Форум русскоязычного сообщества Ubuntu


Автор Тема: Информация о пользователе  (Прочитано 3234 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн lyoha100

  • Автор темы
  • Любитель
  • *
  • Сообщений: 51
    • Просмотр профиля
Информация о пользователе
« : 05 Ноября 2013, 12:18:39 »
Здравствуйте. На сервере появился новый пользователь. Я не могу вспомнить я ли его создавал или кто другой. Нужно получить максимум информации об этом пользователе. Как минимум:
1. Когда был создан пользователь.
2. Историю входов пользователя.
как я понял пароль нельзя узнать?

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Информация о пользователе
« Ответ #1 : 05 Ноября 2013, 12:42:21 »
last USERNAME
grep USERNAME /etc/passwd /etc/group
grep USERNAME /var/log/{,*/}*

Оффлайн lyoha100

  • Автор темы
  • Любитель
  • *
  • Сообщений: 51
    • Просмотр профиля
Re: Информация о пользователе
« Ответ #2 : 05 Ноября 2013, 13:13:52 »
Содержание /var/log/auth.log примерно такое
сначало идёт:
Month  0 15:39:02 domain CRON[15532]: pam_unix(cron:session): session closed for user root
Month  0 15:40:01 domain CRON[15543]: pam_unix(cron:session): session opened for user root by (uid=0)
Month  0 15:40:01 domain CRON[15542]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Month  0 15:40:01 domain CRON[15541]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Month  0 15:40:01 domain CRON[15543]: pam_unix(cron:session): session closed for user root
Month  0 15:40:01 domain CRON[15541]: pam_unix(cron:session): session closed for user www-data
Month  0 15:40:01 domain CRON[15542]: pam_unix(cron:session): session closed for user smmsp
Month  0 15:45:01 domain CRON[15581]: pam_unix(cron:session): session opened for user root by (uid=0)
Month  0 15:45:01 domain CRON[15580]: pam_unix(cron:session): session opened for user root by (uid=0)
Month  0 15:45:01 domain CRON[15581]: pam_unix(cron:session): session closed for user root
а потом следующее
Month  0 15:45:01 domain CRON[15581]: pam_unix(cron:session): session closed for user root
Month  0 15:45:01 domain CRON[15580]: pam_unix(cron:session): session closed for user root
Month  0 15:46:45 domain sshd[15589]: error: Could not load host key: /etc/ssh/ssh_host_ecdsa_key
Month  0 15:46:45 domain sshd[15589]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=255.255.255.255  user=root
Month  0 15:46:47 domain sshd[15589]: Failed password for root from 255.255.255.255 port 49518 ssh2
Month  0 15:46:47 domain sshd[15589]: Received disconnect from 255.255.255.255: 11: Bye Bye [preauth]
Month  0 15:46:48 domain sshd[15591]: error: Could not load host key: /etc/ssh/ssh_host_ecdsa_key
Month  0 15:46:49 domain sshd[15591]: Invalid user deploy from 255.255.255.255
Month  0 15:46:49 domain sshd[15591]: input_userauth_request: invalid user deploy [preauth]
Month  0 15:46:49 domain sshd[15591]: pam_unix(sshd:auth): check pass; user unknown
Month  0 15:46:49 domain sshd[15591]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=255.255.255.255
Month  0 15:46:50 domain sshd[15591]: Failed password for invalid user deploy from 255.255.255.255 port 49773 ssh2
Month  0 15:46:50 domain sshd[15591]: Received disconnect from 255.255.255.255: 11: Bye Bye [preauth]
Month  0 15:46:50 domain sshd[15593]: error: Could not load host key: /etc/ssh/ssh_host_ecdsa_key
Month  0 15:46:51 domain sshd[15593]: Invalid user zabbix from 255.255.255.255
Month  0 15:46:51 domain sshd[15593]: input_userauth_request: invalid user zabbix [preauth]
Month  0 15:46:51 domain sshd[15593]: pam_unix(sshd:auth): check pass; user unknown
Month  0 15:46:51 domain sshd[15593]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=255.255.255.255
Month  0 15:46:52 domain sshd[15593]: Failed password for invalid user zabbix from 255.255.255.255 port 50158 ssh2
Month  0 15:46:52 domain sshd[15593]: Received disconnect from 255.255.255.255: 11: Bye Bye [preauth]
Month  0 15:46:52 domain sshd[15595]: error: Could not load host key: /etc/ssh/ssh_host_ecdsa_key
Month  0 15:46:54 domain sshd[15595]: Invalid user nagios from 255.255.255.255
Month  0 15:46:54 domain sshd[15595]: input_userauth_request: invalid user nagios [preauth]
Month  0 15:46:54 domain sshd[15595]: pam_unix(sshd:auth): check pass; user unknown
Month  0 15:46:54 domain sshd[15595]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=255.255.255.255
ip (255.255.255.255) меняется.

Как я понял это подбор.

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Информация о пользователе
« Ответ #3 : 05 Ноября 2013, 13:22:09 »
По первым двум командам результат какой?

Оффлайн lyoha100

  • Автор темы
  • Любитель
  • *
  • Сообщений: 51
    • Просмотр профиля
Re: Информация о пользователе
« Ответ #4 : 05 Ноября 2013, 13:37:11 »
root@domain:~# last kuku

wtmp begins Tue Nov  5 16:28:39 2013
root@domain:~# grep kuku /etc/passwd /etc/group
/etc/passwd:kuku:x:1002:2389:,,,:/home/kuku:/bin/bash
/etc/group:kuku:x:2389:

Я правильно понял, что это взлом подбором?

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Информация о пользователе
« Ответ #5 : 05 Ноября 2013, 15:01:20 »
Обычный юзер без админских прав и без дополнительных групп.
В представленных логах про него ничего нет.
Время создания и ещё какую-нибудь информацию можно выудить из /home/USERNAME.

 

Страница сгенерирована за 0.064 секунд. Запросов: 25.