понимание логов команды last

И варианты могут быть любые, разве что кроме инопланетян.

Вы не верите в инопланетян, может по этому и не знаете/помните что произошло?

Если цель сброса пароля … восстановить пароль

Если надо сбросить, то сбросят и никому не скажут.

есть ли в принципе такой софт, и отразилось ли бы это как то в логах?

Погуглите как на linux сбросить пароль, наверное это будет ответом.

Слишком много переменных, надо брать все логи что есть и смотреть построчно по дате времени что и где и когда делалось и выявлять уже, кто-то просто дату подрыгал туда/сюда, кто-то через GRUB шаманил пока ты спал или ещё чего. Время ещё само откуда из бивиса или по сети или может ещё что, все логи поднимай и выявляй момент нужный в датах и ещё до и после и гляди.

В любом случае если вдруг подозрения, а дело важное, то сохраняй важное, сноси нахрен систему и ставь чистую. Если даже в теории в ПК влазали, а в теории это нельзя допускать то лишь чистая установка с нуля будет верным решением, всё остальное полумеры

и никому не скажут.

Что значит не скажут? Предположу, что глубокого погружения в машину не было, просто это не нужно. Предположу, что могло быть желание войти , но ничего не искать глубоко, и не скрывать следы. Вот при этих вводных, что показала бы команда last?

надо брать все логи что есть и смотреть построчно по дате времени что и где и когда делалось

в каких журналах в убунте это искать?

кто-то просто дату подрыгал туда/сюда

в каком месте вот именно это можно посмотреть?

в каких журналах в убунте это искать?

Всё что лежит в /var/log но если реально кто лазал, то он просто всё бы затёр и ты ничего там не найдёшь

в каком месте вот именно это можно посмотреть?

Банально history в терминале ввести от пользователя и от рута ещё. Но опять же если кто лазал он мог всё подчистить/подменить

Короче если есть реальные подозрения на то что что-то не то, то пусть у тебя ровно один, сохранить важные данные куда то, снести систему и накатить по новой и перенести важные данные обратно. Всё. Так как это реальная игра в угадайку получится, а если в итоге выяснится что реально кто-то левый лазал то опять же путь будет ровно один и такой же переустановка, так как скомпрометированной системой пользоваться нельзя.

Не мучай себе мозг, установи систему с нуля, поставь пароль на BIOS, узнай как запретить изменение пароля через GRUB, не используй пароль для SSH, а используй ключи. Ну и всё, базовая айти гигиена соблюдена.

По каждому вопросу посвящайся сам, так как важнее понять что всё это и зачем чем просто сделать. Удачки.

Скромно предположу, что изза давности, журналы некоторые перезаписываются, уже не узнать время изменения даты туда\сюда. Вопросы общего плана.

1. Почему может не быть строчки авторизации с этой неправильной датой?
2. Может ли сброситься системное время\дата на рандомную дату при страте с флешки для целей проникновения? И будет ли это (запуск с флешки) видно в терминале (last) ? То есть исходя из строчек терминала выше, можно ли предположить этот сценарий? Если предположить, что маскировать следы проникновения не имеет смысла.

Не мучай себе мозг, установи систему с нуля, поставь пароль на BIOS, узнай как запретить изменение пароля через GRUB, не используй пароль для SSH, а используй ключи. Ну и всё, базовая айти гигиена соблюдена.

Я же написал, это не мой компьютер, он у меня просто лежит на столе ), и я вот и разбираюсь, в том числе и с помощью форума. Нет нужды на этой машине что то переустанавливать, а есть желание понять, как все так вышло. Я почему то наивно думал, что это тревиальные вопросы, и мне запросто на них ответят. Ибо, и ликсу тыща лет, и пользуются им тыщу лет, и я не первый с такими вопросами )

Есть логи и есть журналы.

в каких журналах в убунте это искать?

/var/log/journal

в каком месте вот именно это можно посмотреть?

/var/log

1. Если запустить систему «как живую», то не будет вообще ничего. А это несложно.

2. Запуск с флешки - имеется ввиду «живая система»? Запуск «живой системы» не будет виден нигде. Если только специально на рабочем столе не написать: «Здесь был Вася!»

Запуск с флешки - имеется ввиду «живая система»? Запуск «живой системы» не будет виден нигде.

Отлично, запуск с флешки не сбрасывает системную дату, Но запуск с флешки это ведь один частный случай из возможных вариантов входа , есть ли какие то другие варианты входа , при котором может системная дата сброситься на рандомную? Или дата может быть изменена только ручками?

/var/log/journal

за давностью видимо , за тот период ничего нет, там помоему перезапись идет, я еще год назад смотрел, ничего не было

Может ли сброситься системное время\дата на рандомную дату при страте с флешки для целей проникновения?

При старте с флэшки может быть все что угодно, только причём тут именно ваша система? Или вы только про загрузчик на флэшке?

И будет ли это (запуск с флешки) видно в терминале (last) ?

К вопросу выше.

Может ли сброситься системное время\дата на рандомную дату при страте с флешки для целей проникновения?

Всё может быть. Только вот «загрузка с флэшки» как минимум подразумевает, что «нехороший человек» имеет физический доступ к вашему девайсу, кмк вы не с того конца заходите.

делетант
тревиальные

У вас русский не родной? Или ещё школу не закончили?

вы не с того конца заходите.

Подскажите пожалуйста, с какого конца надо, при условии, что мне нужно всего лишь понять, при тех строчках из терминала , которые выше, какие сценарии наиболее вероятные, без фанатизма, без завиральных идей, инопланетян и прочее. Доступ постороннего человека вполне мог быть, но здесь надо иметь в виду, что это бук не с какими то секретами, скажем так , безинтересный. Сосед по квартире мог например в отсутствии хозяина захотеть посмотреть на голую тетку на рабочем столе, сосед не хацкер, но флешку воткнуть скорее всего мог, что бы сбросить пароль, а затем зайти. Но ведь записи в терминале были бы другие. Мог зайти с флешки в режиме лайв , посмотреть что есть на компьютере, это уже немного фантастика, но все же. В таком случае дата бы не сбросилась, если ее специально не изменить.

Как реализовать вход в систему так, что пользователь «ребут» есть, а авторизованного входа нет? Вход в однопользовательском режиме, рут, или что то другое?

Тебе уже сказали в одном из первых сообщений в теме, что посмотри как в Linux сбрасывается пароль.

Этим же способом можно и в систему попасть, подключить файловые системы, посмотреть и скопировать файлы, даже не нужно сбрасывать пароль и для этого не нужен LiveCD / LiveUSB.

Нужен лишь загрузчик и возможность изменения строки параметров ядра через него. Если стоит grub и нет защиты паролем перед входом в командный режим. То делается всё просто, перезагружаешь систему, ждёшь старта загрузчика, прерываешь автоматический выбор пункта загрузки, нажимаешь клавишу «e», меняешь init, загружаешься и попадаешь в систему в initramfs, далее монтируешь корень, загружаешь модуля ядра (драйверы) для работы сети, доступа к USB накопителям, смотришь и копируешь всё и что тебе нужно, даже не меняя пароля.

Защита от этого - шифрованная корневая и прочие ФС, пароль на вход в командный режим загрузчика grub, запрет загрузки с внешних накопителей и пароль в BIOS.

Получается , что я такой тупой, что не могу объяснить чего я хочу ). Но в начале чего я не хочу… Меня абсолютно не интересует защита ни этого, ни другого компа. Меня не интересует , как войти, у меня есть пароль. Я понимаю, что в убунту легко сбросить пароль и затем войти и делать что угодно. НО… можно ли подобрать или восстановить пароль? Я понимаю,типа зачем, если легко сбросить. Обратите внимание но строчки из терминала… 23 февр. авторизованный вход. Мог ли кто то , как то зайти в систему так, что бы система записала его вход как единственного юзера этого компа alex? Далее… Журнал хранит запись,что обновленное ядро 5.13.0-30 было загружено на компьютер 22 февр. в 06:53 . Это значит, что время было изменено после этого. Затем перезагрузка с новой датой\временем. Логина нет с этой датой временем. Авторизованный вход 23 февраля. Вот теперь давайте порассуждаем… Хозяин ушел куда то, комп в сети, коли загрузка обновления прошла. Подходит сосед, нажимает на кнопку выключения, иначе никак, и с помощью своих хакерских навыков заходит в комп, делает свою грязную работу, и уходит не выключая компа, коли нет записи о еще одной загрузке. Правда непонятно, на каком этапе сосед поменял дату\время, ведь система загрузилась неправильной датой. Приходит
хозяин 23 февраля и каким то образом авторизуется в компе, в том состоянии в котором был оставлен соседом. Я описал сценарий как 100 проц. нуб. Поправьте меня.

НО… можно ли подобрать или восстановить пароль?

Имея физический неконтролируемый доступ к компу, подбирать нет смысла.

Я могу лишь сказать, что, скорее, всего 20 февраля было выполнено обновление ядра и установка времени, а затем нажат ресет, далее загрузка с новым ядром, где уже системе синхронизировала время по NTP.

Что и когда было - смотри системный журнал через journaltl.

Тебе никто ничего не обязан объяснять, с другой стороны - ты и не обязан ничего принимать из написанного. Но нафейхуа ты сюда тогда пришёл?

Батарейка в норме, за продолжительное время, хоть комп бывает и по полгода стоит , не включается, ни разу системного сбоя не было.

Откуда ты знаешь? Это же не твой ноут. Со слов хозяина? Он мог и не заметить.

Для начала скажи, сколько ноуту лет. Из этого будем судить, что там с батарейкой.

Вы еще на длительность внимания не обращаете. Посмотрите last -F, увидете, что все system boot указывают на одно число, когда система была штатно перезагружена и будет запись «shutdown system down». А так, получается, что она у вас падает каждый месяц, не знаю, по питанию или reset нажимают.

ЕМНИП, по умолчанию в Ubuntu был /var/log/btmp, так что может у вас будет какой выхлоп с lastb — неудачные попытки логина.

скорее, всего 20 февраля было выполнено обновление ядра и установка времени

может быть все таки 22 февр?

затем нажат ресет, далее загрузка с новым ядром, где уже системе синхронизировала время по NTP

может быть была отключена синхронизация, что бы время не вернулось к норме?

Что и когда было - смотри системный журнал через journaltl.

за давностью, ничего нет, 2 или 3 мес. по моему хранятся записи, затем перезаписываются, в любом случае и год назад уже ничего не было

Тебе никто ничего не обязан объяснять,

я разве против? я стою рядом с костями мамонта и пытаюсь понять, почему он умер, но если мне кто то хочет рассказать , что делать, что бы он в следующий раз не умер, то видите как размою реакцию, я лишь как простой пользователь винды, задаю вопросы, типа какие реальные сценарии исходя из строчек терминала возможны

Откуда ты знаешь? Это же не твой ноут. Со слов хозяина? Он мог и не заметить.

Для начала скажи, сколько ноуту лет. Из этого будем судить, что там с батарейкой.

Этот ноут лежит(валяется) у меня на столе уже более 2-х лет, открываю крышку от случая к случаю, вчерась открыл, что бы проверить некоторые идеи, 23 проц заряда горит, хотя до этого не открывал наверное месяц. Но скажу честно, я не знаю, в каком он режиме пребывает, иногда загорается окно входа, иногда звук , заставка, мелкие строчки, как будто загрузка. Но терминал не показывает ничего, как будто и не выходил из системы. Буку лет 5 , батарею хозяин менял на новую, батарейку биос я проверял командой, почти полный заряд, сбоев за те 2 и более лет, что он валяется и иногда включается не было.

Посмотрите last -F

вот, что здесь не так?

reboot   system boot  5.13.0-44-generi Sun May 29 14:34:15 2022 - Sun Jun 19 05:48:51 2022 (20+15:14)
alex     tty2         tty2             Sun Mar 27 11:54:44 2022 - down                     (63+02:38)
reboot   system boot  5.13.0-35-generi Sun Mar 27 10:29:38 2022 - Sun May 29 14:33:37 2022 (63+04:03)
alex     tty2         tty2             Sat Mar 12 19:21:11 2022 - crash                    (14+14:08)
reboot   system boot  5.13.0-35-generi Sat Mar 12 19:20:43 2022 - Sun May 29 14:33:37 2022 (77+18:12)
alex     tty2         tty2             Wed Feb 23 08:34:25 2022 - crash                    (17+10:46)
reboot   system boot  5.13.0-30-generi Mon Jan 10 05:07:50 2022 - Sun May 29 14:33:37 2022 (139+08:25)
alex     tty2         tty2             Sun Feb 20 15:42:26 2022 - crash                    (-41+10:34)
reboot   system boot  5.13.0-28-generi Sun Feb 20 15:42:15 2022 - Sun May 29 14:33:37 2022 (97+21:51)
alex     tty2         tty2             Sun Feb 20 15:36:22 2022 - crash                     (00:05)

так что может у вас будет какой выхлоп с lastb — неудачные попытки логина

не было

Но нафейхуа ты сюда тогда пришёл?

вот прямо сейчас хочется понять, как могло быть технически реализовано: перезагрузка с неправильной датой, а затем вход с нормальной? в какой момент можно поменять дату\время? Вероятно это очень просто, но прошу мне написать по крестьянски доходчиво, без сильно теоретических предположений. На всякий случай, хозяин компа программист, по слухам очень хороший, сам мог намутить любой сценарий, зачем - это совсем другой вопрос. А вот типо сосед, такой же нуб как и я. Если только у него не оказалась в руках волшебная флешка, которая все сделала сама.

вот ответ на этот вопрос на англоязычном форуме, условно на этот, ибо, я его задавал через переводчик, и не уверен, что он был корректно написан. А вас уважаемые форумчане, кто дружит с английским и будучи в теме, я бы попросил интерпретировать на русско крестьянский, ибо через переводчик я этот ответ не понял.

In most PCs, you can use BIOS settings to change system time before the OS is even started. The reboot record is created as part of the normal Linux system start-up process, and does not refer to an actual user account. I could imagine someone using BIOS settings to turn the clock backwards (for whatever reason), and then finding out that automatic time synchronization will reset the system clock back to the correct time practically as soon as a network connection is established; in this case, before they even had time to log in. – telcoM 4 hours ago

Если я правильно понял, перечитав еще раз перевод, время было изменено во время старта, либо перед ребутом, загрузка системы с неправильным временем, подключение к сети (только сейчас я вспомнил, что комп может подключаться даже не будучи в авторизованном входе), дата время сами меняются, и после этого авторизованный вход. Я все правильно по записям в терминале и из перевода понял?

Что с хозяином компа?
Почему комп все еще у тебя, уже два года?

…а еще где ключи от квартиры, где деньги лежат ? (С) ))

вместо ответов на простые технические вопросы (которые да, никто не обязан давать), вопросы личного плана, на которые я что? должен давать ответы?

Значит соврал про наследство, раз смайлики поставил.
Неужели не знаешь, что люди не любят когда их втемную используют?
Или ты полицай и вещдок крутишь? А про хозяина компа по слухам знаешь, и сосед в несознанке…

Предлагаю, админу флуд убрать , не относящийся к делу. В темную кто кого использует? Вот ты пришел на выставку булочек, например. Спрашиваешь у представителя - вкусные булочки? А представитель то пекарни, технолог, и вот он начинает тебе морочитьголову, почитай ГОСТы, ОСТы, изучи все Е*, которые туда добавлены….Ты ему - ты дурак? Просто ответь, вкусные булочки или нет. А он тебе опять, странные вопросы задаешь ТОВАРИШЧ, шо то ты замутить хочешь, отравить кого то? Не нравится мне что ты меня в темную используешь, )))

Еще я тебе напишу простую вещь, это был мой второй пост, он удален вместе с предыдущим флудерским. Ты наверное в курсе, что на англоязычных форумах, например никогда не напишут в ответ, что ты пишешь с ошибками, что слишком феерично, никогда не перейдут на личности, вобщем не станут себя вести как некоторые. Ты не думал, почему так?

Считаю, контекст, названный флудом, необходимо всетаки прояснить. Иначе, темы ТС-ом так и будут плодиться. Темы с переливанием из пустого в порожнее.

Ты LoR.

аналогия похожая на флуд поскипана

А на вопрос про полицая и вещдок ты не ответил.

Не знаешь ответов, все просто , проходишь мимо

Ответы меняются в зависимости от контекста, вплоть до противоположных. А контекст задачи ты зажал. Все просто (c)

За 5 лет батарейка вполне могла сдохнуть. Я про батарейку, питающую часы, а не про аккумуляторную батарею, которую меняли.

А сбоев нет потому, что аккумулятор никогда не разряжается в ноль (например, ноут часто подзаряжают). А если его разрядить и дать постоять несколько дней, то сброс даты вполне вероятен. Это, кстати, элементарно проверить.

Поэтому мне видится наиболее вероятным следующим сценарий:

1. Аккумулятор разрядился в ноль (например, ноут убрали с подзарядки)
2. Потом его подключили к зарядке, и часы стали тикать с 1 января
3. Через 10 дней ноут включили, поэтому мы и видим в выводе команды last дату 10 января.
4. После загрузки дата синхронизировалась по NTP.

А вот ты что-то путаешься в показаниях. Какой хозяин, какой нафиг сосед, если ноут лежит у тебя на столе 2 года, а смена даты произошла месяц назад? Или у тебя там проходной двор, и к твоему столу имеют доступ хозяин ноута и его сосед? Колись, падла!!! :-)

а смена даты произошла месяц назад

Два года и месяц назад. Посмотрите или полный вывод, или календарь, когда 23 февраля было средой? Сбой дат из-за включения РЭБ?

Несколько записей ″system boot″ заканчиваются в ″Sun May 29 14:33:37″, тогда была штатаная перезагрузка системы и пользователь alex вылогинен, поэтому его сессия заканчивается ″down″.

Но только ″system boot″ от ″Sun Mar 27 10:29:38″ действительно завершился штатно, а все остальные ″system boot″, заканчивающиеся ″Sun May 29″, получается, аварийное завершение. С учётом того, что у ноута обычно или совсем нет или хорошо спрятана кнопка reset, а по кнопке power, ЕМНИП, штатное завершение, получается, что ноут глючит и сам перезагружается, ну или кто-то знает комбинацию SysRq+... и нажимает её. Правда не помню, она по дефолту активна в убунте или нет. Ну или я что-то не так понимают в выводе last.

Через 10 дней ноут включили, поэтому мы и видим в выводе команды last дату 10 января.

там есть несколько строчек в выводе терминала до 10 января, а на самом деле их чуть больше, хозяин делал переустановку системы и отсчет истории ОС примерно с 10 февраля, то есть 10 января в новой истории бука во первых нет, во вторых , бук использовался активно, но теоретически конечно можно предположить разрядку биос батарейки, хотя команда в терминале для проверки состояния батарейки говорит, что все ок. Справедливости ради, надо сказать, что по крайней мере один краш (не помню на какую дату ) был по полному разряду батареи. Было вычислено через анализ обращения системы к файлам, в этот исследуемый период. Было обращение системы к значку «батарея разряжена»

хотя команда в терминале для проверки состояния батарейки говорит, что все ок.

Команду в студию.

Было обращение системы к значку «батарея разряжена»

WUT ?

Команду в студию

например

cat /proc/driver/rtc grep batt

Но эта показывает просто типа ок, я проверял другой, точно показывает вольтаж, но не помню какой. Но главное все не это, прошло более 2-х лет, при том, что батарейка не подзаряжается, сбоев нет

В процессе дружеской беседы приходит понимание, что самый важный (как мне думается) момент в распечатке терминала, это понять, какая реальная дата \время скрывается за 10 января. Есть идеи , как это вычислить? Повторюсь, сис логов за те даты нет. Анализировать файлы по времени создания, редактирования, доступа пробовал, но там все неоднозначно. На разных форумах спрашивал, как выяснить , в какое время менялось системное время, ответов нет, или на самом деле в логах это не пишется.

Насколько я знаю, записи в wtmp располагаются последовательно, и именно в этом порядке команда last их и показывает. Так что реальная дата - между двумя соседними записями, т.е. между Feb 20 и Feb 23.

Согласен, но хочется точнее… в граммах)

Поищи на диске файлики, модифицированные именно 10 января. Может что-то даст.

Логи смотри. Не только системные, а вообще все. Например, логи установки пакетов (apt), может они дольше живут.

Вообще, все в комплексе надо рассматривать, и обязательно найдется что-то, за что можно зацепиться. Говорю как человек, много лет занимавшийся RCA (Root Cause Analysis).

Только ты же не выкладываешь никакой информации.

Только ты же не выкладываешь никакой информации.

я выложил все , что знаю, логи загрузок действительно были и из них видно, что ядро

reboot   system boot  5.13.0-30-generi Mon Jan 10 05:07:50 2022 - Sun May 29 14:33:37 2022 (139+08:25)

было загружено 22.02. в 06:57 и распечатка терминала по команде find по поиску файлов с разными атрибутами 2-х летней давности, я сохранил. Но у меня не хватает знаний, что бы этот массив проанализировать. И если там есть куча файлов и папок датируемых точно в граммах 10-м января и можно утверждать, что это переустановка системы на новое ядро, то еще куча файлов с одинаковым временем но плюс 4 часа, уже для меня не понятно, ибо надо уже изучать каждый каталог, его назначение, как и кем создается и тд, что бы делать выводы… и таких массивов с одинаковым точным временем много в интересный период

Вообще, все в комплексе надо рассматривать, и обязательно найдется что-то, за что можно зацепиться

посмотрел сейчас внимательней, из того что сохранил 2 года назад, нашел к примеру такую занимательную вещь, а может быть и все просто объясняется.

8 марта, как я предполагал, не было доступа к буку ни у кого, валялся он где то, возможно без шатдауна, но с закрытой крышкой. Сейчас смотрю на сохраненную на 8 марта историю создания, изменения,доступа к файлам и директориям и вижу кучу файлов в директории

/home/alex/.../.cache/mesa_shader_cache/.../***

у них стоит датой и создания и последнего изменения дата 8 марта. 2 года назад я не обратил на это внимание, а сейчас думаю, откуда этот кэш взялся и записался в спящем ( я думал) буке? Пока в голову пришло только одно, бук перед выключением по полному разряду, кэширует все что необходимо. Какие еще варианты? Ибо по факту и других кэшей полно, всевозможные картинки .png, большинство правда или с крестиком или с замком, не открываются, даже права доступа поменял, все равно.