人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

last コマンドとファイルのタイムスタンプについて質問です。
CentOS 5 を使ってます。
httpd.conf のタイムスタンプを見ると以下の結果でした。
-rw-r--r-- 1 root root 9984 4月 15 15:35 httpd.conf

この時間にいじった覚えが無いので last コマンドでその辺りの
部分を見てみると以下となっていました。
info@kit ftpd13378 ::ffff:212.10.12 Thu Apr 15 16:26 - 16:26 (00:00)
shouhen pts/1 hoge.example.com Thu Apr 15 15:20 - 15:23 (00:03)

結果、誰もログインしていない時間帯だと思うのですが、
このような事ってあるのでしょうか?不正アタック?それとも ctime とか atime とかの関係で、
起こり得る?

●質問者: naoponsub
●カテゴリ:コンピュータ インターネット
✍キーワード:00 23 4月 CentOS example.com
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● kick_m
●1ポイント

いじったおぼえがなければ、誰かがいじったということでしょうねぇ。

◎質問者からの返答

すみません。回答になっていないので却下です。

「誰か」は居ないハズというの質問しているので…


2 ● pyopyopyo
●69ポイント

unixやlinuxは、ログインしなくても、ファイルを編集できます。

たとえば

$ ssh ホスト名 vi httpd.conf

とすれば ログインせずに vi コマンドが起動でき、ファイル httpd.conf が編集できます。この場合ログインはしていないので、last コマンドの記録には残りません。

厳密な話は、マニュアルを見てください。

$ man last

このようにlastコマンドには罠があります。ですので、ちゃんと調べる際には last コマンドは使わずに、ユーザ認証のログファイルを確認します。たとえば

です。このようなログファイルには、

時刻 .... pam ... session opened for "ユーザ名"

という形で、プログラム(=session)の開始時刻や、接続元のIPアドレスが記録されています。

まずはこれらログファイルを調査しましょう。

◎質問者からの返答

ふむふむ。

当環境には auth.log はありませんでしたが、勉強になりました。

ありがとうございます!

で、

後で気付いたのですが、当方、Webmin の様なツールを使っています。

当時はこのツールを操作していたので、これが原因の可能性が高いです。

っていうかコレでした。トホホ…。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ