welinux.ru/Есть вопрос! — В системе появился новый пользователь

: mealsforall 15.11.10 07:06 # +3–

В /var/log/auth.log будет написано, что и когда его создало.

_DM_ 15.11.10 07:26 # +0–

Спасибо, нашёл, к тому же что кто-то в SSH постоянно пытается доступ наловить...
Но вот кто учётную запись создал, я всё таки не пойму.

Nov 14 13:41:54 Ownhost sshd[8106]: Invalid user oracle from 123.255.248.69
Nov 14 13:41:54 Ownhost sshd[8106]: pam_unix(sshd:auth): check pass; user unknown
Nov 14 13:41:54 Ownhost sshd[8106]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.255.248.69
Nov 14 13:41:54 Ownhost sshd[8106]: pam_winbind(sshd:auth): getting password (0x00000388)
Nov 14 13:41:54 Ownhost sshd[8106]: pam_winbind(sshd:auth): pam_get_item returned a password
Nov 14 13:41:55 Ownhost groupadd[8111]: group added to /etc/group: name=login7, GID=1002
Nov 14 13:41:56 Ownhost groupadd[8111]: group added to /etc/gshadow: name=login7
Nov 14 13:41:56 Ownhost groupadd[8111]: new group: name=login7, GID=1002
Nov 14 13:41:56 Ownhost useradd[8115]: new user: name=login7, UID=1002, GID=1002, home=/home/login7, shell=/bin/bash
Nov 14 13:41:56 Ownhost passwd[8122]: pam_smbpass(passwd:chauthtok): Failed to find entry for user login7.
Nov 14 13:41:56 Ownhost passwd[8122]: eCryptfs PAM passphrase change module retrieved a NULL passphrase; nothing to do
Nov 14 13:41:57 Ownhost sshd[8106]: Failed password for invalid user oracle from 123.255.248.69 port 45841 ssh2
Nov 14 13:42:03 Ownhost passwd[8122]: pam_unix(passwd:chauthtok): password changed for login7
Nov 14 13:42:03 Ownhost passwd[8122]: pam_smbpass(passwd:chauthtok): Failed to find entry for user login7.
Nov 14 13:42:03 Ownhost passwd[8122]: gkr-pam: couldn't update the login keyring password: no old password was entered
Nov 14 13:42:03 Ownhost passwd[8122]: Error attempting to parse .ecryptfsrc file; rc = [-13]
Nov 14 13:42:03 Ownhost passwd[8122]: Passphrase file wrapped
Nov 14 13:42:03 Ownhost passwd[8122]: eCryptfs PAM passphrase change module retrieved at least one NULL passphrase; nothing to do
Nov 14 13:42:04 Ownhost sshd[8123]: Invalid user amanda from 123.255.248.69
Nov 14 13:42:04 Ownhost sshd[8123]: pam_unix(sshd:auth): check pass; user unknown
Nov 14 13:42:04 Ownhost sshd[8123]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.255.248.69
Nov 14 13:42:04 Ownhost sshd[8123]: pam_winbind(sshd:auth): getting password (0x00000388)
Nov 14 13:42:04 Ownhost sshd[8123]: pam_winbind(sshd:auth): pam_get_item returned a password
Nov 14 13:42:05 Ownhost chfn[8125]: changed user 'login7' information
Nov 14 13:42:07 Ownhost sshd[8123]: Failed password for invalid user amanda from 123.255.248.69 port 45976 ssh2
Nov 14 13:42:07 Ownhost sshd[7967]: pam_unix(sshd:session): session closed for user root
Nov 14 13:42:11 Ownhost sshd[8131]: Invalid user postgres from 123.255.248.69
Nov 14 13:42:11 Ownhost sshd[8131]: pam_unix(sshd:auth): check pass; user unknown
Nov 14 13:42:11 Ownhost sshd[8131]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.255.248.69

: Volant 15.11.10 07:43 # ↑ +0–

сорри, промахнулся с кнопкой. ответ ниже.

: Volant 15.11.10 07:43 # +3–

Nov 14 13:42:07 Ownhost sshd[7967]: pam_unix(sshd:session): session closed for user root

Ищите Session opened

Если отлистаете немного назад, то будете знать, с какого IP к Вам пришли. По IP - друзья или враги. Ну а дальше от sudo passwd до "rm -rf /" :-)

_DM_ 15.11.10 07:54 # +0–

Хм, у меня пользователя root то не существует :)

s2h 15.11.10 08:13 # ↑ +0–

значит у тебя не линукс:) ибо рут есть всегда, но у него может не быть пароля и тогда на него не залогиниться

_DM_ 15.11.10 08:25 # ↑ +0–

Это и имел ввиду. В Ubuntu ведь так по стандарту... сам сколько раз пробовал им зайти - не даёт ни под какими паролями...

cppmm 15.11.10 08:36 # ↑ +7–

По умолчанию в бубунте просто не задан пароль для рута. Если вашу систему скомпроментировали, злоумышленнику никто не мешал задать этот пароль и теперь пользоваться им. Посмотрите в /etc/shadow - если там имеется хеш во втором поле для рута, значит пароль создан.
Ну и, кстати, разрешать рут-логин по ssh - это очень опрометчиво.

knicefire 15.11.10 10:39 # ↑ +1–

именно, а еще если надо поработать рутом и задаблывает sudo писать, а пароль рута ставить не хочется можно воспользоваться командой sudo su
после чего у вас будет полноценная рутовая консоль

lockie 15.11.10 11:47 # ↑ +7–

sudo su лишний раз форкается и вообще некрасиво. Ъ-путь - sudo -i

: knicefire 15.11.10 13:52 # ↑ +0–

о... незнал... спасибо

: _DM_ 15.11.10 08:55 # +0–

Спасибо!
Да вот вряд ли бы когда догадался бы рут логин по ssh разрешить... ничего не успел запретить ещё... :(

uscr 15.11.10 10:37 # +0–

Тут проскакивала статейка про защиту ssh.

_DM_ 15.11.10 10:45 # ↑ +0–

К сожалению по указанному пути имеем:

Страница не существует!

DobrijZmej 15.11.10 11:07 # ↑ +1–

попробуйте так

: _DM_ 15.11.10 11:14 # ↑ +0–

Действительно, чот на URL не посмотрел :)
Статья то что надо!

albibek 15.11.10 11:52 # +0–

Собственно, вопрос был о том, чтобы узнать, кто создал учётку. С

Поскольку оба файла /etc/passwd и /etc/shadow доступны на изменение только руту, то можно определённо сказать: изменения внесены пользователем root, что ровным счётом не даст нам ничего, т.к. под рутом мог работать кто угодно. Единственное что можно узнать (да и то если пользователь был добавлен не "руками", а системными утилитами типа useradd) - это время изменения.

: Dem0n3D 15.11.10 12:06 # ↑ +1–

Не совсем так: под рутом мог работать только тот, кому это разрешено в /etc/sudoers, я понимаю, что это не ответ на вопрос :)
Но порядок действий такой: закрыть доступ по ssh для рута, поменять свой пароль, а в /etc/sudoers внести более жёсткие ограничения.

: Alex2ndr 15.11.10 12:20 # +3–

Могу еще посоветовать посмотреть на вывод команд last, lastlog, faillog. Может что-то прояснится.

—

15.11.10 06:15 _DM_

Есть вопрос! — В системе появился новый пользователь

Сегодня обнаружил что в системе появился новый пользователь, login7.
Можно ли посмотреть лог кто(что) его создало?

Похожие +4–

mealsforall — « Есть вопрос! / Какой он-линукс на современной машине?» ZogG — « Мой рабочий стол. / Минимализм, загубленный коньками» sokrat — « Есть вопрос! / Какой он-линукс на современной машине?» _DM_ — « Есть вопрос! / Какой он-линукс на современной машине?» depeche — « Есть вопрос! / Какой он-линукс на современной машине?» Есть вопрос! — «Вопрос по KDE» sakal — « Есть вопрос! / Какой он-линукс на современной машине?» sokrat — « Есть вопрос! / Какой он-линукс на современной машине?» ( 1 ) dukeglukem — « Мой рабочий стол. / Минимализм, загубленный коньками» h0rr0rr_drag0n — « Vim / Shell в отдельном буфере vim'а» Shtsh — « Есть вопрос! / Какой он-линукс на современной машине?» ( 2 ) Shtsh — « Мой рабочий стол. / Минимализм, загубленный коньками» ( 1 ) exelens — « Есть вопрос! / Какой он-линукс на современной машине?» ( 1 ) exelens — « Talks! / Посоветуйте блоги» doraneko — « Мой рабочий стол. / Минимализм, загубленный коньками» ( 1 ) Born2Crawl — « Есть вопрос! / Изменение размеров разделов»
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 142) Tips & tricks (33) Есть вопрос! (25) Archlinux (25) How-to`s (24) Vim (22) Мой рабочий стол. (19) Linux Games (17) KDE (17) Скрипты (16) Debian (15)
Элита (все 2864 из 216 городов) muhas (256.1) Shtsh (158.1) cppmm (136) ZogG (135.05) Aesdana (132.1) h0rr0rr_drag0n (123.25) digiwhite (110.3) Minoru (99.15) LeniH (92.45) xtavras (80.1)

В сети: Vzlom, shidoh, KEIII, doraneko

Новенькие: vovocho, sohje, hateful, Lemkon, arey