last コマンドとファイルのタイムスタンプについて質問です。

CentOS 5 を使ってます。
httpd.conf のタイムスタンプを見ると以下の結果でした。
-rw-r--r-- 1 root root 9984 4月 15 15:35 httpd.conf

この時間にいじった覚えが無いので last コマンドでその辺りの
部分を見てみると以下となっていました。
info@kit ftpd13378 ::ffff:212.10.12 Thu Apr 15 16:26 - 16:26 (00:00)
shouhen pts/1 hoge.example.com Thu Apr 15 15:20 - 15:23 (00:03)

結果、誰もログインしていない時間帯だと思うのですが、
このような事ってあるのでしょうか?不正アタック?それとも ctime とか atime とかの関係で、
起こり得る?

回答の条件
  • 1人1回まで
  • 13歳以上
  • 登録:2010/04/15 18:02:05
  • 終了:2010/04/16 17:36:16

回答(2件)

id:kick_m No.1

kick_m回答回数1372ベストアンサー獲得回数542010/04/16 03:08:11

ポイント1pt

いじったおぼえがなければ、誰かがいじったということでしょうねぇ。

id:naoponsub

すみません。回答になっていないので却下です。

「誰か」は居ないハズというの質問しているので…

2010/04/16 17:23:39
id:pyopyopyo No.2

pyopyopyo回答回数335ベストアンサー獲得回数792010/04/16 05:29:32

ポイント69pt

unixやlinuxは、ログインしなくても、ファイルを編集できます。

たとえば

$ ssh ホスト名 vi httpd.conf

とすれば ログインせずに vi コマンドが起動でき、ファイル httpd.conf が編集できます。この場合ログインはしていないので、last コマンドの記録には残りません。

厳密な話は、マニュアルを見てください。

$ man last

このようにlastコマンドには罠があります。ですので、ちゃんと調べる際には last コマンドは使わずに、ユーザ認証のログファイルを確認します。たとえば

  • /var/log/auth.log
  • /var/log/secure

です。このようなログファイルには、

時刻 .... pam ...  session opened for "ユーザ名"

という形で、プログラム(=session)の開始時刻や、接続元のIPアドレスが記録されています。

まずはこれらログファイルを調査しましょう。

id:naoponsub

ふむふむ。

当環境には auth.log はありませんでしたが、勉強になりました。

ありがとうございます!

で、

後で気付いたのですが、当方、Webmin の様なツールを使っています。

当時はこのツールを操作していたので、これが原因の可能性が高いです。

っていうかコレでした。トホホ…。

2010/04/16 17:35:16

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません