Re: Usuário continua aparecendo mesmo d epois do logout
Édson Flávio de Souza wrote: tente usar o lsof para ver se tem algum arquivo aberto, mesmo que tenha sido apagado ele vai te mostrar ( desde que esteja em memória). --- O comando lsof -u convidado não mostrou nenhum arquivo: dai:~# lsof -u convidado dai:~# Também rodei lsof sem argumentos e procurei por algo pertinente, mas não encontrei nada relacionado, na minha opinião. rode o chkrootkit, por desencargo de conciência. --- O resultado do chkrootkit não mostrou nada relacionado, na minha opinião: dai:~# chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found ...(removidas várias linhas com not found e not infected)... Checking `lkm'... You have 2 process hidden for readdir command You have 2 process hidden for ps command Warning: Possible LKM Trojan installed Note que as mensagens acima sobre o lkm parecem suspeitas. Pesquisando um pouco encontrei esta thread [1] que discute o assunto. Basicamente, não preciso me preocupar sobre estas mensagens, isto é um bug. [1] http://lists.debian.org/debian-security/2003/10/msg00204.html O usuário convidado continua aparecendo. Muito obrigado pela atenção. Adriano Rafael Gomes
Re: Usuário continua aparecendo mesmo d epois do logout
Marcos Vinicius Lazarini wrote: Tive problemas semelhantes a esses e a conclusão que cheguei foi que o processo de logout nao foi realizado por completo (ex: cai a conexão ssh, ou o usuario desloga com um ctrl+alt+backspace). Alguns dos varios sistemas de accounting acaba furando - eles sao diferentes, por isso que as vezes dá inconsistencia. Estou começando a pensar que é isto mesmo... Veja abaixo. Verifique também o comando 'last' e veja se se o usuário convidado já tinha deslogado as 17:16:31 --- Veja o resultado do comando last: dai:~# last convidado | grep pts/3 convidad pts/3:0.0 Mon Sep 27 12:51gone - no logout dai:~# Que interessante este gone - no logout! --- Veja o resultado do comando who -aH: dai:/var/run# who -aH | grep convidad convidad ? pts/3Sep 27 12:51 ? 4044 (:0.0) dai:/var/run# O 4044 é o PID. Este processo não existe: dai:/var/run# ps -p 4044 PID TTY TIME CMD dai:/var/run# Parece que o usuário não conseguiu dar logout completamente, e o sistema reporta isto de maneira inconsistente. Estudando os man dos comandos relacionados, descobri que algumas das informações ficam armazenadas nos arquivos /var/run/utmp e /var/log/wtmp. Eu zerei o arquivo /var/run/utmp e agora não aparece mais o usuário convidado fantasma, mas não tenho certeza de ter feito a coisa certa. Muito obrigado pela atenção. Adriano Rafael Gomes
Re: Usuário continua aparecendo mesmo d epois do logout
Adriano Rafael Gomes wrote: Olá! Tenho uma situação estranha por aqui: um usuário que deu logout continua aparecendo como estando logado. Neste momento, existem 2 usuários logados, isto está correto, mas o sistema reporta 3. --- Veja o resultado do comando w: [EMAIL PROTECTED]:~$ w 17:16:31 up 2 days, 5:08, 3 users, load average: 0,00, 0,00, 0,00 ^^^ USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/14 10.0.0.1213:433:10 0.05s 0.05s -bash adrianor pts/15 10.0.0.1213:530.00s 0.01s 0.00s w Note que a primeira linha diz que tem 3 usuários, mas na lista somente aparecem 2. Tive problemas semelhantes a esses e a conclusão que cheguei foi que o processo de logout nao foi realizado por completo (ex: cai a conexão ssh, ou o usuario desloga com um ctrl+alt+backspace). Alguns dos varios sistemas de accounting acaba furando - eles sao diferentes, por isso que as vezes dá inconsistencia. Verifique também o comando 'last' e veja se se o usuário convidado já tinha deslogado as 17:16:31 Acho dificil ser um rootkit, mas nao custa verificar -- Marcos Lazarini
