Меняется пароль юзера без ведома самого юзера.

[Шкипер]

Ситуация такая: у меня на ноуте 12,04 и два пользователя, я - администратор и простой пользователь. На днях обновил пакеты и заметил, что у меня изменился пароль и стоит автовход при включении. У простого пользователя ничего не изменилось. Списал все на глюк после обновления и просто заменил пароль. Проверил - все работает как надо. Это было вчера.
Сегодня возвращаюсь с работы и вижу, что опять изменился пароль и стоит автовход.
Что это? Уж очень похоже на действие зловреда. Если глюк, то как исправить? Если вирус или кто то пользуется моим компом удаленно, то как узнать закрыть дырку?
Вот сейчас ситуация повторилась: сменил пароль, перезапустил иксы, заблокировал монитор - везде требуется пароль. Перезагрузил комп и опять автовход!

[denkin]

самый простой вариант - а кто второй пользователь?

[thing]

Если вирус

А вы не ставили что-то подозрительное командой apt-get или не собирали из сырцов программы с названием вроде VeryCoolProgram? Тогда это не вирус.

[Dragon112]

Это сколько же я интересных глюков пропустил, а ведь поюзал 15 сборок , и было то
всего 2 случая, vpn и вебкамера в скайпе.
За что ты меня наказуешь господи?
Не верю я что пароль сам меняется, это какой-то вредный виндузятник
пытается опорочить ubuntu...
или сам забыл свой пароль , я например использую скажем +++

[Шкипер]

Dragon112,
Ну я уже давно не виндузятник и мне эта ситуация совсем не кажется смешной. А пароли я регулярно, примерно раз в три месяца меняю и они у меня довольно сложные. Паранойя.
denkin,
Второй пользователь - мои дети, но на них нечего и думать, так как у них совсем нет тяги к хакерству, да и возраст еще не тот.
thing,
Ничего подозрительного не ставил и из сырцов программы не собирал.

[Dragon112]

забейте длинный пароль фразу какую нибудь: яупалассеновала
Я вполне серьезно : в ответственных местах я использую такие пароли, легко запомнить
Вот как раз в "довольно сложные пароли" легко и ошибиться,я уже это проходил. 

[Шкипер]

Dragon112,
У меня и так пароли не меньше 12 символов.
Я уверен, что это глюк. Как это все исправить?

[ArcFi]

Только очень неумный зловред станет менять пароль юзера.
Ищите косяк в другом месте.

[Шкипер]

В каком?

[ArcFi]

Начинайте с логов.
Факт изменения пароля должен оседать там.

[Dragon112]

Могу только сказать, что бы сделал я.
Нашел бы где хранится пароль в Ubuntu и запретил бы его изменять.
/etc/passwd  содержит информацию о пользователях
/etc/shadow  необязательный файл с шифрованными паролями
Файл /etc/passwd содержит учётные записи пользователей, по одной в
       каждой строке. Строка состоит из семи полей, разделённых двоеточиями
       (<<:>>). Поля:
       o   имя пользователя для входа в систему
       o   необязательный зашифрованный пароль
       o   числовой идентификатор пользователя
       o   числовой идентификатор группы
       o   ФИО пользователя или поле комментария
       o   домашний каталог пользователя
       o   необязательный интерпретатор командной строки пользователя

       Поле с зашифрованным паролем может быть пустым, и тогда для входа под
       этой учётной записью пароль не требуется

[Шкипер]

Начинайте с логов.

В каких именно? Там их много, замучаюсь все читать.

/etc/passwd-

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:103::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
colord:x:103:108:colord colour management daemon,,,:/var/lib/colord:/bin/false
lightdm:x:104:111:Light Display Manager:/var/lib/lightdm:/bin/false
whoopsie:x:105:114::/nonexistent:/bin/false
avahi-autoipd:x:106:117:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false
avahi:x:107:118:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
usbmux:x:108:46:usbmux daemon,,,:/home/usbmux:/bin/false
kernoops:x:109:65534:Kernel Oops Tracking Daemon,,,:/:/bin/false
pulse:x:110:119:PulseAudio daemon,,,:/var/run/pulse:/bin/false
rtkit:x:111:122:RealtimeKit,,,:/proc:/bin/false
saned:x:112:123::/home/saned:/bin/false
speech-dispatcher:x:113:29:Speech Dispatcher,,,:/var/run/speech-dispatcher:/bin/sh
hplip:x:114:7:HPLIP system user,,,:/var/run/hplip:/bin/false
mysql:x:115:127:MySQL Server,,,:/nonexistent:/bin/false
rutbuntu:x:1000:1000:Rutbuntu,,,:/home/rutbuntu:/bin/bash
guest-Zpl6ye:x:117:128:Guest,,,:/tmp/guest-Zpl6ye:/bin/bash
guest-FsUbGu:x:118:129:Guest,,,:/tmp/guest-FsUbGu:/bin/bash
guest-JsdKIf:x:119:130:Guest,,,:/tmp/guest-JsdKIf:/bin/bash
guest-gw5A12:x:120:131:Guest,,,:/tmp/guest-gw5A12:/bin/bash
guest-HS7HKU:x:121:132:Guest,,,:/tmp/guest-HS7HKU:/bin/bash
guest-fTrWJL:x:122:133:Guest,,,:/tmp/guest-fTrWJL:/bin/bash
guest-vjjIGL:x:123:134:Guest,,,:/tmp/guest-vjjIGL:/bin/bash
guest-pL3STX:x:124:135:Guest,,,:/tmp/guest-pL3STX:/bin/bash
guest-Qt27VI:x:125:136:Guest,,,:/tmp/guest-Qt27VI:/bin/bash
guest-YCepRD:x:126:137:Guest,,,:/tmp/guest-YCepRD:/bin/bash
guest-cTYCfI:x:127:138:Guest,,,:/tmp/guest-cTYCfI:/bin/bash
guest-KaBAMZ:x:128:139:Guest,,,:/tmp/guest-KaBAMZ:/bin/bash
guest-MKM30U:x:129:140:Guest,,,:/tmp/guest-MKM30U:/bin/bash
guest-2WYROC:x:130:141:Guest,,,:/tmp/guest-2WYROC:/bin/bash
motion:x:131:142::/home/motion:/bin/false
guest-Bg8Tzn:x:132:143:Guest,,,:/tmp/guest-Bg8Tzn:/bin/bash
guest-m0XJJm:x:133:144:Guest,,,:/tmp/guest-m0XJJm:/bin/bash
guest-kLfv58:x:134:145:Guest,,,:/tmp/guest-kLfv58:/bin/bash
guest-Szh1n1:x:135:146:Guest,,,:/tmp/guest-Szh1n1:/bin/bash
guest-n3dw1R:x:136:147:Guest,,,:/tmp/guest-n3dw1R:/bin/bash
guest-AR5jcO:x:137:148:Guest,,,:/tmp/guest-AR5jcO:/bin/bash
guest-zzzunt:x:138:149:Guest,,,:/tmp/guest-zzzunt:/bin/bash
guest-FLgeCr:x:139:150:Guest,,,:/tmp/guest-FLgeCr:/bin/bash
guest-tj7VMt:x:140:151:Guest,,,:/tmp/guest-tj7VMt:/bin/bash
guest-ZVZEhD:x:141:152:Guest,,,:/tmp/guest-ZVZEhD:/bin/bash
guest-bcBs2f:x:142:153:Guest,,,:/tmp/guest-bcBs2f:/bin/bash
ntp:x:143:154::/home/ntp:/bin/false
guest-IVxpyD:x:116:155:Guest,,,:/tmp/guest-IVxpyD:/bin/bash
festival:x:144:29::/home/festival:/bin/false
guest-CNqm5U:x:145:156:Guest,,,:/tmp/guest-CNqm5U:/bin/bash
kdm:x:146:65534::/home/kdm:/bin/false
san:x:1001:1001:San,,,:/home/san:/bin/bash

Учетная гостевая запись у меня удалена.

[denkin]

сеть отключить, и в процессах порыть - я не специалист, но похоже какой то зловред сидит, или начинающий хакер тренируется.

[Dragon112]

Я бы еще попробовал повесить лог на файл пароля, думаю в Linuxе есть такая возможность.

[ArcFi]

В каких именно? Там их много, замучаюсь все читать.

Меняете пароль, смотрите /var/log на предмет недавно изменённых файлов.