Är min server hackad? (Ubuntu)

Permalänk
Medlem

Är min server hackad? (Ubuntu)

Hej, jag har en Ubuntu 6.10 server hemma som jag kan ssh:a till utifrån.
När jag skriver "uptime" så står det 2 users trots att jag är utloggad på den fysiska maskinen och endast inloggad en gång med putty.
När jag sedan skriver "users" så får jag upp mitt användarnamn en gång. (Har provat logga in med flera instanser samtidigt och då visas samma användarnamn lika många gånger som jag har instanser inloggade)

Frågan är nu, vem är den user sista usern?
Kan det vara så att någon kommit in på något sätt till servern eller kan det vara någon tjänst som agerar som användare?
(Använder servern som samba server och brukar ha "screen rtorrent" igång 24/7.

Permalänk
Medlem

testa who, w eller top för att se vad som körs.

Permalänk
Medlem

08:56:41 up 11:37, 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
username pts/1 domain.se 08:55 0.00s 0.11s 0.00s w

Så står det när jag kör "w".
det står 2 users men endast en visas.

Permalänk
Medlem

Kolla loggarna för ssh om någon mysko har loggat in

Permalänk
Medlem

Hittade detta i loggen:
Verkar som att något händer varje timme (xx:17:01).

Jan 23 00:17:01 serv2400 CRON[4790]: (pam_unix) session opened for user root by (uid=0)
Jan 23 00:17:01 serv2400 CRON[4790]: (pam_unix) session closed for user root
Jan 23 01:17:01 serv2400 CRON[4820]: (pam_unix) session opened for user root by (uid=0)
Jan 23 01:17:01 serv2400 CRON[4820]: (pam_unix) session closed for user root
Jan 23 02:17:01 serv2400 CRON[4850]: (pam_unix) session opened for user root by (uid=0)
Jan 23 02:17:01 serv2400 CRON[4850]: (pam_unix) session closed for user root
Jan 23 03:17:01 serv2400 CRON[4886]: (pam_unix) session opened for user root by (uid=0)
Jan 23 03:17:01 serv2400 CRON[4886]: (pam_unix) session closed for user root
Jan 23 04:17:01 serv2400 CRON[4922]: (pam_unix) session opened for user root by (uid=0)
Jan 23 04:17:01 serv2400 CRON[4922]: (pam_unix) session closed for user root
Jan 23 05:17:01 serv2400 CRON[4958]: (pam_unix) session opened for user root by (uid=0)
Jan 23 05:17:01 serv2400 CRON[4958]: (pam_unix) session closed for user root
Jan 23 06:17:01 serv2400 CRON[4994]: (pam_unix) session opened for user root by (uid=0)
Jan 23 06:17:01 serv2400 CRON[4994]: (pam_unix) session closed for user root
Jan 23 06:25:01 serv2400 CRON[5000]: (pam_unix) session opened for user root by (uid=0)
Jan 23 06:25:01 serv2400 CRON[5000]: (pam_unix) session closed for user root
Jan 23 07:17:01 serv2400 CRON[5029]: (pam_unix) session opened for user root by (uid=0)
Jan 23 07:17:01 serv2400 CRON[5029]: (pam_unix) session closed for user root
Jan 23 07:30:01 serv2400 CRON[5035]: (pam_unix) session opened for user root by (uid=0)
Jan 23 07:30:01 serv2400 CRON[5035]: (pam_unix) session closed for user root
Jan 23 08:17:01 serv2400 CRON[5199]: (pam_unix) session opened for user root by (uid=0)
Jan 23 08:17:01 serv2400 CRON[5199]: (pam_unix) session closed for user root

\\EDIT
Hittade inga script under min cron.houry mapp heller.

Permalänk
Medlem

Vad är CRON för något? Vanliga cron vet jag om, men CRON med stora bokstäver kan ju vara vfsh.

Permalänk
Medlem

Nej din dator är inte hackad. Men om du fortfarande oroar dig, ominstallera den.

Permalänk
Medlem

Har tittat i auth loggarna och du har rätt, den är inte hackad.
(Även om det var många attacker, alla misslyckade tack och lov)

Men det vore bra och veta vad den dolda användaren gör och hur man kan avaktivera den.

Permalänk
Medlem

om du kör screen så kan det vara den som jävlas med dig, lite beroende på inställnignar så skriver screen ner inloggningar i wtmp/utmp eller inte. så testa att slå av alla screen sessioner och se om du ser någon skillnad.

hela poängen med att hacka en maskin är ju som att inte synas, så hade som varit mer orolig om du inte hade sett någon användare men andra underligheter...

Permalänk
Medlem

Avaktivera root via ssh om du nu har root-konto på din ubuntu server. Tillåt bara de användare som ska kunna logga in via ssh. Läs vidare här t.ex. http://www.debian-administration.org/articles/87

Sen vad gäller users så körs ju vissa av dina tjänster som egna users, typ dhcp, mysql, apache... eller vad du nu kör?