On Mon, 26 Nov 2012 11:24:22 +0100 (CET), borneo wrote:
> Wie kommst Du zu der Annahme, daß es sich um gültige IP
Adressen
> handelt? Und warum verwendest Du überhaupt Option -o, wenn Deine
> Dateien doch nicht das "old libc format" verwenden?
Es sieht wie eine IP Adresse aus,
Beliebige 4 Bytes können als IPv4 Adresse dargestellt werden. Ob dabei
ein gültige Adresse herauskommt, ist fraglich. Zitiert habe ich zuvor
128.4.0.0 als ein Beispiel aus der Ausgabe, das zum Nachdenken anregt.
Von all denen, die nicht mit .0.0 enden und nicht rückwärts auflösbar
sind, mal abgesehen.
es wird im IP-Feld protokoliert
Da liegt der Hund begraben. An welcher Stelle der Datei das "IP-Feld" liegt,
wird durch die Option -o bestimmt. Paßt diese Angabe nicht zur tatsächlichen
Struktur der Datei, ist die Verwendung der Option -o falsch.
[0] [00000] [tux ] [ ] [ ] [ ] [58.112.116.115 ] [ ]
Wonach sieht es denn aus ?
oder das
[0] [00000][shut][] [] [] [51.46.54.46][Sat Sep 23 13:24:20 2028 CET]
Mit Verlaub, nach Murks. ;-)
Aus meiner Sicht ist es ein anomales Verhalten,
verdaechtige Aktivitaet oder nennen Sie es wie Sie moechten.
Haette ich es gewusst, wuerde ich diese Frage nicht in die Runde
stellen.
Ist doch auch nicht schlimm. Aber Rückfragen dürfen doch erlaubt sein,
oder?
Was die alte libc5 angeht, denke ich, dass es
immer noch die Moeglichkeiten gibt, den Schadcode auf alte
Bibliotheken zu linken und statisch in das Programm einzukompilieren.
Als Kompatibilitaetsloesung so zu sagen.
Na ja, es werden in erster Linie Systemprogramme a la init, login,
*getty sein, die utmp Einträge aktuell halten. Ein Schadprogramm würde
eher versuchen sich zu verstecken, anstatt Spuren in Systemlogs zu
hinterlassen. Allein die Gefahr, die Struktur dieser Dateien durch
unpassende Einträge zu beschädigen, ist viel zu groß.
Ich weiss nicht, warum utmpdump, last und lastb sich in diesem Modus
so verhalten.
Sehen Sie es aus dem Anwenderstandpunkt an.
Was wuerden Sie denken ?
Daß die Dateien nicht im "old libc5 format" sind und es keinen Sinn
ergibt, den Programmen eine Feldstruktur aufzuzwingen, die zum Inhalt
der Dateien nicht paßt.
--
Fedora release 17 (Beefy Miracle) - Linux 3.6.7-4.fc17.x86_64
loadavg: 0.10 0.45 0.31