Вот такую запись увидел при просмотре last от рута на CentOS (захожу по ssh от имени muser по сертификату+пароль, потом "su -".# last
...
muser pts/0 ip-83-149-3-205. Thu Aug 16 16:42 - 16:43 (00:01)
...Адрес 83.149.3.205 принадлежит Мегафону. Если честно, не припомню, чтобы я заходил с моб. устройства или через модем. Но Мегафон - наш провайдер интернет, выдает нам выделенные IP-адреса (совершенно другие) для наших роутеров. Т.е. по-идее, если я и заходил с работы, то IP источника был бы другим. Из дома провайдер другой, не мегафон.
Вопрос: есть ли в данном варианте иное толкование, чем тривиально напрашивающийся вывод?
>[оверквотинг удален]
> ...
> muser pts/0
> ip-83-149-3-205. Thu Aug 16 16:42 - 16:43 (00:01)
> ...
> Адрес 83.149.3.205 принадлежит Мегафону. Если честно, не припомню, чтобы я заходил с
> моб. устройства или через модем. Но Мегафон - наш провайдер интернет,
> выдает нам выделенные IP-адреса (совершенно другие) для наших роутеров. Т.е. по-идее,
> если я и заходил с работы, то IP источника был бы
> другим. Из дома провайдер другой, не мегафон.
> Вопрос: есть ли в данном варианте иное толкование, чем тривиально напрашивающийся вывод?солнечная радиация воздействовала на магнитные домены жесткого диска и создала такую запись в файловой системе.
Вам смешно. А я вот не шибко веселюсь. В этом варианте запись 83-149-3-205 - это 83.149.3.205, не перевернутая (205.3.149.83 - кстати, любопытный дает whois :))), а именно 83.149.3.205?Время 00:01 - длительность попытки входа или длительность сеанса? По-идее, сеанса. Сеанс 1 секунда. Залогинился, залил шелл, свалил. Хватит? Хватит. Хммм...
Учитывая, что время входа - рабочее, пятница, можно предположить, что сеанс, установленный из офисной сети, почему-то пошел через роутер провайдера на этом IP (83.149.3.205), и этот IP остался в логах, а не как обычно, офисный IP.
Напишу-ка я прову, вдруг что-нибудь проясниться.
> Вам смешно. А я вот не шибко веселюсь. В этом варианте запись
> 83-149-3-205 - это 83.149.3.205, не перевернутая (205.3.149.83 - кстати, любопытный дает
> whois :))), а именно 83.149.3.205?прямой
> Время 00:01 - длительность попытки входа или длительность сеанса? По-идее, сеанса. Сеанс
> 1 секунда. Залогинился, залил шелл, свалил. Хватит? Хватит. Хммм...сеанс 1-2 минуты
> Учитывая, что время входа - рабочее, пятница, можно предположить, что сеанс, установленный
> из офисной сети, почему-то пошел через роутер провайдера на этом IP
> (83.149.3.205), и этот IP остался в логах, а не как обычно,
> офисный IP.на этой машине запустите tcpdump, а с роутеров или из-за них обращайтесь и смотрите какие будут адреса
> Напишу-ка я прову, вдруг что-нибудь проясниться.
в /var/log/auth.log ( если есть ) посмотрите так же
[...]
> из офисной сети, почему-то пошел через роутер провайдера на этом IP
> (83.149.3.205), и этот IP остался в логах, а не как обычно,
> офисный IP.
> Напишу-ка я прову, вдруг что-нибудь проясниться.Напиши лучше last -i. А то окажется, что этот ip-83-149-3-205.xxx.xxx - одна и та же запись в обратной зоне для всех адресов.
> Напиши лучше last -i. А то окажется, что этот ip-83-149-3-205.xxx.xxx - одна
> и та же запись в обратной зоне для всех адресов.Не смог отписаться раньше, проверял, то же самое. Вероятность того, что это не взлом, очень высокая (наш пров - мегафон, мегафон-модем в запасной роутер воткнут, ip мегафона же). Но есть, проверяю. Жаль, Мегафон не может дать mac роутера, с короторого был коннект. Я им предлагал, мол, давайте вышлю номера моих модемов, хотя бы подтвердите, они или нет. Ответили, ничего такого не можем, история привязок "моб. номер"/"арендованный ip" не ведется. Врут, но я не полиция ))
Спасибо за отклик!