 Sep 30 06:30:15 Sietch-Tabr postfix/master[1752]: warning: /usr/lib/postfix/smtp: bad command startup -- throttling Peró in messages c'é un restart di syslogd alle 06:26:23 anche ieri, per cui potrebbe essere normale cosí che syslogd si riavvii a quell'ora, visto che i log fino alle 06:26 del 30 (oggi) sono archiviati in syslog.0 Grazie per l'aiuto. Roberto
