Merci à tous ceux qui m'ont répondu !
Donc, j'ai suivi vos conseils pour essayer de savoir quand l'intrus a pénétré
dans ma machine :
Avec la commande "last" :
j'ai toujours des log avec "root :0" ou bien "user:0", etc.
et j'en ai une seule ligne isolée avec "root : tty1" !
Est-ce que ça peut être ça ?
C'est quoi finalement "tty1" ?
En lisant le fichier /var/log/messages, comme on me l'a conseillé, je trouve en
général :
jui 21 08:21:26 localhost PAM_pwdb[660]: (kde) session opened for user root by
(uid=0)
MAIS le même jour que la ligne dépistée avec "last" :
Jul 21 01:28:01 localhost PAM_pwdb[646]: (login) session opened for user root
by LOGIN(uid=0)
Et cette dernière ligne n'apparaît qu'une seule fois, elle aussi, sur 10 jours !
Est-ce que c'est un indice ? Parce que j'avoue que je ne lis pas très bien tout
ce qui m'est indiqué !!!!!! ;-)))))
Alors voilà, et pas de trace de "telnetd" avec une adresse IP quelconque, rien,
tout est en "localhost"...
Merci d'avance !!!!
Philippe
