发信人: tcpip (俺的昵称改了), 信区: cnunix
标  题: [转载] 关于/var/adm/utmp(x),wtmp(x),lastlog （三）
发信站: 哈工大紫丁香 (Sun Sep 26 14:55:33 1999), 转信

发信人: cpu (奔腾的心), 信区: Solaris
发信站: 华南网木棉站 (Thu Jun 25 14:26:02 1998), 转信

【 以下文字转载自 Hacker 讨论区 】
【 原文由 cpu 所发表 】
接上篇，utmpx? wtmpx?
加了x，自然比utmp和wtmp有所扩展。这点从数据结构上就可以看出来，详见
/usr/include/utmpx.h 。
utmpx仍然是记录了当前的登录用户，wtmpx所记录的仍然是用户的历史记录，
在solaris下，你运行last命令就同时可以看到这两个文件中的记帐信息，
比如last -n 10（列出最近10个登陆用户），结果如下：

digger    pts/4        172.18.86.154    Thu Jun 25 12:37 - 12:40  (00:02)
digger    ftp          172.18.86.154    Thu Jun 25 12:37 - 12:37  (00:00)
digger    ftp          172.18.86.154    Thu Jun 25 12:36 - 12:36  (00:00)
digger    pts/3        172.18.86.98     Thu Jun 25 11:19   still logged in
digger    pts/6        172.18.86.98     Thu Jun 25 10:04   still logged in
digger    ftp          MGR              Thu Jun 25 09:58 - 09:58  (00:00)
addtest   pts/6        localhost        Thu Jun 25 09:56 - 09:56  (00:00)
addtest   pts/6        localhost        Thu Jun 25 09:49 - 09:49  (00:00)
addtest   pts/6        localhost        Thu Jun 25 09:47 - 09:49  (00:01)
xuming    ftp          xuming           Thu Jun 25 09:45 - 09:46  (00:00)

有still logged in的行是从utmpx取出的，其它则是由wtmpx文件有文件尾顺序
向前取出的，所以你要是进入了某个系统，又不想被系统管理员用last命令看到，
那么想办法改了utmpx和wtmpx吧;)
下面一篇则是一个综合事例，给点感性认识;) 如果你在某台机器上已经拿到了
root shell，那么它对你很有用，很有用。。。

--

        ******************************************************
                
                蓦然回首，老子已是高级战友 。。。  。。。

        ******************************************************

※ 修改:．trueip 于 Sep 26 14:59:20 修改本文．[FROM: dns.mtlab.hit.ed]
※ 来源:．华南网木棉站 bbs.gznet.edu.cn．[FROM: 202.101.248.6]
--
--
※ 转寄:．华南网木棉站 bbs.gznet.edu.cn．[FROM: dns.mtlab.hit.ed]

--
☆ 来源:．哈工大紫丁香 bbs.hit.edu.cn．[FROM: trueip.bbs@melon.gzn]