Gracias Gracias:  0
Me Gusta Me Gusta:  0
No me Gusta No me Gusta:  0
Página 1 de 3 123 ÚltimoÚltimo
Mostrando resultados del 1 al 10 de 26

Tema: log wtmp ¿sospechoso?

  1. #1
    kaiman Invitado

    log wtmp ¿sospechoso?

    Hola a todo el foro, soy nuevo aqui y tambien en linux. Uso suse 9.0 y estoy dando mis primeros pasos con la consola de comandos, ahora me dedico a ver los logs del sistema y al ejecutar last -ai obtengo la siguiente salida:

    iman@TAPON:~> last -ai


    iman pts/2 Wed Jun 1 18:00 still logged in 0.0.0.0

    iman pts/1 Wed Jun 1 17:59 still logged in 0.0.0.0

    iman pts/1 Wed Jun 1 13:34 - 13:34 (00:00) 0.0.0.0

    iman pts/0 Wed Jun 1 13:00 still logged in 0.0.0.0

    iman :0 Wed Jun 1 12:59 still logged in 64.151.1.64

    reboot system boot Wed Jun 1 12:58 (05:39) 0.0.0.0
    El mismo log se repite cada vez que inicio la máquina y vuelvo a ejecutar last -ai. Lo que me mosquea es que supuestamente muestra un loggin desde 64.151.1.64 (siempre es la misma ip) por eso me he animado a escribir este mensaje. Quizás alguien pueda explicarme porque siempre me sale esa ip.

    Por si sirve de algo, tambien me he hecho un finger a mi mismo con estos resultados:

    iman@TAPON:~> finger iman

    Login: iman Name: nestor

    Directory: /home/iman Shell: /bin/bash

    On since Wed Jun 1 12:59 (CEST) on :0, idle 173 days 21:34, from console

    On since Wed Jun 1 13:00 (CEST) on pts/0, idle 5:51

    On since Wed Jun 1 17:59 (CEST) on pts/1, idle 0:46 (messages off)

    On since Wed Jun 1 18:00 (CEST) on pts/2 (messages off)
    Gracias por vuestra atención.

  2. #2
    Fecha de Ingreso
    06-agosto-2004
    Ubicación
    Madrid
    Mensajes
    847
    Post Thanks / Like
    Poder de Credibilidad
    17
    Segun parece es de una web canadiense...

    ; <<>> DiG 9.3.1 <<>> -x 64.141.1.64
    ;; global options: printcmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52435
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;64.1.141.64.in-addr.arpa. IN PTR

    ;; ANSWER SECTION:
    64.1.141.64.in-addr.arpa. 3600 IN PTR hojovictoria.ca.

    ;; AUTHORITY SECTION:
    64.1.141.64.in-addr.arpa. 300 IN NS dns2.wedohosting.com.
    64.1.141.64.in-addr.arpa. 300 IN NS dns1.wedohosting.com.

    ;; Query time: 490 msec
    ;; SERVER: 62.81.16.131#53(62.81.16.131)
    ;; WHEN: Wed Jun 1 22:41:42 2005
    ;; MSG SIZE rcvd: 124

    ¿No te ocurrira cuando arrrancas y inicias por defecto el servidor X??????
    XXXXXXXXXXXXXX

  3. #3
    kaiman Invitado
    Efectivamente siempre que inicio sesión lo hago en modo gráfico.

    Por lo poco que se x window funciona en red y debe haber transmision de datos entre cliente y servidor x pero entonces la unica ip que deberia aparecer ahí sería la mia y no una de canada.

    Luego están las terminales virtuales en modo gráfico (pts/0,pts/1,pts/2) pero no se que significado tiene ":0" que es el correspondiente a la maquina de canada.

    Bueno, disculpen si he metido la pata pues soy un ignorante total en estos temas y quizás esté preocupandome por nada, y gracias por ayudarme.

  4. #4
    Fecha de Ingreso
    06-agosto-2004
    Ubicación
    Madrid
    Mensajes
    847
    Post Thanks / Like
    Poder de Credibilidad
    17
    :0 significa que esta acediendo a tu servidor X en el display 0. Es decir, desde una localizacion remota esta intentando ejecutar una aplicacion X en tu PC. Es poco probable que tenga exito ya q SuSE por defecto desactiva la conexion remota a nuestro servidor X, con la opcion --listen. De todas maneras comprubebalo en el yast/Seguridad y usuarios/Configuracion de seguridad.
    Deberias buscar que programa esta haciendo eso... por ejemplo monitorando los procesos que se ejecutan en el arranque mediante un script.
    XXXXXXXXXXXXXX

  5. #5
    Fecha de Ingreso
    19-marzo-2005
    Ubicación
    En un lugar del planeta Tierra
    Mensajes
    17.684
    Post Thanks / Like
    Poder de Credibilidad
    10
    Curioso, a mi me pasa lo mismo
    kaka pts/3 Thu Jun 2 17:23 still logged in 0.0.0.0
    kaka pts/0 Thu Jun 2 16:55 still logged in 0.0.0.0
    kaka :0 Thu Jun 2 16:55 still logged in 96.252.235.183
    kaka :0 Thu Jun 2 16:55 - 16:55 (00:00) 0.0.0.0
    reboot system boot Thu Jun 2 18:54 (-1:-29) 0.0.0.0
    Se repite cada conexion que hago.

    La direccion de la IP 96.252.235.183 es Internet Assigned Numbers Authority, Desde California.

    ¿Como se puede saber que programa esta conectandose a esa IP?. La conexion remota al servidor X lo tengo desactivada.
    NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
    Síguenos en TWITTER y en FACEBOOK
    Código:
    Buscador de   Alojamiento      Alojamiento     Otros
     paquetes:    de imágenes:     de ficheros:    buscadores:
    Search        TinyPic          Ifile Wuala     Simple y Facil
    Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p

  6. #6
    Fecha de Ingreso
    06-agosto-2004
    Ubicación
    Madrid
    Mensajes
    847
    Post Thanks / Like
    Poder de Credibilidad
    17
    lo puedes mirar con netstat -anp y obtendras el programa causante de esa conexion
    XXXXXXXXXXXXXX

  7. #7
    kaiman Invitado
    Yo tambien tengo la conexion remota al servidor x desactivada.

    He ejecutado el comando netstat -anp y no se que usar para localizar el proceso en cuestion pues la salida me muestra un monton de sockets, algunos a la escucha y otros con la conexion establecida.

    ¿Alguna pauta para encontrar el proceso en cuestion?

    El puerto del servidor x por defecto es el 6000 TCP ¿verdad?, está a la escucha y no muestra ninguna conexión.

    Gracias.

  8. #8
    Fecha de Ingreso
    19-marzo-2005
    Ubicación
    En un lugar del planeta Tierra
    Mensajes
    17.684
    Post Thanks / Like
    Poder de Credibilidad
    10
    Me gustaria saber como localizar la conexion que hace a mi servidor X, ya que se que alguien se esta conectando a Suse, lo se porque de pronto estoy navegado en otra pagina sin haberla llamado yo. La direccion de conexion es la misma que publico mas abajo.

    Con netstat -anp soy incapaz de entenderla.
    NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
    Síguenos en TWITTER y en FACEBOOK
    Código:
    Buscador de   Alojamiento      Alojamiento     Otros
     paquetes:    de imágenes:     de ficheros:    buscadores:
    Search        TinyPic          Ifile Wuala     Simple y Facil
    Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p

  9. #9
    Fecha de Ingreso
    01-diciembre-2004
    Mensajes
    669
    Post Thanks / Like
    Poder de Credibilidad
    17
    a mi me aparese la siguiente ip 96.76.236.183

  10. #10
    Fecha de Ingreso
    19-marzo-2005
    Ubicación
    En un lugar del planeta Tierra
    Mensajes
    17.684
    Post Thanks / Like
    Poder de Credibilidad
    10
    A ver si alguien nos hecha una mano, kaleimn.
    NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
    Síguenos en TWITTER y en FACEBOOK
    Código:
    Buscador de   Alojamiento      Alojamiento     Otros
     paquetes:    de imágenes:     de ficheros:    buscadores:
    Search        TinyPic          Ifile Wuala     Simple y Facil
    Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Marcadores

Normas de Publicación

  • No puedes crear nuevos temas
  • No puedes responder mensajes
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •