На компьютере установлена Debian Lenny. Сегодня стали появляться странные процессы. Запускают "Системный монитор" в Гноме. Уже 2 раза видел lsb_release (сообщает версию системы). Еще пару раз запускались команды, которые я не запускал. Что можно сделать?

А что в /var/log/auth.log пишется?

Добавлено через 31 секунду


Еще пару раз запускались команды, которые я не запускал
Какие к примеру?

- может, ктото из числа разработчиков, таким образом с годовщиной Debian некоторых пользователей поздравляет ;)

Интересно, с проблемами GNU Linux можно обращаться в раздел "помогите"?

Интересно, с проблемами GNU Linux можно обращаться в раздел "помогите"?
- когда будет достаточно много проблем, тогда и создадим с вой раздел "помогите" :) ...а пока в никсах самая большая проблема - это их пользователи, то и обойтись можно нашим разделом (http://virusinfo.info/forumdisplay.php?f=60) :) ;)

Какие к примеру?
Точно помню Synaptic запускали. Как проверить - какие пакеты недавно были установлены?

В /var/log/auth.log только записи когда я входил в систему.
Лишние процессы запускаться перестали, а вот lsb_release все еще запускается. Успел увидеть, что его запускает python. А иногда сам запускается (командная строка - просто lsb_release). Может, поискать на диске все py-файлы?

Опять неск. раз появлялся процесс lsb_release, запущенный python'ом, один раз в начале новой сессии появилась ошибка "Nautilus не может запущен в данный момент". А пару минут назад в системном мониторе промелькнул процесс без имени и командной строки и пользователем root, хотя в опциях стоит "показывать только свои процессы".

Точно помню Synaptic запускали

lsb_release
Демон-обновлятор на пайтоне... смотрит не вышла ли часом новая версия системы


промелькнул процесс без имени и командной строки и пользователем root,
Похоже на глюк от короткоживущего процесса

Вообще-то lsb_release - это Python-скрипт, к-й выводит название дистрибутива и его версию. Исп-ся чтобы найти подходящую "жертву". Но запускаться он должен прямо, как lsb_release, а не из питона.
Системный монитор автоматически запускает lsb_release при запуске.

Вообще-то lsb_release - это Python-скриптНу и ка вы запустите питон-скрип не через питона?

Ну и ка вы запустите питон-скрип не через питона?
Вот так:
lsb_release
и в командной строке он также будет выглядеть.
В системном мониторе apt-get промелькнула. А я ее не запускал. Неужели никто не может ничего предложить?

Вот что есть в /var/log/auth.log:

Aug 23 10:17:01 pool-125-224 CRON[8312]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 23 10:17:01 pool-125-224 CRON[8312]: pam_unix(cron:session): session closed for user root
Aug 23 11:17:01 pool-125-224 CRON[8406]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 23 11:17:01 pool-125-224 CRON[8406]: pam_unix(cron:session): session closed for user root
Aug 23 12:17:01 pool-125-224 CRON[8897]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 23 12:17:01 pool-125-224 CRON[8897]: pam_unix(cron:session): session closed for user root
Aug 23 13:17:01 pool-125-224 CRON[10097]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 23 13:17:01 pool-125-224 CRON[10097]: pam_unix(cron:session): session closed for user root

Каждый час кто-то открывал root-сессию, что-то выполнял и закрывал ее. Пока отключил cron и atd

Каждый час кто-то открывал root-сессию,
Сказано же в логе - крон ее и открывал.
Т.е. у крона есть задание, которое он выполняет каждый час от имени рута
Курим crontab и /etc/cron.d ...

Вот так:
lsb_release
и в командной строке он также будет выглядеть.
Всё правильно. Shell или кто там у вас за него работает, полезет в файл, распознает в нём текст, прочитает первую строку, увидит там вызов Python и запустит самого Питона для интерпретации скрипта. Скрипты на то и скрипты, что сами по себе, без поддержки интерпретаторов, не выполняются.

Ага:

# m h dom mon dow user command
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
Значит на 17 минуте каждый час он ничего не делал.

Вот что пугает:

If the /etc/cron.allow file exists, then you must be listed therein in
order to be allowed to use this command. If the /etc/cron.allow file
does not exist but the /etc/cron.deny file does exist, then you must
not be listed in the /etc/cron.deny file in order to use this command.
If neither of these files exists, then depending on site-dependent con‐
figuration parameters, only the super user will be allowed to use this
command, or all users will be able to use this command. For standard
Debian systems, all users may use this command.

Не значит ли это, что юзеры могли запускать программы от рута. Или только со своими привилегиями? Оба файла отсутствуют.

Значит на 17 минуте каждый час он ничего не делал.
Нет, знач на 17-й минуте он лезет в /etc/cron.hourly и выполняет все, что там лежит

выполняет все, что там лежит
там пусто