Dediğiniz şekillerde console u takip edeceğim. Ancak immutable-bit konusunda diğer arkadaşlardan bilgi alabilirsek çok seviniriz...
-----Original Message----- From: mehmet celik [mailto:[EMAIL PROTECTED] Sent: Thursday, November 01, 2007 3:02 PM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] chkrootkit ve lkm Hocam, asagidaki gibi kontrol ciktisi daha once gormedim. Bu konuda yorum yapamayacam. Bilen ustadlarimiz varsa, bizide bizide bilgilendirirlerse sevinirim.. > /usr/bin/login [ Warning ] has > the immutable-bit set. "w" ciktisindaki IDLE tanimi kabuk uzerinde calistirilan son komuttan bu yana gecen zamani tutar. Aslinda son komut degil. Mesela konsola bir karakter dizisi yazmaniz konsol uzerindeki IDLE tanimini degistirmez!! Ne zaman siz "enter"a karsilik gelen '\n' karakterinin ASCI kodunu basarsaniz o zaman IDLE tanimi tekrar sifirlanir. Yani kisaca "enter"larsaniz o zaman zaman sifirlanir. Eger sistemde sizden habersiz biseler oldugunu dusunuyorsaniz asagidaki gibi bir script ile IDLE zamanini surekli olarak kontrol edebilirsiniz.. ##### Script baslangic #!/bin/sh DATE=`date +%F-%H:%M` LOGDIR="/var/log/cons/" for cons in /dev/tty* ; do CONS=`basename ${cons}` IDLE=`w | grep ${CONS} | awk -F' ' '{print $5}' ` if [ "${IDLE}" = "" ]; then continue else echo "${DATE} - ${CONS} konsolu ${IDLE} zamanindan bu yana islem gormemistir.">> ${LOGDIR}/${CONS} fi done ##### Script bitis Bu script; belirleyeceginiz peryotlarda calistirilirsa, sistemdeki aktif olan tum konsollara bakacaktir. Eger bir konsol aktif ise "w" ciktisinda yer alacagindan dolayi tum aktif konsollar kontrol edilecektir. Aktif olan konsollar icin belirtilen dizinde konsolun ismine bagli bir log dosyasi tutacaktir. Scripti "cron"a bagladiktan sonra kabuk uzerinde her "enter"a basildigi anda log dosyasindaki IDLE zamani degismis olacaktir. Hocam insalla yardimi olur.. Saygilarimla.. Mehmet CELIK ---------------------------------------- > From: [EMAIL PROTECTED] > To: freebsd@lists.enderunix.org > Date: Thu, 1 Nov 2007 11:43:59 +0200 > Subject: RE: [FreeBSD] chkrootkit ve lkm > > İlgili warning çıktılarını yanlış yere göndermişim. Şu anda tekrar > gönderiyorum. Enterdan sonra konsola mı düşüyor sorunuza cevabım ise EVET. > Konsola düşüyor. > > [EMAIL PROTECTED]:~]# > [EMAIL PROTECTED]:~]# > [EMAIL PROTECTED]:~]# > > Şeklinde.. > > "w" komut çıktım ise şu şekilde; > > [EMAIL PROTECTED]:~]# w > 11:18AM up 1 day, 1:56, 1 user, load averages: 0,03 0,03 0,00 > USER TTY FROM LOGIN@ IDLE WHAT > mesut p0 172.16.0.80 11:16AM - w > [EMAIL PROTECTED]:~]# who > mesut ttyp0 1 Kas 11:16 (172.16.0.80) > [EMAIL PROTECTED]:~]# > > "Last" komut çıktım ise şu şekilde; > > [EMAIL PROTECTED]:~]# last > mesut ttyp0 172.16.0.80 Per 1 Kas 11:16 still logged in > > wtmp begins 1 Kas 2007 Per EET 11:16:48 > [EMAIL PROTECTED]:~]# > > > /usr/bin/passwd [ Warning ] has > the immutable-bit set. > /usr/bin/su [ Warning ] has > the immutable-bit set. > /usr/bin/whatis [ Warning ] has > been replaced by a script: /usr/bin/whatis: Bourne shell script text > executable > /sbin/init [ Warning ] has > the immutable-bit set. > /usr/sbin/adduser [ Warning ] has > been replaced by a script: /usr/bin/whatis: Bourne shell script text > executable > /usr/local/sbin/pkgdb [ Warning ] has > been replaced by a script: /usr/local/sbin/pkgdb: a /usr/local/bin/ruby18 > script text executable > Checking package database [ Warning ] > Warning: The package database seems to have inconsistencies.This may not be > a security issue, but running 'pkgdb -F' may help diagnose the problem. > Checking for hidden files and directories [ Warning ] > Warning: Hidden directory found: /usr/.snap > Checking version of OpenSSL [ Warning ] > Warning: Application 'openssl', version '0.9.7e', is out of date, and > possibly a security risk. > > Climb to the top of the charts! Play Star Shuffle: the word scramble > challenge with star power. > http://club.live.com/star_shuffle.aspx?icid=starshuffle_wlmailtextlink_oct > > --------------------------------------------------------------------- > Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine > bakiniz. > > Cikmak icin, e-mail: [EMAIL PROTECTED] > Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey > FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 > > --------------------------------------------------------------------- > Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. > > Cikmak icin, e-mail: [EMAIL PROTECTED] > Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey > FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 > _________________________________________________________________ Windows Live Hotmail and Microsoft Office Outlook - together at last. Get it now. http://office.microsoft.com/en-us/outlook/HA102225181033.aspx?pid=CL10062697 1033 --------------------------------------------------------------------- Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 --------------------------------------------------------------------- Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
