wtmp è "ripartito"

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
strummer
Linux 2.x
Linux 2.x
Messaggi: 276
Iscritto il: mer 29 set 2004, 0:00

wtmp è "ripartito"

Messaggio da strummer »

ciao,
ho notato che i log registrati da /var/log/wtmp, che rispondono al comando last e lastlog, sono ripartiti oggi, senza lasciare traccia dei vecchi login...
è normale?

Avatar utente
bruno82
Linux 1.x
Linux 1.x
Messaggi: 148
Iscritto il: lun 16 mag 2005, 0:00
Località: Palemmmo
Contatta:

Messaggio da bruno82 »

Di solito, quando si entra senza permesso, la prima cosa che si fa è cancellare le tracce... :roll:

strummer
Linux 2.x
Linux 2.x
Messaggi: 276
Iscritto il: mer 29 set 2004, 0:00

Messaggio da strummer »

si infatti questo lo so è per questo che mi preoccupavo un pò, solo può darsi anche che funzioni come il logrotate per i messages, infatti ho visto un file wtmp.1

Avatar utente
gallows
Staff
Staff
Messaggi: 3466
Iscritto il: lun 20 set 2004, 0:00
Slackware: -current
Località: Palermo

Messaggio da gallows »

Sì, per leggere i vecchi puoi usare:
last -f wtmp.1

Così vedi se c'è tutto ;)

strummer
Linux 2.x
Linux 2.x
Messaggi: 276
Iscritto il: mer 29 set 2004, 0:00

Messaggio da strummer »

ho controllato wtmp.1 e manca roba relativa ad un solo utente, che però è un'utenza autorizzata!
con il software wzap si può riscrivere il wtmp cancellando arbitrariamente le entry di un utente!
poi un'altra cosa strana, sempre guardando il wtmp.1, ci sono solo le entry di gennaio e dicembre!
comunque parrebbe che il wtmp si riavvi una volta all'anno?!!
se fosse così, non lo sapevo di questa cosa!
comunque ora proverò, quando sono lontano dalla macchina, ad attivare il keylogger, per vedere se ci fossero intrusioni!
Grazie a tutti per ora!

Rispondi