# 2*root



## flor (31. März 2008)

Hallo,
ich hätte gerne mal eine Erklärung über diese zwei Einträge:

server:~ # finger -m

Login Name  Tty   Idle  Loggin 
root   root   pts/0    -    Mon 00:36     wc6e3.w.pppool.de
root   root  *pts/1   -    Mar 16 02:30  w8544.w.pppool.de

Habe ich am 16.03.08 Gäste bekommen ?
Oder was könnte der Grund für zwei root Einträge sein?

Danke 

mfg


----------



## olqs (31. März 2008)

Das ist die Ausgabe die du bei 2 parallelen Sitzungen erhältst.
Die eine wurde am Montag um 00:36 Uhr erstellt und die andere am 16. März.

Es kann sein das ein Prozess, den du in dieser Sitzung gestartetet hast, diese offenhält. Schau mal mit 'ps aux | grep pts/1' nach was in dieser Sitzung läuft.


----------



## flor (31. März 2008)

Hallo,


server:~ # ps aux | grep pts/1

root  4045  0.0  0.0  2736 744 pts/0  S+  1415  0:00  grep  pts/1

Das ist die Ausgabe ,sagt mir bis jetzt nichts.

mfg flor


ps: 

server:~ #  last

root pts/1   Mar  Su 16 02:30 w8544.w.pppool.de gone no logout


----------



## olqs (31. März 2008)

Ok also läuft schonmal kein Programm unter diesem Login/virtuellen Terminal.
Wieso das dann noch offen ist, kann ich dir auch nicht sagen.

Ich denke, da ist ne Sitzung hängengeblieben. Nach den DNS Namen könntest das du gewesen sein, 100%ig kann ich das aber natürlich nicht sagen.
Ich lass immer mal wieder chkrootkit(http://www.chkrootkit.org) drüberlaufen, dass erkennt so einige Logfile und System Anomalien.


----------



## flor (31. März 2008)

@olqs, danke Dir.

Das mit dem Link werde ich machen( probieren ).


mfg flor


----------



## flor (31. März 2008)

@olqs, danke Dir.

Das mit dem Link werde ich machen( probieren ).

Mit deiner Vermutung könntest du Recht haben, weil ich habe das Passwort gewechselt.
Und zur Vorsicht zwei Terminal offen gehabt.

Noch was , mit :
server:~ # ps aux 

```
USER   PID %CPU %MEM   VSZ   RSS TTy  STAT START    TIME   COMMAND
root     372    0.0     0.0       640       296  ?      Ss     6:24PM    0:00   init[3] 
100    13987  0.0    0.0      3340       928  ?      Ss     6:24PM    0:00  /usr/bin/dbus-daemon --system
```


und wer ist hier der User 100 ?


Danke 
mfg flor

sorry für den doppel Post.

Und noch einen mit kill beendet man Prozesse.
Wie müsste die Syntax hier aussehen ?


----------



## olqs (31. März 2008)

Wenn ne Zahl als Benutzername bei ps angezeigt wird, dann gibt es für diese Uid keinen Eintrag in der /etc/passwd.

D.h. Es wurde ein Prozess gestartet und der hat zur Uid 100 gewechselt, obwohl es hier keinen Benutzer gibt, oder ein Benutzer hat einen Prozess gestartetet und der Benutzer wurde dann im nachhinein gelöscht.

Beim einfachen kill gibst du die PID des Prozesses an, die kannst du z.b. über ps erfahren. Sollte aber definitiv in der manpage von kill erklärt sein (man kill).


----------



## flor (31. März 2008)

@olqs,

habe das mit dem chkrootkit versucht.

make sense
gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c

make : gcc : Kommando nicht gefunden
make : ***    [ chklastlog  ] Fehler 127

danach habe ich einfach mal:
 ./chkrootkit   gemacht .

Es kommen jede Menge "no infected , nothing found" und zum Schluss etliches 
an Text .
Die Operation ist nicht Erlaubt Head Fehler beim Lesen von var/tmp/dirinstall/proc/sys/ kernel/cap_bounda: Die Operation ist nicht erlaubt.

usw.

Und jetzt komm ich nicht mehr aus dem Programm (schäm).

mfg flor


Ist das make überhaupt richtig durchgelaufen ?


----------



## olqs (31. März 2008)

Nein ist nicht richtig durchgelaufen. Du hast keinen Compiler drauf.

Ich denke da fehlts mal an den Grundlagen.
Hier ist mal ein Online Doku für Linux (Debian).


----------



## flor (31. März 2008)

@olqs

Das habe ich mir aber nur fast gedacht,mit dem gcc.

Ok , besten Dank fürs erste.
Ich muss leider yast bemühen und brauche Kaffee.
Und mit den Grundlagen da hast du auch Recht.

mfg flor 

melde mich dann wieder,tschau.


----------



## flor (31. März 2008)

Hi,
der gcc ist drauf .

Es kommt eine Warnung :

chkwtmp .c : In function main

chkwtmp.c.95 : warning : imcompatible implicit declaration of built-in function exit .

dann :
./chkrootkit 
 Ergebnis ist gleich.

mfg flor 

strg c


----------



## flor (1. April 2008)

Hi,
ich muss nochmal Fragen:



> server:~ # ps aux | grep pts/1
> 
> root 4045 0.0 0.0 2736 744 pts/0 S+ 1415 0:00 grep pts/1


 wie kann ich den Prozess beenden ?

Ich habe es mit : KILLALL -9 PID 4045 erfolglos versucht.
Wenn nach "root" die pid kommt so ist es so das die ständig wechsel.
Also vermute ich mal das es nicht die pid ist sondern die 2736 ?

Bei nur ps steht die pid immer vorne.Ich würde nicht Fragen aber aus den Howto werde
ich nicht ganz schlau.

mfg flor


----------



## olqs (1. April 2008)

Was führst du denn grad in dem Moment der Anzeige für Programme aus, oder anders welche Programme geben dir die Anzeige die du erhältst aus?
1. ps aux
und
2. grep pts/1

d.h nach der Anzeige der Prozessliste laufen weder ps noch grep. Deshalb kannst du die auch nicht killen.


----------



## flor (1. April 2008)

Hi ,
also


> Was führst du denn grad in dem Moment der Anzeige für Programme aus, oder anders welche Programme geben dir die Anzeige die du erhältst aus?



Putty und WinSCP.

Und Denyhost läuft immer ( klar ;-) .

Bei ps x kommt nur pts/0 . 

pts/1 wird nicht angezeigt.



> d.h nach der Anzeige der Prozessliste laufen weder ps noch grep. Deshalb kannst du die auch nicht killen.



und warum laufen die nicht wie alles andere auf pts/0 ?

das macht mich total nervös,denn bei der Installation könnte es sein das ein "Teil" nicht 
geschützt war. Da bin ich mir jetzt aber nicht mehr sicher in welcher Reihenfloge 
der Ablauf war.Könnte sein, könnte nicht sein.

Und der Server steht unter dauer Beschuss .

 .. so muß erstmal zum Essen.

Bis dann .

mfg flor


----------



## olqs (1. April 2008)

Das war eigentlich eine rhetorische Frage und sollte nur zum Denken anregen. 

Und das grep läuft ja auf pts/0.

Wie schon vorher mal drauf hingewiesen:
Entweder mal durch das verlinke Online Buch ackern, die Suse Doku (http://de.opensuse.org/Dokumentation) oder ein Linux Buch (Amazon Link) lesen und Grundlagen schaffen.

Es ist einfach nicht die richtige Methode sich einen root oder v Server zu mieten und keine bzw nur sehr wenig Ahnung von Linux zu haben.
Das über was wir grad reden sind wirklich Basics.

Eigentlich gehört der Thread sowieso ins allgemeine Linux Forum.


----------



## flor (1. April 2008)

ok,
ich werde deine Ratschläge befolgen und lesen.

Und Danke für deine Hilfe.

Egal ob ich jetzt nochmal ins Fettnäpfchen trete ,aber es ging doch um 

pts/1 das seit dem 16.03.08 läuft.

root root *pts/1 - Mar 16 02:30 w8544.w.pppool.de

..scheinbar verstehe ich da was nicht,egal.
Ich werde jetzt mit den Doku`s anfangen.

mfg rolf


----------

