Neocekavana zmena default gateway
Dan Lukes
dan at obluda.cz
Mon Dec 17 11:19:03 CET 2012
On 12/17/12 07:06, Radek Krejča:
> got message of size 192 on Mon Dec 17 06:39:30 2012
> RTM_DELETE: Delete Route: len 192, pid: 18941, seq 1, errno 0, flags:<GATEWAY,DONE,STATIC>
> locks: inits:
> sockaddrs: <DST,GATEWAY,NETMASK>
> default 189.71.208.123 default
"Delete route" - tos nasel misto, kde to nekdo mazal, nikoliv pridaval.
Rozhodne ale vidime, kdo TUTO manipulaci provadel. Byl to proces s PID=18941
Ten sice o neco pozdeji, v dobe, kdy's napsal ps -ax, uz nebezel, ale
informace to rozhodne je.
Bohuzel, podivny pocit me nuti vyslovit podezreni, ze neprilsi vyznamna,
protoze podle hodnot PID v systemu se obavam, ze to cos zachytil byl uz
tvuj vlastni pokus vratit system do korektniho stavu (a tedy jsi smazal
tuto default route z prikazove radky ty).
Ale POKUD je pravda, ze ti 'route monitor' zachytava informace o
manipulaci s defalt route (a ne jen tvoje vlastni), pak zbyva uz jen
zjistit co pod danym PID bezelo - a nasledne - kdo a proc to spustil.
> At koukam, jak koukam, proste tam zadny podezrely proces nevidim, prihlasen nikdo nebyl....
Na to abych spustil proces nemusim byt prihlasen. Na to staci cron.
Napriklad - nerikam, ze ten za tim je.
Dan
More information about the Users-l
mailing list