Сегодня утром security check output прислал:
kernel log messages:
> 21:50 arhang login: ROOT LOGIN (root) ON ttyv0

Но я НЕ ВХОДИЛ в это время. И ни кто другой тоже не мог.

who пишет только об одном руте.

last пишет
root      ttyv0        Thu Apr 17  08:38 still logget in
root      ttyv0         Fri  Apr  11 16:04 - 09:33 (2+17:29) - это я рутом зашел и оставил
root      ttyv0         Fri  Apr  11 09:36 - 09:54 (00:18)

Чего делать ?

• АААА, помогите. ЭТО ВЗЛОМ ?!!!!!,FM, 10:59 , 17-Апр-03
  • АААА, помогите. ЭТО ВЗЛОМ ?!!!!!,Mantis, 12:17 , 17-Апр-03
• АААА, помогите. ЭТО ВЗЛОМ ?!!!!!,dawnshade, 14:04 , 17-Апр-03
  • АААА, помогите. ЭТО ВЗЛОМ ?!!!!!,pavel, 02:27 , 18-Апр-03
• АААА, помогите. ЭТО ВЗЛОМ ?!!!!!,maxus, 02:43 , 18-Апр-03

>Чего делать ?

Качай chkrootkit с  http://www.chkrootkit.org/, там же почитаешь что и как делать.

>
>>Чего делать ?
>
>
>Качай chkrootkit с  http://www.chkrootkit.org/, там же почитаешь что и как делать.
>

Все проверил. Все ок. Полазил по логам - тоже все ок. Вроде ни чего не сломано и не пропало. Но сам факт сообщения очень смущает.

>Сегодня утром security check output прислал:
>kernel log messages:
>> 21:50 arhang login: ROOT LOGIN (root) ON ttyv0
>
>Но я НЕ ВХОДИЛ в это время. И ни кто другой тоже
>не мог.
>
>who пишет только об одном руте.
>
>last пишет
>root      ttyv0      
>  Thu Apr 17  08:38 still logget in
>root      ttyv0      
>   Fri  Apr  11 16:04 - 09:33
>(2+17:29) - это я рутом зашел и оставил
>root      ttyv0      
>   Fri  Apr  11 09:36 - 09:54
>(00:18)
>
>Чего делать ?

Так ttyv0 - это ж локальная консоль. Подумай кто мог быть в это время рядом с сервера. и что показывает w?

не думай, руби все в капусту и ставь заново....

а ось какая?
если пингвин... то давно ли читал bugtraq =)
потому как относительно недавно появилась дыра в ветке 2.4 и мож быть в 2.2 - не упомню уже =))