Neocekavana zmena default gateway

[Radek Krejča]

> On 12/17/12 07:06, Radek Krejča:
> > got message of size 192 on Mon Dec 17 06:39:30 2012
> > RTM_DELETE: Delete Route: len 192, pid: 18941, seq 1, errno 0,
> flags:<GATEWAY,DONE,STATIC>
> > locks:  inits:
> > sockaddrs: <DST,GATEWAY,NETMASK>
> >   default 189.71.208.123 default
> 
> "Delete route" - tos nasel misto, kde to nekdo mazal, nikoliv pridaval.
> Rozhodne ale vidime, kdo TUTO manipulaci provadel. Byl to proces s PID=18941

NO, ja nic nedelal, napred jsem toto vytahl. Take je dulezite, z ten default, je to ip, na ktere byla brana skutecne nastavena. 

> 
> Ten sice o neco pozdeji, v dobe, kdy's napsal ps -ax, uz nebezel, ale
> informace to rozhodne je.
> 
> Bohuzel, podivny pocit me nuti vyslovit podezreni, ze neprilsi vyznamna,
> protoze podle hodnot PID v systemu se obavam, ze to cos zachytil byl uz
> tvuj vlastni pokus vratit system do korektniho stavu (a tedy jsi smazal
> tuto default route z prikazove radky ty).
> 
> Ale POKUD je pravda, ze ti 'route monitor' zachytava informace o
> manipulaci s defalt route (a ne jen tvoje vlastni), pak zbyva uz jen
> zjistit co pod danym PID bezelo - a nasledne - kdo a proc to spustil.

A to zpetne jsem schopen udelat jak?

> 
> > At koukam, jak koukam, proste tam zadny podezrely proces nevidim, prihlasen
> nikdo nebyl....
> 
> Na to abych spustil proces nemusim byt prihlasen. Na to staci cron.
> Napriklad - nerikam, ze ten za tim je.

NO, dnes to pada kazdou chvili. Otazka tedy je, zda muze icmp redirect zmenit default branu - to nevim, muze?

Radek