who -a : Woher kommen die denn her??

Status
Für weitere Antworten geschlossen.

brutusalem

Benutzer
Mitglied seit
17. Apr 2012
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Tach,

heute update auf DSM 4.3

Wo kommen denn diese user her und wieso haben die eine ip?


root ~ $ who -a
USER TTY IDLE TIME HOST
LOGIN console old Aug 28 16:50:29
reboot ~ ? Aug 28 16:51:21 2.6.32.12
runlevel ~ ? Aug 28 16:51:21 2.6.32.12
root pts/1 00:00 Aug 28 18:21:57 62.143.xxx.xx (<--- ich, ist ok)


utrace sagt mir:

IP-Adresse: 2.6.32.12
Provider: France Telecom
Region: Lormont (FR)

Kann mir das jemand erklären?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
siehst du diese Verbindungen auch mit netstat? Wenn ja von welchen Ports an welche Ports gehen sie? Könntest auch mal mit tcpdump schauen ob Pakete zu diesen IPs gehen. Dann würde ich als nächstes sofort die IP mal in der Firewall sperren und gucken ob sich etwas ändert.
Vielleicht kommt das von irgendwelchen Paketen welche du installiert hast. Gerade die Logins machen mich etwas stutzig. Sie sind aber scheinbar ohne Konsole, also kaum eingeloggt
Hast du allenfalls den SSH und/oder telnet von aussen erreichbar?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.872
Punkte
488
Kann mir das jemand erklären?
Nee, ist bei mir auch so.
Code:
DS212> who -a
USER       TTY      IDLE      TIME            HOST
LOGIN      console  old       Aug 27 17:51:31
reboot     ~        ?         Aug 27 17:53:34 2.6.32.12
runlevel   ~        ?         Aug 27 17:53:34 2.6.32.12
root       pts/1    00:00     Aug 28 19:06:50 192.168.0.10

Hat NSA zufällig einen Sitz in Bordeaux?
Code:
C:\>nslookup 2.6.32.12
...
Name:    ABordeaux-652-1-113-12.w2-6.abo.wanadoo.fr
Address:  2.6.32.12
 
Zuletzt bearbeitet:

brutusalem

Benutzer
Mitglied seit
17. Apr 2012
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Folgende Ports sind bei mir offen:

1194 (openvpn)
5001

für ssh neununvierzihtausendirgendwas umgeleitet auf 22

nun bekommen aber folgendes einen ganz anderen Beigeschmack:

Verbinde ich mich mit openvpn auf meine DS212+, entstehen Zombies:

12931 root 0 Z [synoautoblock]
13049 root 0 Z [synoautoblock]
13066 root 0 Z [synoautoblock]
13068 root 0 Z [synovpnlog]


Ich krieg die Krise....
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
2.6.32.12 ist laut Wiki aber auch die letzte bekannte Kernel-Version für ARM und PPC ...
Ich denke da gibt es einen Zusammenhang. Die Tabelle oben sieht auch etwas verschoben aus, oder listet who -a immer als "idle"-Wert für "LOGIN" schlicht "old"?

MfG Matthieu
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@matthieu
das wäre eine gute Erklärung

@brutusalem
schau auch ob du allenfalls Verbindungen zu dieser IP offen hast
Code:
netstat -tun | grep IP_ADRESSE
nur für den Fall, dass es doch nicht die Kernelversion ist. Wobei die Erklärung von Matthieu für mich für Synology durchaus Sinn machen würde ;-)
 

brutusalem

Benutzer
Mitglied seit
17. Apr 2012
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
USER TTY IDLE TIME HOST
LOGIN console old Aug 28 16:50:29
reboot ~ ? Aug 28 16:51:21 2.6.32.12
runlevel ~ ? Aug 28 18:40:08 2.6.32.12
root pts/4 00:00 Aug 28 19:21:02 62.143.xxx.xx


Der idle-Wert für login ist immer old. Der war auch vorher nach jedem reboot vorhanden,
da war synology etwas schlampig.
Neu seit 4.3 sind reboot und runlevel.
 

brutusalem

Benutzer
Mitglied seit
17. Apr 2012
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
@jahlives

zu welcher ip?
Es sind nur Verbindungen zu meiner ip offen, nicht zu 2.6.32.12
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
Hallo,
auf der DS411+II (Atom) ist der Host für die beiden 3.2.40, also die Kernel-Version.
@jahlives -> Bier gewonnen:D

Gruß Götz
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@goetz
bei der DS411+II (Atom) kann man es wenigstens nicht mit einer IP verwechseln :)

Gruss

tobi
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
jenau :)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
nochmals @goetz
Das nenn ich mal einen aktuellen Kernel. Wheezy hat glaub 3.2.0-4
Sogar von den Möglichst-Aktuell-Fetischisten aka Fedora ist das nicht mehr soooo weit entfernt :D

Gruss

tobi
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
DS411plusII> uname -a
Linux DS411plusII 3.2.40 #3776 SMP Sat Aug 17 02:16:50 CST 2013 x86_64 GNU/Linux synology_x86_411+II

oder hat da jemand einen Zahlendreher eingebaut?

Gruß Götz
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Code:
uname -a
Linux log1 3.2.0-4-amd64 #1 SMP Debian 3.2.46-1 x86_64 GNU/Linux
kein Zahlendreher, deine DS scheint aktueller zu sein als Wheezy :)
Bis zu Fedora dauert es dann aber noch ein bissl :)
Code:
Linux narvik.local 3.10.9-200.fc19.x86_64 #1 SMP Wed Aug 21 19:27:58 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
Hallo,
Linux narvik.local
Du Lump:D soweit bin ich bisher nicht gekommen (auf dem Festland), von Bognes direkt auf die Lovoten gemacht, ich glaub ich drifte grad völlig ab, SORRY.

Gruß Götz
 

brutusalem

Benutzer
Mitglied seit
17. Apr 2012
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Hier mal die kompetente Antwort vom (deutschen) Support:

[...] die User, die Sie dort angezeigt bekommen sind nicht relevant, da es sich hier um Systemuser handelt, die die DiskStation für diverse Aufgaben benötigt. [...]
Bitte haben Sie Verständnis, das wir keinen Support für Shell Operationen bieten!

Ebenfalls habe ich keinen Überblick, welche Routinen unsere Entwickler für die Pakete oder das System benutzen. [...]


Dann lösch' ich die nicht vorhandenen user eben selber:

cp /dev/null /var/run/utmp

Weg sind sie.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat