SSH 1 user immer online seit 3 tagen schon

[chanwork]

hallo, seit 3 tagen zeigt mit "uptime" das immer ein user schon eingeloggt ist. das kann durchaus sein da ich einmal durch mein 24h kick getrennt wurde. normalerweise ging dann der benutzer nach wenigen minuten weg.. "ping timeout" denke ich mal nun seit letztens ist das nichtmehr so es ist immer einer drinne in den prozessen seh ich nichts..

Code: Select all

server1:~ # ps x
  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:49 init [3]
    2 ?        SW     0:00 [keventd]
    3 ?        SWN    0:00 [ksoftirqd_CPU0]
    4 ?        SW     0:07 [kswapd]
    5 ?        SW     0:00 [bdflush]
    6 ?        SW     0:39 [kupdated]
    9 ?        SW     0:00 [khubd]
   10 ?        SW     3:14 [kjournald]
  423 ?        S      0:00 /sbin/dhcpcd -D -N -t 999999 -h server1 eth0
  523 ?        S      0:00 /usr/sbin/saslauthd -a pam
  558 ?        S      0:00 /usr/sbin/saslauthd -a pam
  559 ?        S      0:00 /usr/sbin/saslauthd -a pam
  560 ?        S      0:00 /usr/sbin/saslauthd -a pam
  561 ?        S      0:00 /usr/sbin/saslauthd -a pam
  864 ?        S      0:28 /usr/sbin/nscd
  865 ?        S      0:43 /usr/sbin/nscd
  866 ?        S      0:27 /usr/sbin/nscd
  867 ?        S      0:00 /usr/sbin/nscd
  868 ?        S      0:00 /usr/sbin/nscd
  869 ?        S      0:00 /usr/sbin/nscd
  870 ?        S      0:00 /usr/sbin/nscd
  880 tty1     S      0:00 /sbin/mingetty --noclear tty1
  881 tty2     S      0:00 /sbin/mingetty tty2
  882 tty3     S      0:00 /sbin/mingetty tty3
  883 tty4     S      0:00 /sbin/mingetty tty4
  884 tty5     S      0:00 /sbin/mingetty tty5
  885 tty6     S      0:00 /sbin/mingetty tty6
  886 ttyS0    S      0:00 /sbin/agetty -L 57600 ttyS0 vt102
 8870 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
 8967 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
 9264 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
17544 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
17681 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
18516 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
19053 ?        S      0:00 /bin/sh /usr/bin/mysqld_safe --user=mysql --pid-file=
19145 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
30301 ?        S      0:42 /usr/lib/postfix/master
15439 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
15934 ?        S      0:13 /usr/sbin/cron
19477 ?        S      0:09 /sbin/syslogd -a /var/lib/named/dev/log
19480 ?        S      0:00 /sbin/klogd -c 1 -2
12141 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
30422 ?        S     94:20 /usr/bin/perl /root/sshblocker.pl --daemon
14474 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
14493 ?        S      0:27 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -
14952 ?        S      0:01 /usr/sbin/spamd -d -c -a -L
22930 ?        S      0:00 /usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid
32088 ?        S      0:02 /usr/sbin/xinetd
31291 ?        S      0:00 sshd: root@notty
31292 ?        Z      0:00 [sshd] <defunct>
16038 ?        S      0:00 /usr/bin/perl /root/confixx/pipelog.pl
32127 ?        Z      0:00 [cron] <defunct>
32131 ?        R      0:00 sshd: root@pts/1
32132 ?        S      0:00 sshd: root@pts/1
32134 pts/1    S      0:00 -bash
32151 pts/1    R      0:00 ps x

vielleicht weiss einer rat?!

[dodolin]

Ich würde mal die zwei <defunct> Prozesse killen. Zuerst normal, wenn das nichts hilft, mit -9.

[kawfy]

-- das sind zwei Zombies, die kann man nicht killen, weil sie schon tot sind.

[kawfy]

hallo, seit 3 tagen zeigt mit "uptime" das immer ein user schon eingeloggt ist. das kann durchaus sein da ich einmal durch mein 24h kick getrennt wurde. normalerweise ging dann der benutzer nach wenigen minuten weg.. "ping timeout" denke ich mal nun seit letztens ist das nichtmehr so es ist immer einer drinne in den prozessen seh ich nichts..
[...]
vielleicht weiss einer rat?!

:idea: Dann steht in deiner /var/run/utmp noch ein Rest drin. Kann man mit nem Tool (z. B. "UTMP Jeber"?) fixen.