Re: utilisateur fantome ( was Unidentified subject! )
>Sébastien JULIENNE writes: > > j'y cromprend plus rien > >C'est un bogue du wtmp. > et donc je dois faire quoi ? concrètement ? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
Comme l'a dit Davy Gigan c'est sans doute un bug du wtmp. Fais une recherche avec google et tu verrras que le bug donne les mêmes symptômes. Vérifie donc si ton wtmp n'est pas assez récent. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
>Le jeu 16/05/2002 à 17:15, Sébastien JULIENNE a écrit : >> Donc si qqu'un a d'autres infos je suis vraiment preneur la ;-) > >Alors là, je pense que ton /var/run/utmp est corrompu, mais je ne sais >pas par quel prog. >Allez, encore une petite suggestion si tu veux t'amuser (d'ailleurs ça >me fait penser que c'est peut-être la trace d'une intrusion sur ta >machine.) : tu peux directement editer /var/run/utmp avec des trucs du >genre : > >http://163.17.40.18/tnc/Security/unix/chusr.c >http://163.17.40.18/tnc/Security/unix/hide.c C'est peut-etre une trace d'intrusion mais : 1/ a priori mes logs ne me disent pas grand chose la dessus mais il est vrai que cela ne veut rien dire. 2/ Si intrusion il y a, quel avantage aurait une personne a ce que les utilisateurs même déconnectés restent dans utmp. Je pense que l'interet de la personne serait de faire justement l'inverse et que rien ne s'affiche. Je me trompe peut-etre. Je pense que je vais essayer de regénérer /var/run/utmp apres je testerai tes softs. Merci en tout cas >Bruno > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
Le jeu 16/05/2002 à 17:15, Sébastien JULIENNE a écrit : > Donc si qqu'un a d'autres infos je suis vraiment preneur la ;-) Alors là, je pense que ton /var/run/utmp est corrompu, mais je ne sais pas par quel prog. Allez, encore une petite suggestion si tu veux t'amuser (d'ailleurs ça me fait penser que c'est peut-être la trace d'une intrusion sur ta machine.) : tu peux directement editer /var/run/utmp avec des trucs du genre : http://163.17.40.18/tnc/Security/unix/chusr.c http://163.17.40.18/tnc/Security/unix/hide.c Bruno -- 11:45 Qui veux m'aider a ecrire ma these? Que en Latex, bien sur. 11:48 une these sur les capotes? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
>Après quelques recherches, il semble que who reprenne les infos de >/var/run/utmp ; utmp(5) indique que les programmes init(8), getty(8), >login(8) et quelques autres s'occupent (normalement) de tenir à jour >les enregistrements utmp. Oui oui j'avais vu ca mais je savais pas comment réactualiser >Esssayez ># /sbin/getty 38400 tty7 >puis ^C, pour forcer la mise à jour de l'enregistrement... > J'ai lancé /sbin/getty 38400 tty7& Au surprise je peux me logguer sur tty7. Je dis ca car j'avais testé de transferer un shell mais ca n'avais pas marché ^C ^D enfin je me déloggue. Puis sur une autre console je fais un 'who' la même chose mais il a quand même mis a jour car je me suis connecté avec un autre utilisateur, et il l'a pris en compte. J'ai testé sur tty9 pour savoir si ca n'avait pas un rapport quelconque avec X. Ca me refait la même chose que sur tty7. Donc là je me retrouve avec deux utilisateurs en plus. cool ;-) Donc en résumé mes utilisateurs se logguent mais restent tjs là qq'1 m'a écrit en privé : "fuser -u /dev/tty7 (en root) te donnera la liste des processus utilisant ce device ; s'il y en a aucun, il s'agit probablement d'un bug :-\" cette commande ne me retourne rien Donc après tous ces tests soit ma potato veut prendre des vacances avant l'heure et redémarrer ( mais pas question ) soit c'est vraiment un bug, alors c'est pas cool. Donc si qqu'un a d'autres infos je suis vraiment preneur la ;-) -- Sébastien JULIENNE [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
Le jeu 16/05/2002 à 14:18, Sébastien JULIENNE a écrit : > j'ai fait un chown root.root tty7 > puis un chmod 644 tty7 > mais l'utilisateur est tjs la Après quelques recherches, il semble que who reprenne les infos de /var/run/utmp ; utmp(5) indique que les programmes init(8), getty(8), login(8) et quelques autres s'occupent (normalement) de tenir à jour les enregistrements utmp. Esssayez # /sbin/getty 38400 tty7 puis ^C, pour forcer la mise à jour de l'enregistrement... > > d'ailleurs je ne connais pas trop les droits sur des devices comme les tty > vous auriez des bons pointeurs qui expliquent cela ? Non, malheureusement :( Bruno -- 18:11 faut faire "kill -9 casimir" pour tuer lilo enfants !!! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
>Le jeu 16/05/2002 à 10:18, Sébastien JULIENNE a écrit : >> l'utilisateur dans 'who' s'est connecté le 14 Mai à 14h21 >> je n'ai aucun processus le 14 Mai >> Il y en a le 6 Janvier , le 15 Mai et aujourd'hui. rien de plus >> >> j'y cromprend plus rien > >Que donne un lsof | grep tty7 ? rien >Qui est le proprietaire de /dev/tty7 ? > >Peut-être que l'utilisateur indiqué par who s'est deloggué >brutalement... >Si lsof ne donne aucun processus, je pense que rendre /dev/tty7 à >root.root, droits en 644 resoudra le problème. apparemment non j'ai fait un chown root.root tty7 puis un chmod 644 tty7 mais l'utilisateur est tjs la d'ailleurs je ne connais pas trop les droits sur des devices comme les tty vous auriez des bons pointeurs qui expliquent cela ? >Ma petite contribution. > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
Sébastien JULIENNE writes: > j'y cromprend plus rien C'est un bogue du wtmp. -- Davy Gigan System & Network Administration [Please no HTML, I'm not a browser] University Of Caen (France) [Pas d'HTML, je ne suis pas un navigateur] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
Le jeu 16/05/2002 à 10:18, Sébastien JULIENNE a écrit : > l'utilisateur dans 'who' s'est connecté le 14 Mai à 14h21 > je n'ai aucun processus le 14 Mai > Il y en a le 6 Janvier , le 15 Mai et aujourd'hui. rien de plus > > j'y cromprend plus rien Que donne un lsof | grep tty7 ? Qui est le proprietaire de /dev/tty7 ? Peut-être que l'utilisateur indiqué par who s'est deloggué brutalement... Si lsof ne donne aucun processus, je pense que rendre /dev/tty7 à root.root, droits en 644 resoudra le problème. Ma petite contribution. -- 18:12 Cisco, je t'aime, Cisco je t'adore, Cisco mes routes, Cisco mes paquets, avec confiance... Je te les confierai!!! 18:15 18:12 à ta place, je deviendrais alcoolique, c'est plus tranquille... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
>Le 2002.05.16 09:53, Sébastien JULIENNE a écrit : >> j'ai exactement >> 1:2345:respawn:/sbin/getty 38400 tty1 >> 2:23:respawn:/sbin/getty 38400 tty2 >> 3:23:respawn:/sbin/getty 38400 tty3 >> 4:23:respawn:/sbin/getty 38400 tty4 >> 5:23:respawn:/sbin/getty 38400 tty5 >> 6:23:respawn:/sbin/getty 38400 tty6 >> 8:23:respawn:/sbin/getty 38400 tty8 >> >> donc rien du tout en tty7 meme pas pour un X >> > >> > >> >Si tu fais Alt+F7, tu vois quoi ? >> > >> je vois un curseur qui clignote. Mais je ne peut pas écrire ( sauf si je >> fais par exemple un 'write' à partir d'un autre user) et je n'ai pas de >> prompt. >> >> > >Donc c'est pas init. >Si il y a un processus qui utilise ce tty7, tu devrais le voir avec un ps. et bien non justement ya rien qui utilise tty7 meme avec des ' > /dev/tty7 ' ya pas >Sinon regarde la date à laquelle il a été ouvert avec le who. Ca peut >peut-être te mettre sur une piste. alors j'avais regardé pour la date l'utilisateur dans 'who' s'est connecté le 14 Mai à 14h21 je n'ai aucun processus le 14 Mai Il y en a le 6 Janvier , le 15 Mai et aujourd'hui. rien de plus j'y cromprend plus rien -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
Le 2002.05.16 09:53, Sébastien JULIENNE a écrit : j'ai exactement 1:2345:respawn:/sbin/getty 38400 tty1 2:23:respawn:/sbin/getty 38400 tty2 3:23:respawn:/sbin/getty 38400 tty3 4:23:respawn:/sbin/getty 38400 tty4 5:23:respawn:/sbin/getty 38400 tty5 6:23:respawn:/sbin/getty 38400 tty6 8:23:respawn:/sbin/getty 38400 tty8 donc rien du tout en tty7 meme pas pour un X > > >Si tu fais Alt+F7, tu vois quoi ? > je vois un curseur qui clignote. Mais je ne peut pas écrire ( sauf si je fais par exemple un 'write' à partir d'un autre user) et je n'ai pas de prompt. Donc c'est pas init. Si il y a un processus qui utilise ce tty7, tu devrais le voir avec un ps. Sinon regarde la date à laquelle il a été ouvert avec le who. Ca peut peut-être te mettre sur une piste. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
>Le 2002.05.16 09:31, Sébastien JULIENNE a écrit : >> >Par défaut, tty7 est utilisé par X. >> >Arrête X pour voir où passe en runlevel 1 pour être brutal. >> > >> Oui mais le problème c'est que j'ai pas de X >> >> > >Et dans /etc/inittab, il y a quelque chose de démarré sur cette console >virtuelle. >Du style: > >7:23:respawn:/sbin/getty 38400 tty7 non j'ai exactement 1:2345:respawn:/sbin/getty 38400 tty1 2:23:respawn:/sbin/getty 38400 tty2 3:23:respawn:/sbin/getty 38400 tty3 4:23:respawn:/sbin/getty 38400 tty4 5:23:respawn:/sbin/getty 38400 tty5 6:23:respawn:/sbin/getty 38400 tty6 8:23:respawn:/sbin/getty 38400 tty8 donc rien du tout en tty7 meme pas pour un X > > >Si tu fais Alt+F7, tu vois quoi ? > je vois un curseur qui clignote. Mais je ne peut pas écrire ( sauf si je fais par exemple un 'write' à partir d'un autre user) et je n'ai pas de prompt. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
Le 2002.05.16 09:31, Sébastien JULIENNE a écrit : >Par défaut, tty7 est utilisé par X. >Arrête X pour voir où passe en runlevel 1 pour être brutal. > Oui mais le problème c'est que j'ai pas de X Et dans /etc/inittab, il y a quelque chose de démarré sur cette console virtuelle. Du style: 7:23:respawn:/sbin/getty 38400 tty7 Si tu fais Alt+F7, tu vois quoi ? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: utilisateur fantome ( was Unidentified subject! )
>Le 2002.05.16 00:25, Sébastien JULIENNE a écrit : >> Bonjour, >> >> je viens de m'apercevoir apres un 'who' que j'ai un utilisateur sur >> /dev/tty7 >> Or il n'a rien a faire la >> Le pb c'est que 'ps' ne m'en donne pas existence. Pas de shell, pas de >> processus qui tourne en /dev/tty7. J'ai voulu faire des 'kill' de >> processus peu important et de redémarrer certains autres. on sait jamais >> Mais le 'who' me dit que l'utilisateur est tjs la. >> Mais par contre je peux par exemple faire un 'write' a partir d'une autre >> console sur cet utilisateur et ca fonctionne correctement. >> Je n'y comprend plus rien >> >> Et je ne voudrai pas redémarrer une machine avec un 'uptime' de 130 jours >> rien que pour ca !!! >> >> Dites moi ce que vous en pensez. Merci >> > >Par défaut, tty7 est utilisé par X. >Arrête X pour voir où passe en runlevel 1 pour être brutal. > Oui mais le problème c'est que j'ai pas de X -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
