Comando Who [RESOLVIDO]

ggbh
(usa Slackware)

Enviado em 20/07/2009 - 10:48h

Pessoal,

Me ajudem a entender isso, veja a saída do comando who:
----------------------------------------------------------------
root@si [~]# who
root pts/0 Jul 20 09:56 (189.26.215.157.dynamic.adsl.gvt.net.br)
root pts/2 Jul 6 10:20 (189.59.144.214.dynamic.adsl.gvt.net.br)
root pts/3 Jul 6 11:28 (189.59.144.214.dynamic.adsl.gvt.net.br)
-----------------------------------------------------------------
root@si [~]# who -a
Jun 2 03:46 205 id=si term=0 exit=0
system boot Jun 2 03:46
run-level 3 Jun 2 03:46 last=S
Jun 2 03:47 1715 id=l3 term=0 exit=0
LOGIN tty1 Jun 2 03:47 2789 id=1
LOGIN tty2 Jun 2 03:47 2790 id=2
LOGIN tty3 Jun 2 03:47 2791 id=3
LOGIN tty4 Jun 2 03:47 2792 id=4
LOGIN tty5 Jun 2 03:47 2793 id=5
LOGIN tty6 Jun 2 03:47 2794 id=6
LOGIN ttyS0 Jun 2 03:47 2795 id=ag
root + pts/0 Jul 20 09:56 . 17336 (189.26.215.157.dynamic.adsl.gvt.net.br)
pts/1 Jul 13 12:52 21622 id=ts/1 term=0 exit=0
root ? pts/2 Jul 6 10:20 ? 13040 (189.59.144.214.dynamic.adsl.gvt.net.br)
root ? pts/3 Jul 6 11:28 ? 18347 (189.59.144.214.dynamic.adsl.gvt.net.br)
pts/4 Jul 6 14:23 20638 id=ts/4 term=0 exit=0
-----------------------------------------------------------------

Bem, o comando "ps" não me mostra as conexões no pts/2 pts/3, veja:

root 15781 1 0 09:26 ? 00:00:00 /usr/sbin/sshd
root 17297 15781 0 09:55 ? 00:00:00 sshd: root@pts/0
root 20602 17336 0 10:46 pts/0 00:00:00 grep sshd

O que pode estar acontecento? Como eliminar esta conexões zumbis?

Agradeço,
GG

pogo
(usa Fedora)

Enviado em 20/07/2009 - 11:18h

Geralmente, o ps aux mostra sim. Aqui eu rodo o seguinte comando:

ps aux | grep pts

E ele retorna os PID's e todas as outras informações que facilitam na hora de matar o processo.

Outra escolha que você tem é usar o tcpkill. No meu site tem uma dica sobre ele: www.pedropereira.net/como-matar-conexoes-que-aparecem-no-netstat/">http://www.pedropereira.net/como-matar-conexoes-que-aparecem-no-netstat/.

[]'s

Pedro Pereira
www.pedropereira.net

removido
(usa Nenhuma)

Enviado em 20/07/2009 - 11:37h

Boa dica, estava com o mesmo problema

renato_pacheco
(usa Debian)

Enviado em 20/07/2009 - 12:35h

Estranho... tem jeito d, antes d vc matar o processo, vc mostrar q processo tava gerando tais conexões? É bom pra q alguém veja q processo é esse ou estudar sobre o dito cujo.

ggbh
(usa Slackware)

Enviado em 20/07/2009 - 19:56h

Olha a saída do comando: ps aux | grep pts

root@siao [~]# ps aux | grep pts
root 15407 0.0 0.2 8432 2328 ? Ss 19:55 0:00 sshd: root@pts/0
root 15419 0.1 0.1 5912 1428 pts/0 Ss 19:55 0:00 -bash
root 15460 0.0 0.0 3364 764 pts/0 R+ 19:55 0:00 ps aux
root 15461 0.0 0.0 4748 640 pts/0 R+ 19:55 0:00 grep pts

renato_pacheco
(usa Debian)

Enviado em 20/07/2009 - 23:46h

É... pelo visto estavam t invadindo por ssh. Vc pode consertar esse furo atualizando-o para uma versão mais recente e modificar uma opção dentro do /etc/ssh/ssh_config "PermitLoginRoot" para "no".