vipw lockfile (/etc/ptmp) is present!

[dZ]

Hallo !!!

war da wer bei mir ???

ich habe exact die symtome wie auf http://lwn.net/Articles/6137/ denn


useradd einuser

bricht ab mit der meldung:

vipw lockfile (/etc/ptmp) is present!

eine menge datein zb in /var log messages haben einen neue gruppe, sieht aus wie folgt:

vipw lockfile (/etc/ptmp) is present!

-rw-r----- 1 root adm 72948 Nov 17 23:05 ksyms.4
-rw-r----- 1 root adm 76253 Nov 17 12:09 ksyms.5
-rw-r----- 1 root adm 72948 Nov 15 21:03 ksyms.6
-rw-r----- 1 root adm 146876 Nov 19 11:14 lastlog
drwxr-xr-x 2 root root 4096 Oct 22 22:48 linuxconf/
drwxr-xr-x 2 root root 4096 Oct 22 22:44 lpr/
drwxr-xr-x 2 root root 4096 Oct 22 22:44 mail/
-rw-r----- 1 root adm 2453084 Nov 19 11:15 messages
-rw-r----- 1 root adm 0 Oct 22 22:48 netconf.log
drwxr-xr-x 2 root root 4096 Oct 22 23:03 news/
-rw-r----- 1 root adm 21581 Nov 16 04:04 rpmpkgs
drwxr-xr-x 2 root root 4096 Sep 5 12:43 samba/
-rw-r----- 1 root adm 6549 Oct 27 23:35 scrollkeeper.log
-rw-r----- 1 root adm 6678 Nov 19 11:14 secure
drwxr-xr-x 2 root root 4096 Nov 16 04:04 security/
-rw-r----- 1 root adm 11019 Nov 16 04:04 security.log
-rw-r----- 1 root adm 0 Oct 22 22:44 spooler
-rw-r----- 1 root adm 2595397 Nov 19 11:15 syslog
-rw-r----- 1 root adm 16929 Nov 15 11:38 urpmi.log
-rw-r----- 1 root adm 177785 Nov 19 11:15 user.log
-rw-r----- 1 root adm 746496 Nov 19 2002 wtmp
-rw-r----- 1 root adm 20624 Nov 19 2002 XFree86.0.log
-rw-r----- 1 root adm 20726 Oct 22 23:01 XFree86.9.log

kennt wer das problem was geht hier vor, soweit ich das nun verstanden habe wird, wenn ich die datei ptmp lösche, das "script" aktiv und fügt passwörter hinzu ???

eigentlich bin ich mit meinem rechner hinter einem NAT router und mache regelmäßig die securityupdates

kann mir bitter wer sagen was bei mir abgeht ???

thx mfg dZ

[joel]

Sieht wohl fast so aus. Sehr gut dass du rechtzeitig geschnallt hast und es nicht geloescht hast!
Hat irgendjemand Zugriff auf deinen Rechner ausser dir? Hast du irgendwelche Services am laufen?
Hat sich deine passwd geaendert? Kriegst du mit "last" Eintrage von User die sich nicht einloggen
duerften? Laeuft ein "chfn"-Prozess?

Ist chfn und chsh setuid?

Gruss
Joel

[dZ]

danke für die schnelle antwort:

das ist mein "arbeitsplatzrechner ... für studenten".. mit absoluter minimalkonfiguration, nur ich habe zugang.

chfn und chsh waren auf 4711 gesetzt also ja, es läuft kein prozess mit chsh, und last sieht auch "clean" aus

ich arbeite so gut wie nie als root, wenn dann nur zum installieren und updaten per su


ich glaube ich geh jetzt rohlinge kaufen und brenn mir debian woody auf cd, gestern frisch runtergeladen , und dann mach ich den rechner platt.

wie hab ich mir das "eingehandelt" ???

thx mfg dZ

[joel]

Also es ist so, chsh und chfn werden fuer die Benutzerdatenderungen benutzt. Wenn du also in
letzter Zeit keinen User kreiert hast oder eines der beiden Tools benutzt hast und sonst
kein Login auf deiner Maschine ist ist das ganze ein wenig seltsam. Ansonsten kannst du das
ganze loeschen. Aber das setuid wuerd ich von chsh und chfn trotzdem wegnehmen wenn du der einzige
User bist.

[dZ]

Note that there is no easy way to diagnose who created /etc/ptmp and
for what reason they created it.

hmmm....., aufgefallen ist es mir eingentlich nur weil ich eben gerade einen neuen user anlegen wollte .... ich habe mir die log files alle (ok .. ich gebes zu ein paar) nochmal angeschaut und mir ist nichts verdächtiges aufgefallen, die brechtigungen stell ich um und schau mal was alles noch passiert, wichtige daten sind eh auf CD da kann nicht viel passieren

besten dank dZ