Отслеживание странного поведения root
Я случайно запустил команду finger на своем компьютере, и эти две строки появились в дополнение к моему собственному пользователю (машина полностью моя):
root root *pZ� Jul 5 15:25 (:0.0)
root root *^A Jul 13 16:41 (:0.0)
Кто-нибудь знает, что это значит? Как я могу узнать больше о том, кто вошел в систему как root и что они делают? (Это может быть я, но я не могу вспомнить выполнение каких-либо команд sudo, которые не заканчивались мгновенно).
РЕДАКТИРОВАТЬ : Спасибо, что взглянули на это. Оказывается, это из-за KVpnc - он создает один из них при каждом запуске.
3 ответа
После использования команды Finger .
Login Name Tty Idle Login Time Office Office Phone
user user tty1 * Jun 4 07:53
* - после того, как имя терминала заявит, что разрешение write status отклонено.
^ - Если стандартный вывод - сокет, finger будет выдавать возврат каретки (^ M) перед каждым переводом строки (^ J) . Это для обработки удаленных запросов finger при вызове fingerd.
Источник : Finger Manpage
Часть: 0.0 указывает, что это логины X11 (графический рабочий стол). Это может быть связано с тем, что у вас на рабочем столе открыты некоторые терминалы от имени root.
Ответ на следующий вопрос может быть связан: https://superuser.com/questions/50935/what-does-it-mean-when-i-appear-twice-in-the-output- Given-by-finger-on-Ubuntu
Странные символы в середине могут быть проблемой кодировки символов. У вас установлен не английский язык?
Чтобы увидеть список всех процессов, запускаемых от имени пользователя root, вы можете запустить 'ps' и найти необычные процессы:
ps -xeU root
Примечание. что, если это хакер или руткит, их треки, вероятно, будут скрыты, и вы не сможете ничего увидеть на этом уровне. Используйте такой инструмент, как chkrootkit, если считаете, что это вероятно.
Оказывается, эти сеансы были созданы из-за KVpnc - он создает один из них каждый раз при запуске.