Автор Тема: Логятся ли все дейстаия рута, если да, то куда? (Прочитано 1408 раз)

Xepec · « : 09 Октября 2009, 15:59:36 »

Обнаружил у себя, что права на все в /bin 777 еще некоторые права тоже поменялись.
Более менее поправил права, но возник вопрос, кто права поменял?
В auth.log ничего подозрительного нет.

sciko · « **Ответ #1 :** 09 Октября 2009, 18:19:57 »

sudo логи кладёт в message

rapidsp · « **Ответ #2 :** 09 Октября 2009, 18:43:26 »

~/.bash_history

Xepec · « **Ответ #3 :** 12 Октября 2009, 09:50:01 »

В bash_history вроде нету... А в messages не нашел логов sudo...

Frank · « **Ответ #4 :** 12 Октября 2009, 10:01:04 »

Цитата: Xepec от 09 Октября 2009, 15:59:36

кто права поменял?

Юзер конечно же, вероятно - через sudo nautilus (90% косяков обретают так)

Xepec · « **Ответ #5 :** 12 Октября 2009, 10:44:31 »

sudo nautilus - не, такими вещами не занимались.
sudo gedit может был и то не факт...

Frank · « **Ответ #6 :** 12 Октября 2009, 11:13:56 »

Если бы у тебя стоял rkhunter например, то на утро получил бы отчёт на почту, в котором значилось бы - на каких файлах поменялись права, какие были и какие стали. А сейчас ты уже ничего не выяснишь.

rapidsp · « **Ответ #7 :** 12 Октября 2009, 11:49:13 »

еще можно глянуть /var/log/auth.log.
там должно быть видно кто и када "судился" до рута...

Xepec · « **Ответ #8 :** 12 Октября 2009, 18:02:13 »

Цитата: rapidsp от 12 Октября 2009, 11:49:13

еще можно глянуть /var/log/auth.log.
там должно быть видно кто и када "судился" до рута...

Ага, там еще пишется что люди делали от судо, но там я уже смотрел и ничего не нашел...

Цитата: Frank от 12 Октября 2009, 11:13:56

Если бы у тебя стоял rkhunter например, то на утро получил бы отчёт на почту, в котором значилось бы - на каких файлах поменялись права, какие были и какие стали. А сейчас ты уже ничего не выяснишь.

А какие еще есть варианты, чтобы лог таких действий вести?

Frank · « **Ответ #9 :** 12 Октября 2009, 19:31:41 »

Ты себе хоть можешь представить лог действий под sudo nautilus?

aliftin · « **Ответ #10 :** 12 Октября 2009, 20:03:25 »

Может автор сам логинился под root и что то накосячил? Посмотрите что вы творили от рута:

Код: [Выделить]

sudo cat /root/.bash_history

Xepec · « **Ответ #11 :** 13 Октября 2009, 18:35:10 »

Еще раз повторюсь...
В auth.log messages.log и всех их ротациях (.0 .1 .2 ...) ничего такого нет
В .bash_history у рута и всех пользователей у которых есть судо тоже.
От рута наутилусы всякие не пускались.

rapidsp · « **Ответ #12 :** 13 Октября 2009, 18:40:21 »

Значит хитрый злоумышленник логи подтер.
Чудес не бывает (С)

Frank · « **Ответ #13 :** 13 Октября 2009, 18:45:07 »

.bash_history записывается при завершении работы, с члучае зависания/резета ничего не сохранится

Xepec · « **Ответ #14 :** 14 Октября 2009, 10:20:49 »

Я все думаю, что это может быть какой-нибудь пакет корявый или обновление...

ЗЫ еще точно знаю, что поменялись права на файл /lib/dbus-1.0/dbus-daemon-launch-helper .

А какие права должны быть в /sbin ?

Форум русскоязычного сообщества Ubuntu

Автор Тема: Логятся ли все дейстаия рута, если да, то куда? (Прочитано 1408 раз)

Xepec

Логятся ли все дейстаия рута, если да, то куда?

sciko

Re: Логятся ли все дейстаия рута, если да, то куда?

rapidsp

Re: Логятся ли все дейстаия рута, если да, то куда?

Xepec

Re: Логятся ли все дейстаия рута, если да, то куда?

Frank

Re: Логятся ли все дейстаия рута, если да, то куда?

Xepec

Re: Логятся ли все дейстаия рута, если да, то куда?

Frank

Re: Логятся ли все дейстаия рута, если да, то куда?

rapidsp

Re: Логятся ли все дейстаия рута, если да, то куда?

Xepec

Re: Логятся ли все дейстаия рута, если да, то куда?

Frank

Re: Логятся ли все дейстаия рута, если да, то куда?

aliftin

Re: Логятся ли все дейстаия рута, если да, то куда?

Xepec

Re: Логятся ли все дейстаия рута, если да, то куда?

rapidsp

Re: Логятся ли все дейстаия рута, если да, то куда?

Frank

Re: Логятся ли все дейстаия рута, если да, то куда?

Xepec

Re: Логятся ли все дейстаия рута, если да, то куда?