Neocekavana zmena default gateway

Dan Lukes dan at obluda.cz
Mon Dec 17 11:19:03 CET 2012


On 12/17/12 07:06, Radek Krejča:
> got message of size 192 on Mon Dec 17 06:39:30 2012
> RTM_DELETE: Delete Route: len 192, pid: 18941, seq 1, errno 0, flags:<GATEWAY,DONE,STATIC>
> locks:  inits:
> sockaddrs: <DST,GATEWAY,NETMASK>
>   default 189.71.208.123 default

"Delete route" - tos nasel misto, kde to nekdo mazal, nikoliv pridaval. 
Rozhodne ale vidime, kdo TUTO manipulaci provadel. Byl to proces s PID=18941

Ten sice o neco pozdeji, v dobe, kdy's napsal ps -ax, uz nebezel, ale 
informace to rozhodne je.

Bohuzel, podivny pocit me nuti vyslovit podezreni, ze neprilsi vyznamna, 
protoze podle hodnot PID v systemu se obavam, ze to cos zachytil byl uz 
tvuj vlastni pokus vratit system do korektniho stavu (a tedy jsi smazal 
tuto default route z prikazove radky ty).

Ale POKUD je pravda, ze ti 'route monitor' zachytava informace o 
manipulaci s defalt route (a ne jen tvoje vlastni), pak zbyva uz jen 
zjistit co pod danym PID bezelo - a nasledne - kdo a proc to spustil.

> At koukam, jak koukam, proste tam zadny podezrely proces nevidim, prihlasen nikdo nebyl....

Na to abych spustil proces nemusim byt prihlasen. Na to staci cron. 
Napriklad - nerikam, ze ten za tim je.

Dan






More information about the Users-l mailing list