PDA

Ver la Versión Completa : log wtmp ¿sospechoso?



kaiman
01-jun-2005, 18:58
Hola a todo el foro, soy nuevo aqui y tambien en linux. Uso suse 9.0 y estoy dando mis primeros pasos con la consola de comandos, ahora me dedico a ver los logs del sistema y al ejecutar last -ai obtengo la siguiente salida:


iman@TAPON:~> last -ai


iman pts/2 Wed Jun 1 18:00 still logged in 0.0.0.0

iman pts/1 Wed Jun 1 17:59 still logged in 0.0.0.0

iman pts/1 Wed Jun 1 13:34 - 13:34 (00:00) 0.0.0.0

iman pts/0 Wed Jun 1 13:00 still logged in 0.0.0.0

iman :0 Wed Jun 1 12:59 still logged in 64.151.1.64

reboot system boot Wed Jun 1 12:58 (05:39) 0.0.0.0



El mismo log se repite cada vez que inicio la máquina y vuelvo a ejecutar last -ai. Lo que me mosquea es que supuestamente muestra un loggin desde 64.151.1.64 (siempre es la misma ip) por eso me he animado a escribir este mensaje. Quizás alguien pueda explicarme porque siempre me sale esa ip.

Por si sirve de algo, tambien me he hecho un finger a mi mismo con estos resultados:



iman@TAPON:~> finger iman

Login: iman Name: nestor

Directory: /home/iman Shell: /bin/bash

On since Wed Jun 1 12:59 (CEST) on :0, idle 173 days 21:34, from console

On since Wed Jun 1 13:00 (CEST) on pts/0, idle 5:51

On since Wed Jun 1 17:59 (CEST) on pts/1, idle 0:46 (messages off)

On since Wed Jun 1 18:00 (CEST) on pts/2 (messages off)



Gracias por vuestra atención.

mabs
01-jun-2005, 22:42
Segun parece es de una web canadiense...

; <<>> DiG 9.3.1 <<>> -x 64.141.1.64
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52435
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;64.1.141.64.in-addr.arpa. IN PTR

;; ANSWER SECTION:
64.1.141.64.in-addr.arpa. 3600 IN PTR hojovictoria.ca.

;; AUTHORITY SECTION:
64.1.141.64.in-addr.arpa. 300 IN NS dns2.wedohosting.com.
64.1.141.64.in-addr.arpa. 300 IN NS dns1.wedohosting.com.

;; Query time: 490 msec
;; SERVER: 62.81.16.131#53(62.81.16.131)
;; WHEN: Wed Jun 1 22:41:42 2005
;; MSG SIZE rcvd: 124

¿No te ocurrira cuando arrrancas y inicias por defecto el servidor X??????

kaiman
02-jun-2005, 12:06
Efectivamente siempre que inicio sesión lo hago en modo gráfico.

Por lo poco que se x window funciona en red y debe haber transmision de datos entre cliente y servidor x pero entonces la unica ip que deberia aparecer ahí sería la mia y no una de canada.

Luego están las terminales virtuales en modo gráfico (pts/0,pts/1,pts/2) pero no se que significado tiene ":0" que es el correspondiente a la maquina de canada.

Bueno, disculpen si he metido la pata pues soy un ignorante total en estos temas y quizás esté preocupandome por nada, y gracias por ayudarme.

mabs
02-jun-2005, 12:38
:0 significa que esta acediendo a tu servidor X en el display 0. Es decir, desde una localizacion remota esta intentando ejecutar una aplicacion X en tu PC. Es poco probable que tenga exito ya q SuSE por defecto desactiva la conexion remota a nuestro servidor X, con la opcion --listen. De todas maneras comprubebalo en el yast/Seguridad y usuarios/Configuracion de seguridad.
Deberias buscar que programa esta haciendo eso... por ejemplo monitorando los procesos que se ejecutan en el arranque mediante un script.

DiabloRojo
02-jun-2005, 17:27
Curioso, a mi me pasa lo mismo
kaka pts/3 Thu Jun 2 17:23 still logged in 0.0.0.0
kaka pts/0 Thu Jun 2 16:55 still logged in 0.0.0.0
kaka :0 Thu Jun 2 16:55 still logged in 96.252.235.183
kaka :0 Thu Jun 2 16:55 - 16:55 (00:00) 0.0.0.0
reboot system boot Thu Jun 2 18:54 (-1:-29) 0.0.0.0Se repite cada conexion que hago.

La direccion de la IP 96.252.235.183 es Internet Assigned Numbers Authority, Desde California.

¿Como se puede saber que programa esta conectandose a esa IP?. La conexion remota al servidor X lo tengo desactivada. :scratchch

mabs
02-jun-2005, 21:44
lo puedes mirar con netstat -anp y obtendras el programa causante de esa conexion

kaiman
05-jun-2005, 01:35
Yo tambien tengo la conexion remota al servidor x desactivada.

He ejecutado el comando netstat -anp y no se que usar para localizar el proceso en cuestion pues la salida me muestra un monton de sockets, algunos a la escucha y otros con la conexion establecida.

¿Alguna pauta para encontrar el proceso en cuestion?

El puerto del servidor x por defecto es el 6000 TCP ¿verdad?, está a la escucha y no muestra ninguna conexión.

Gracias.

DiabloRojo
23-jun-2005, 21:09
Me gustaria saber como localizar la conexion que hace a mi servidor X, ya que se que alguien se esta conectando a Suse, lo se porque de pronto estoy navegado en otra pagina sin haberla llamado yo. La direccion de conexion es la misma que publico mas abajo.

Con netstat -anp soy incapaz de entenderla.

kaleimn
23-jun-2005, 21:53
a mi me aparese la siguiente ip 96.76.236.183

DiabloRojo
23-jun-2005, 23:01
A ver si alguien nos hecha una mano, kaleimn.

mabs
23-jun-2005, 23:29
Poner lo que os devuelve el comando....

DiabloRojo
23-jun-2005, 23:55
Aqui te adjunto el fichero con la salida del comando netstat -anp, no entiendo nada y gracias si das con la conexion. :p
PD: la conexion es 96.12.236.183, es del portatil, la otra que aparece en un post de este hilo es de mi PC.

mabs
24-jun-2005, 16:58
Mandar tambien un "ps aux" y otro "netsat -anp" cuando tengais ese probela y sin ninguna aplicacion X cargada.

DiabloRojo
24-jun-2005, 18:08
Aqui lo tienes en dos ficheros.

ancabi
24-jun-2005, 18:56
yo tambien lo tengo el ip es 96.92.236.183, lo raro es que va cambiando el 92, por ej un tiempo antes tengo 96.76.236.183 y antes 96.60.236.183 que raro :s

a ver si encuentran algo de que es

Saludos

Kunael
24-jun-2005, 19:25
Lo he estado mirando y también tengo una de esas misteriosas IPs. Lo que queda claro es que es la sesión O que inicia mi usuario; ahora bien, NPI de porqué se logea la IP en cuestión.

He estado mirando por ahí diversas man y no he obtenido más que dolor de cabeza.

A ver si alguien lo saca.

PD. Lo más que se me ocurre es que el X server "necesite" de una IP aunque sea en local y el sistema, no sé cómo ni porqué, la cree. Pero vaya, eso es un salto al vacío en toda regla. Con un par.

DiabloRojo
25-jun-2005, 19:34
Hola chicos, leyendo por alli, ya tengo mas informacion:

linux:/home/mierda # traceroute linux-magazine.com
traceroute to linux-magazine.com (62.245.157.219), 30 hops max, 40 byte packets
1 192.168.1.1 1.269 ms 1.123 ms 1.452 ms
2 10.8.205.1 42.997 ms 44.586 ms 47.068 ms
3 148.Red-80-58-4.pooles.rima-tde.net (80.58.4.148) 47.693 ms 48.824 ms 49.013 ms
4 65.Red-80-58-74.pooles.rima-tde.net (80.58.74.65) 52.002 ms 52.319 ms 52.355 ms
5 * * *
La direccion que me mosquea es la de 10.8.205.1 que es privada ¿?, otra que aparece 192.168.1.1 es mi router inalambrico, el resto son nombres y ips, la unica rara es 10.8.205.1, me gustaria hacer una conexion a su servidor X, como se hace.
Me esta gastando bromas y me esta :molesto:

EDITADO: Curioso, en Ubuntu no me gasta bromas. :scratchch

ancabi
26-jun-2005, 02:40
Te gasta bromas?? en que sentido?

DiabloRojo
26-jun-2005, 10:34
Estoy navegando con firefox o konqueror, y de repente retrocedo 1 o 2 o 3 webs vistas anterioremente, tb. avanza si he retrocedido yo. Se me abre una ventana de un enlace de una pagina web que ni he pinchado. Tb me esta saliendo errores ortograficos en textos previamente revisados.
Todo esto me pasa cuando estoy conectado a Internet, sin conexion a Internet, escribo cartas, veo documentos html y no me pasa nada.
Esto tiene pinta de un bromista que la ha tomado conmigo.
Lo curioso es que todo esto solo me pasa con Suse, no con Ubuntu, de mi portatil.

Tambien en el Suse de mi PC me pasa algo parecido, las bromas son distintas: hacer scroll vertical y horizontal, retoque del texto,

linux:/home/kaka # traceroute www.google.es (http://www.google.es)
traceroute to www.google.es (http://www.google.es) (66.249.87.99), 30 hops max, 40 byte packets
1 . (192.168.1.1) 0.279 ms 0.199 ms 0.233 ms
2 10.8.205.1 40.567 ms 42.684 ms 43.144 ms
3 147.Red-80-58-4.pooles.rima-tde.net (80.58.4.147) 44.285 ms 44.326 ms 45.280 ms
4 45.Red-80-58-74.pooles.rima-tde.net (80.58.74.45) 47.230 ms 47.693 ms 48.751 ms
5 * * *
6 70.Red-80-58-72.pooles.rima-tde.net (80.58.72.70) 50.257 ms 51.126 ms 51.609 ms
7 14.Red-80-58-74.pooles.rima-tde.net (80.58.74.14) 103.656 ms 102.375 ms 101.603 ms
8 GE4-0-0-0-grtmadrr1.red.telefonica-wholesale.net (213.140.51.9) 41.043 ms 41.189 ms 41.883 ms
9 So6-0-0-0-grtlontl1.red.telefonica-wholesale.net (213.140.38.26) 82.022 ms 82.727 ms 83.174 ms
10 195.66.224.125 84.129 ms 84.367 ms 85.310 ms
Me da mala espina los parentesis del 1º ip que es mi router: (192.168.1.1).

mabs
27-jun-2005, 15:29
Deberias pasar algun antivirus... haber si hay algun troyano suelto.

DiabloRojo
27-jun-2005, 17:36
Deberias pasar algun antivirus... haber si hay algun troyano suelto.Vaya troyanos en Linux :scratchch pues nada, buscare un antivirus para Linux y ya os contare. Gracias mabs.
:adios:

Kunael
27-jun-2005, 18:00
* Un troyano técnicamente no es un virus, sino un programa de control remoto. Lo que pasa es que se considera virus porqué muchos de ellos se autoreplican y tienen fines maliciosos.

* Más que antivirus te recomendaría un antirootkit (rootkit, chkrootkit) y un monitor de binarios (aide, tripwire...).

DiabloRojo
27-jun-2005, 18:25
Hola, me he bajado el antivirus Klamav (http://www.forosuse.org/forosuse/showthread.php?t=770&highlight=klamav) y no me ha detectado nada en mi directorio $HOME, aun asi, lo he dejado cargado como modulo por si acaso.

* Más que antivirus te recomendaría un antirootkit (rootkit, chkrootkit) y un monitor de binarios (aide, tripwire...).Nada Kunael, voy a empollarme esto que comentas de los rookit (http://is-root.de/wiki/index.php/RootkitHunters) y ya contare si encuentra algo. :p

kaiman
04-jul-2005, 20:33
PD. Lo más que se me ocurre es que el X server "necesite" de una IP aunque sea en local y el sistema, no sé cómo ni porqué, la cree. Pero vaya, eso es un salto al vacío en toda regla. Con un par.

Yo creo que por ahí deben ir los tiros... ya que parece que no soy el unico que tiene esa entrada en el log.

noident
04-jul-2005, 21:57
jdr :molesto:

A mi me sale esta:

Station:/home/noname # last -ai
noname pts/1 Mon Jul 4 21:49 still logged in 0.0.0.0
root pts/4 Mon Jul 4 20:23 - 20:23 (00:00) 0.0.0.0
noname pts/0 Mon Jul 4 16:26 still logged in 0.0.0.0
noname :0 Mon Jul 4 16:26 still logged in 96.140.235.183
noname :0 Mon Jul 4 16:26 - 16:26 (00:00) 0.0.0.0
noname pts/0 Mon Jul 4 16:25 - 16:25 (00:00) 0.0.0.0
noname :0 Mon Jul 4 16:21 - 16:26 (00:05) 96.140.235.183
noname :0 Mon Jul 4 16:21 - 16:21 (00:00) 0.0.0.0
noname pts/0 Mon Jul 4 16:20 - 16:20 (00:00) 0.0.0.0
noname :0 Mon Jul 4 16:17 - 16:20 (00:03) 96.140.235.183
noname :0 Mon Jul 4 16:17 - 16:17 (00:00) 0.0.0.0
noname pts/0 Mon Jul 4 14:05 - 16:16 (02:11) 0.0.0.0
noname :0 Mon Jul 4 14:04 - 16:16 (02:12) 96.140.235.183
noname :0 Mon Jul 4 14:04 - 14:04 (00:00) 0.0.0.0
reboot system boot Mon Jul 4 16:03 (05:52) 0.0.0.0
noname pts/1 Mon Jul 4 13:05 - down (00:00) 0.0.0.0
noname pts/1 Fri Jul 1 19:05 - 19:07 (00:02) 0.0.0.0

96.140.235.183 y no es ninguna ip mia :negar:

Bueno a ver si nos enteramos de algo un saludo :adios:

paramuno
13-jul-2005, 18:22
Hola Kaiman , a mí me aparece lo siguiente :

paramuno pts/1 wed jul 13 15:50 still logged in 0.0.0.0
paramuno pts/1 wed jul 13 15:29 - 15:49 (00:19) 0.0.0.0
paramuno pts/1 wed jul 13 15:19 - 15:28 (00:09) 0.0.0.0
paramuno pts/0 wed jul 13 15:14 still logged in 0.0.0.0
paramuno :0 wed jul 13 15:14 still logged in 64.151.1.64

Consultando en scconsult.com/bill/blacklist.shtml , aparece lo siguiente :
64.151.0.0 - 64.151.63.255 ; spam from 64.151.36.207 20050219105348 .

Yo tengo además otros sin sabores . (Mi Humilde opinión ; es que EL GRAN HERMANO ya se ha cansado solo de mirarnos y nos conduce como ovejas al matadero)

ciao.