last meint: gone, no logout

Hallo!

Mein Linux-Server verhält sich seit ca. einer Woche sehr komisch. Bei last verschwinden ab und zu Einträge, statt dessen kommt was in folgender Form:

rck@keds1:~/uni/dist_sys_ss2003> last | more
h******* ****h******* h*******h******* Thu Jan  1 01:00    gone - no logout


wtmp begins Sun Nov 16 02:27:07 2003

Hat irgendwer eine Idee dazu? chkrootkit hat nichts gefunden, mir ist auch nichts aufgefallen. :confused: // Rene

Zitat von Andi

schau mal im cron nach ob irgendwelche tasks die wtmp/utmp zu monatsende abschliessen.

Die gibt's natürlich schon, da steht dann aber "last entry..." und nicht dieses seltsame h**** Konstrukt!

In meiner root-crontab findet sich:
-- Nessus Updater (täglich)
-- Netcomics Download (wöchentlich)
-- Netdate Zeitsynchronisation (stündlich)

Zitat von Andi

ansonsten mach dir ein kleiens kernel module

*stutz* Ich hab zwar Systemprogrammierung mit Ach und Krach geschafft, aber das traue ich mir dann doch nicht zu! // Rene

Zitat von MaxAuthority

wie alt bitte ist deine bios-batterie, oder was für eine arge uhr hast du, dass du das stündlich machen musst?

Weis nicht, die Uhr laggt halt schon recht arg wenn man sie nicht immer wieder neu setzt. Ist ein recht alter Compaq Deskpro/133 (Pentium-1 mit 64 MB RAM).

Du hast nicht zufällig einen Plan wegen der last-Sache? // Rene

Zitat von rck

Hallo!

Mein Linux-Server verhält sich seit ca. einer Woche sehr komisch. Bei last verschwinden ab und zu Einträge,

So, hab mit einem neueren chkrootkit entdeckt, dass wer bei mir RK17 installiert und mit zap2 am wtmp herumgedoktort hat. Hab das gröbste wieder hingebogen, jedoch verhält sich last jetzt noch seltsamer als vorher.

Wenn ich eine weile Idle bin und dann ein last mache, kommt schlichtweg 'nichts'. Ausloggen und wieder einloggen: Last funktioniert ganz normal. Im Anhang ein Beispiel, zwischen den beiden Kommandos liegen ca. 10 Minuten nichtstun. Sehr beunruhigend! // René

keds1:~/bin # last
rck pts/0 192.168.0.200 Sun Feb 22 10:14 still logged in
rck pts/1 192.168.0.200 Sun Feb 22 09:58 - 10:09 (00:10)
rck pts/1 192.168.0.200 Sun Feb 22 07:32 - 09:58 (02:26)
rck pts/1 192.168.0.200 Sun Feb 22 07:28 - 07:31 (00:03)
rck pts/0 192.168.0.200 Sun Feb 22 07:20 - 10:09 (02:48)
rck pts/0 192.168.0.200 Sun Feb 22 02:12 - 02:34 (00:21)
rck pts/1 192.168.0.200 Sun Feb 22 01:55 - 02:00 (00:04)
rck pts/0 192.168.0.200 Sun Feb 22 01:24 - 02:05 (00:40)
rck pts/0 192.168.0.200 Fri Feb 20 14:48 - 17:52 (1+03:04)
root tty1 Fri Feb 20 13:20 still logged in
root tty1 Fri Feb 20 12:36 - 12:36 (00:00)
root tty4 Fri Feb 20 12:31 - 12:36 (00:04)
root tty2 Fri Feb 20 12:27 - 12:35 (00:08)
rck pts/0 192.168.0.200 Thu Feb 19 21:21 - 14:07 (16:46)
rck tty4 Thu Feb 19 19:00 - 19:00 (00:00)
rck pts/0 192.168.0.200 Thu Feb 19 13:41 - 21:21 (07:39)
rck pts/0 192.168.0.200 Thu Feb 19 13:00 - 13:06 (00:05)
rck pts/5 192.168.0.200 Thu Feb 19 11:25 - 13:34 (02:09)
rck pts/4 192.168.0.200 Thu Feb 19 11:23 - 13:04 (01:41)
rck pts/3 192.168.0.200 Thu Feb 19 11:22 - 12:38 (01:16)
rck pts/2 192.168.0.200 Thu Feb 19 11:14 - 11:37 (00:23)
rck pts/1 192.168.0.200 Thu Feb 19 11:09 - 11:29 (00:19)
rck pts/0 192.168.0.200 Thu Feb 19 02:22 - 11:29 (09:07)
root tty1 Thu Feb 19 02:13 - 02:15 (00:02)
reboot system boot 2.4.18-4GB Thu Feb 19 01:54 (3+09:02)
rck pts/0 192.168.0.200 Wed Feb 18 23:31 - crash (02:23)
rck pts/1 192.168.0.200 Wed Feb 18 23:15 - 01:38 (02:22)
rck pts/2 192.168.0.200 Wed Feb 18 23:08 - 01:20 (02:12)
rck pts/0 192.168.0.200 Wed Feb 18 22:15 - 23:27 (01:12)
rck pts/0 192.168.0.200 Wed Feb 18 22:15 - 22:15 (00:00)

wtmp begins Wed Feb 18 22:15:08 2004

keds1:~/bin # last
rck :0 console Wed Feb 18 23:04 - 00:39 (01:34)

wtmp begins Wed Feb 18 22:15:08 2004

Zitat von qmp

ähm... wenn du einen rootkit auf deinem System hast dann hilft eigentlich nur eine komplette Neuinstallation... wie willst dem System sonst vertrauen?

Sehe ich prinzipiell genauso. Jedoch würde ich ganz gerne wissen, wie das Ding funktioniert. Die Datei last wurde nicht modifiziert, bei wtmp ist jedoch was faul. Wenn ich last -f wtmp.<alte version> aufrufe, bekomme ich alles richtig angezeigt.

Bei last -f wtmp ist das nach einer Weile nicht der Fall, erst nach ausloggen und wieder einloggen. Ich kann mir wtmp auch nicht auf einem anderen Server ansehen. Irgendwie ein hochinteressantes Verhalten. Wir sind ja schließlich alle Akademiker, nicht wahr?

Zitat von qmp

Du solltest dir auch Gedanken machen wie der rootkit dort hingekommen ist und was ein Angreifer möglicherweise alles damit angestellt hat...

Meiner Vermutung nach über Apache. Hab mit Nessus schon mal das gröbste und ein paar recommendations gefixt, sollte aber für Mathe am 2. März lernen. Eine Neuinstallation geht sich vor den Sommerferien bestimmt nicht aus. Würde trotzdem gerne wissen, wie das Ding funktioniert. Oder zumindest, wo ich Infos zum RK17 kriegen kann oder es für eine Analyse downloaden kann. Weil Zaubern kann es ja auch nicht...

Google habe ich natürlich schon befragt, da kommt als Ergebnis so eine Indische Popgruppe *ggg* // René

http://www.tamilthirai.com/relesed/rk/pages/rk17.htm

Zitat von art

da steht "Problem identified: finally I found this is a bug in netdate."

zur info (spät, aber noch vor den sommerferien)

Danke, hab ich dann kurz nach meinem Posting auch entdeckt + gefixt