welinux.ru/Есть вопрос! — В системе появился новый пользователь

: mealsforall 15.11.10 07:06 # +3–

В /var/log/auth.log будет написано, что и когда его создало.

_DM_ 15.11.10 07:26 # +0–

Спасибо, нашёл, к тому же что кто-то в SSH постоянно пытается доступ наловить...
Но вот кто учётную запись создал, я всё таки не пойму.

Nov 14 13:41:54 Ownhost sshd[8106]: Invalid user oracle from 123.255.248.69
Nov 14 13:41:54 Ownhost sshd[8106]: pam_unix(sshd:auth): check pass; user unknown
Nov 14 13:41:54 Ownhost sshd[8106]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.255.248.69
Nov 14 13:41:54 Ownhost sshd[8106]: pam_winbind(sshd:auth): getting password (0x00000388)
Nov 14 13:41:54 Ownhost sshd[8106]: pam_winbind(sshd:auth): pam_get_item returned a password
Nov 14 13:41:55 Ownhost groupadd[8111]: group added to /etc/group: name=login7, GID=1002
Nov 14 13:41:56 Ownhost groupadd[8111]: group added to /etc/gshadow: name=login7
Nov 14 13:41:56 Ownhost groupadd[8111]: new group: name=login7, GID=1002
Nov 14 13:41:56 Ownhost useradd[8115]: new user: name=login7, UID=1002, GID=1002, home=/home/login7, shell=/bin/bash
Nov 14 13:41:56 Ownhost passwd[8122]: pam_smbpass(passwd:chauthtok): Failed to find entry for user login7.
Nov 14 13:41:56 Ownhost passwd[8122]: eCryptfs PAM passphrase change module retrieved a NULL passphrase; nothing to do
Nov 14 13:41:57 Ownhost sshd[8106]: Failed password for invalid user oracle from 123.255.248.69 port 45841 ssh2
Nov 14 13:42:03 Ownhost passwd[8122]: pam_unix(passwd:chauthtok): password changed for login7
Nov 14 13:42:03 Ownhost passwd[8122]: pam_smbpass(passwd:chauthtok): Failed to find entry for user login7.
Nov 14 13:42:03 Ownhost passwd[8122]: gkr-pam: couldn't update the login keyring password: no old password was entered
Nov 14 13:42:03 Ownhost passwd[8122]: Error attempting to parse .ecryptfsrc file; rc = [-13]
Nov 14 13:42:03 Ownhost passwd[8122]: Passphrase file wrapped
Nov 14 13:42:03 Ownhost passwd[8122]: eCryptfs PAM passphrase change module retrieved at least one NULL passphrase; nothing to do
Nov 14 13:42:04 Ownhost sshd[8123]: Invalid user amanda from 123.255.248.69
Nov 14 13:42:04 Ownhost sshd[8123]: pam_unix(sshd:auth): check pass; user unknown
Nov 14 13:42:04 Ownhost sshd[8123]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.255.248.69
Nov 14 13:42:04 Ownhost sshd[8123]: pam_winbind(sshd:auth): getting password (0x00000388)
Nov 14 13:42:04 Ownhost sshd[8123]: pam_winbind(sshd:auth): pam_get_item returned a password
Nov 14 13:42:05 Ownhost chfn[8125]: changed user 'login7' information
Nov 14 13:42:07 Ownhost sshd[8123]: Failed password for invalid user amanda from 123.255.248.69 port 45976 ssh2
Nov 14 13:42:07 Ownhost sshd[7967]: pam_unix(sshd:session): session closed for user root
Nov 14 13:42:11 Ownhost sshd[8131]: Invalid user postgres from 123.255.248.69
Nov 14 13:42:11 Ownhost sshd[8131]: pam_unix(sshd:auth): check pass; user unknown
Nov 14 13:42:11 Ownhost sshd[8131]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.255.248.69

: Volant 15.11.10 07:43 # ↑ +0–

сорри, промахнулся с кнопкой. ответ ниже.

: Volant 15.11.10 07:43 # +3–

Nov 14 13:42:07 Ownhost sshd[7967]: pam_unix(sshd:session): session closed for user root

Ищите Session opened

Если отлистаете немного назад, то будете знать, с какого IP к Вам пришли. По IP - друзья или враги. Ну а дальше от sudo passwd до "rm -rf /" :-)

_DM_ 15.11.10 07:54 # +0–

Хм, у меня пользователя root то не существует :)

s2h 15.11.10 08:13 # ↑ +0–

значит у тебя не линукс:) ибо рут есть всегда, но у него может не быть пароля и тогда на него не залогиниться

_DM_ 15.11.10 08:25 # ↑ +0–

Это и имел ввиду. В Ubuntu ведь так по стандарту... сам сколько раз пробовал им зайти - не даёт ни под какими паролями...

cppmm 15.11.10 08:36 # ↑ +7–

По умолчанию в бубунте просто не задан пароль для рута. Если вашу систему скомпроментировали, злоумышленнику никто не мешал задать этот пароль и теперь пользоваться им. Посмотрите в /etc/shadow - если там имеется хеш во втором поле для рута, значит пароль создан.
Ну и, кстати, разрешать рут-логин по ssh - это очень опрометчиво.

knicefire 15.11.10 10:39 # ↑ +1–

именно, а еще если надо поработать рутом и задаблывает sudo писать, а пароль рута ставить не хочется можно воспользоваться командой sudo su
после чего у вас будет полноценная рутовая консоль

lockie 15.11.10 11:47 # ↑ +7–

sudo su лишний раз форкается и вообще некрасиво. Ъ-путь - sudo -i

: knicefire 15.11.10 13:52 # ↑ +0–

о... незнал... спасибо

: _DM_ 15.11.10 08:55 # +0–

Спасибо!
Да вот вряд ли бы когда догадался бы рут логин по ssh разрешить... ничего не успел запретить ещё... :(

uscr 15.11.10 10:37 # +0–

Тут проскакивала статейка про защиту ssh.

_DM_ 15.11.10 10:45 # ↑ +0–

К сожалению по указанному пути имеем:

Страница не существует!

DobrijZmej 15.11.10 11:07 # ↑ +1–

попробуйте так

: _DM_ 15.11.10 11:14 # ↑ +0–

Действительно, чот на URL не посмотрел :)
Статья то что надо!

albibek 15.11.10 11:52 # +0–

Собственно, вопрос был о том, чтобы узнать, кто создал учётку. С

Поскольку оба файла /etc/passwd и /etc/shadow доступны на изменение только руту, то можно определённо сказать: изменения внесены пользователем root, что ровным счётом не даст нам ничего, т.к. под рутом мог работать кто угодно. Единственное что можно узнать (да и то если пользователь был добавлен не "руками", а системными утилитами типа useradd) - это время изменения.

: Dem0n3D 15.11.10 12:06 # ↑ +1–

Не совсем так: под рутом мог работать только тот, кому это разрешено в /etc/sudoers, я понимаю, что это не ответ на вопрос :)
Но порядок действий такой: закрыть доступ по ssh для рута, поменять свой пароль, а в /etc/sudoers внести более жёсткие ограничения.

: Alex2ndr 15.11.10 12:20 # +3–

Могу еще посоветовать посмотреть на вывод команд last, lastlog, faillog. Может что-то прояснится.

—

15.11.10 06:15 _DM_

Есть вопрос! — В системе появился новый пользователь

Сегодня обнаружил что в системе появился новый пользователь, login7.
Можно ли посмотреть лог кто(что) его создало?

Похожие +4–

booley — « Talks! / Ровно 2 года назад на этом сайте был написан первый пост;)» AlexGret — « Tips & tricks / Идеальная автоподстройка монитора» AlexGret — « Tips & tricks / Идеальная автоподстройка монитора» nvbn — « 0byte / Welinux и 0byte» tirsky — « 0byte / Welinux и 0byte» Talks! — «Ровно 2 года назад на этом сайте был написан первый пост;)» ( 1 ) ladykosha — « dieformetal / Wyrd снова в строю.» VovanR — « Tips & tricks / [gtk-theme] ScrollBar & FullScreen» ladykosha — « Жизнь в консоли / Консольный календарь Wyrd.» Anrock — « Есть проблема! / Сломал тему Awesome» Anrock — « Есть проблема! / Сломал тему Awesome» exelens — « Talks! / До 3000 осталось ... участников» le087 — « Talks! / Следующий год =) ГОД КОТЭ!» thoughtful_fox — « Есть проблема! / Сломал тему Awesome» xdemon — « Есть проблема! / Сломал тему Awesome» le087 — « Talks! / До 3000 осталось ... участников» ( 1 )
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 149) Tips & tricks (33) Есть вопрос! (26) How-to`s (25) Archlinux (25) Vim (22) KDE (18) Мой рабочий стол. (18) Linux Games (17) Скрипты (17) Я рекомендую. (15)
Элита (все 2963 из 222 городов) muhas (257.7) Shtsh (164.6) ZogG (144.95) cppmm (139.1) Aesdana (132.1) h0rr0rr_drag0n (124.6) digiwhite (123.1) Minoru (99.15) LeniH (92.65) dr_magnus (88.5)

В сети: shidoh, LeXuS, Light, iglezz, nvbn, beetlebum, booley, Vzlom, s.c.o.r.p.i.o.n.

Новенькие: tirsky, irina, maksimilian, greenman, jigglypuff