El archivo /var/log/wtmp mantiene en GNU/Linux un registro de todas las conexiones y desconexiones del sistema. Cada vez que un usuario se conecta, se inicia o se apaga el sistema, dicho archivo se actualiza y va aumentando en tamaño, almacenando datos en formato binario.
Al estar en binario necesitamos algo para poderlo leer, es ahí donde entra utmpdump, un sencillo programa que nos permite acceder a esa información (hora de inicio, usuario, dirección ip…) desde la terminal como root:
utmpdump /var/log/wtmp
Si lo queremos más resumido podemos utilizar el parámetro head que nos muestra las primeras lineas del archivo (las conexiones más antiguas)
utmpdump /var/log/wtmp | head
o tail otro parámetro, que por el contrario nos muestra las ultimas lineas del archivo (en este caso las conexiones más recientes)
utmpdump /var/log/wtmp | tail
Es posible que también nos interese ver, los intentos de conexión fallidos, en este caso toca analizar el archivo /var/log/btmp, que es el encargado de almacenar dichos datos.
Como veis la sintaxis de los comandos son iguales, tan solo substituimos el archivo a analizar:
utmpdump /var/log/btmp
utmpdump /var/log/btmp | tail
utmpdump /var/log/btmp | head
Interesante, probé con el comando «head» y me mostraba resultados desde el 01 de Junio… raro xD
a mi también y resulta que reinstalé todo hace dos semanas xD
que paquete hay q instalar en ubuntu para q venga ese comando ?
Por lo que he leído ese comando se supone que pertenecía a una parte de sysvinit-tools, pero que no estaba incluído, y que para poder instalarlo tiene que ser mediante compilación. El enlace al fichero está en este artículo, donde también comentan lo que dije anteriormente:
http://jessicalitwin.com/index.php/category/linux/
Perdona me equivoque te puse el enlace general el específico es este:
http://jessicalitwin.com/index.php/2014/05/mosh-utmpdump-and-profanity/
muchas gracias ! voy a leerlo
Yo he alucinado un poco, tengo una conexión de una ip que sale al lado del kilimanjaro…….. 255.127.0.0
[7] [03105] [:0 ] [carlos ] [console ] [:0 ] [255.127.0.0 ] [lun jun 09 12:09:40 2014 ]
Don’t worry, esa me sale a mí también y es mia seguro
[8] [00000] [ts/0] [ ] [console ] [:0 ] [255.127.0.0 ] [vie jun 06 16:44:27 2014
Por cierto, he probado en Centos y en OpenSuse y el programa viene por defecto. En Debian no me encuentra el comando.
Te me has adelantado @carbelmi, es tal como tu dices, esa ip corresponde al hostname
saludos!
Muchas gracias compañeros! ahora uno respira más tranquilo 😉
Muchas gracias compañeros! ahora uno respira más tranquilo 😉
Alguna alma caritativa que sepa algo de esto??
Habré instalado algún software malicioso desde yast + yump ???
Interesante…más gracias!
🙂
Siempre es un placer leer sus artículos aparte de didácticos ayudan a apreciar este gran sistema como lo es Linux.
En debian / Ubuntu pueden instalar el paquete acct: sudo apt-get install acct
acct instala dump-utmp que puede leer ese log mediante: dump-utmp /var/log/wtmp
Y si no quieren instalar nada, simplemente lanzar el comando: last
😉