# Phanton user...

## josh

On one of my boxes, it is showing someone else logged in...and no one is logged in. Here is some output:

```
root@lotuseaters:~$ w

 22:52:27 up 102 days,  7:01,  2 users,  load average: 0.05, 0.05, 0.00

USER     TTY        LOGIN@   IDLE   JCPU   PCPU WHAT

root     pts/0     22:47    0.00s  0.29s  0.07s w

root@lotuseaters:~$ who 

root     vc/5         May 22 09:11

root     pts/0        Jun 20 22:47 (192.168.33.13)

root@lotuseaters:~$ ps aux

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND

root         1  0.0  0.3   1404   528 ?        S    Mar10   0:14 init [3]         

root         2  0.0  0.0      0     0 ?        SN   Mar10   0:42 [ksoftirqd/0]

root         3  0.0  0.0      0     0 ?        S<   Mar10   0:15 [events/0]

root         4  0.0  0.0      0     0 ?        S<   Mar10   0:03 [khelper]

root         9  0.0  0.0      0     0 ?        S<   Mar10   0:00 [kthread]

root        22  0.0  0.0      0     0 ?        S<   Mar10  13:47 [kblockd/0]

root        17  0.0  0.0      0     0 ?        S<   Mar10   0:01 [vesafb]

root        67  0.0  0.0      0     0 ?        S    Mar10   0:30 [pdflush]

root        68  0.0  0.0      0     0 ?        S    Mar10   3:03 [pdflush]

root        70  0.0  0.0      0     0 ?        S<   Mar10   0:00 [aio/0]

root        69  0.0  0.0      0     0 ?        S    Mar10  17:41 [kswapd0]

root       662  0.0  0.0      0     0 ?        S    Mar10   0:00 [kseriod]

root       699  0.0  0.0      0     0 ?        S    Mar10  33:41 [kjournald]

root       828  0.0  0.5   1716   912 ?        Ss   Mar10   0:04 /sbin/devfsd /dev

root      5055  0.0  0.0      0     0 ?        S    Mar10  28:47 [kjournald]

root      5796  0.0  0.3   1484   600 ?        Ss   Mar10   2:00 metalog [MASTER]                                        

root      5797  0.0  0.2   1456   452 ?        S    Mar10   0:10 metalog [KERNEL]                                        

root      6418  0.0  0.3   1552   584 ?        S    Mar10   0:04 /usr/sbin/crond

root      7217  0.0  0.3   1504   628 tty6     Ss+  Mar10   0:00 /sbin/agetty 38400 tty6 linux

root      7890  0.0  0.0      0     0 ?        S    Mar11   0:00 [kjournald]

root     30480  0.0  0.4   1532   648 tty5     Ss+  May23   0:00 /sbin/agetty 38400 tty5 linux

root     30673  0.0  0.4   1532   648 tty4     Ss+  May23   0:00 /sbin/agetty 38400 tty4 linux

root     30678  0.0  0.4   1532   648 tty3     Ss+  May23   0:00 /sbin/agetty 38400 tty3 linux

root     14141  0.0  0.4   1532   648 tty2     Ss+  Jun12   0:00 /sbin/agetty 38400 tty2 linux

root     17388  0.0  0.2   1408   452 ?        Ss   Jun12   0:00 /sbin/dhcpcd card1

nobody   17600  0.0  0.4   1644   700 ?        S    Jun12   0:04 /usr/sbin/dnsmasq -x /var/run/dnsmasq.pid

dhcp     17692  0.0  0.9   2488  1532 ?        Ss   Jun12   0:00 /usr/sbin/dhcpd -pf /var/run/dhcp/dhcpd.pid -user dhcp -group dhcp -

root     17940  0.0  0.5   2040   900 ?        Ss   Jun12   0:00 /usr/sbin/xinetd -pidfile /var/run/xinetd.pid -stayalive -reuse

rpc      17997  0.0  0.4   1620   672 ?        Ss   Jun12   0:00 /sbin/portmap

root     18093  0.0  1.9   5752  3024 ?        Ss   Jun12   0:11 /usr/sbin/cupsd

root     18315  0.0  1.5   6528  2436 ?        Ss   Jun12   0:00 /usr/sbin/smbd -D

root     18318  0.0  1.5   6564  2528 ?        S    Jun12   0:00 /usr/sbin/smbd -D

root     18319  0.0  0.9   3468  1436 ?        Ss   Jun12   0:49 /usr/sbin/nmbd -D

nobody   18381  0.0  0.5   1648   836 ?        Ss   Jun12   0:00 /sbin/rpc.statd

root     18389  0.0  0.0      0     0 ?        S    Jun12   2:11 [nfsd]

root     18390  0.0  0.0      0     0 ?        S    Jun12   2:45 [nfsd]

root     18391  0.0  0.0      0     0 ?        S    Jun12   2:21 [nfsd]

root     18392  0.0  0.0      0     0 ?        S    Jun12   1:59 [nfsd]

root     18393  0.0  0.0      0     0 ?        S    Jun12   2:32 [nfsd]

root     18394  0.0  0.0      0     0 ?        S    Jun12   2:20 [nfsd]

root     18395  0.0  0.0      0     0 ?        S    Jun12   2:38 [nfsd]

root     18396  0.0  0.0      0     0 ?        S    Jun12   2:09 [nfsd]

root     18399  0.0  0.0      0     0 ?        S    Jun12   0:00 [lockd]

root     18400  0.0  0.0      0     0 ?        S<   Jun12   0:00 [rpciod/0]

root     18401  0.0  0.5   1700   904 ?        Ss   Jun12   0:03 /usr/sbin/rpc.mountd

proftpd  18457  0.0  1.3   4300  2172 ?        Ss   Jun12   0:01 proftpd: (accepting connections)      

root     18617  0.0  0.6   2052   976 ?        Ss   Jun12   0:00 /bin/sh /usr/bin/mysqld_safe

mysql    18653  0.0  3.3  37560  5252 ?        S    Jun12   0:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysq

mysql    18654  0.0  3.3  37560  5252 ?        S    Jun12   0:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysq

mysql    18655  0.0  3.3  37560  5252 ?        S    Jun12   0:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysq

mysql    18656  0.0  3.3  37560  5252 ?        S    Jun12   0:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysq

nobody   18711  0.0  0.4   1708   776 ?        Ss   Jun12   0:01 /usr/sbin/noip2 -c /etc/no-ip2.conf

root     19804  0.0  0.9   3244  1456 ?        Ss   Jun13   0:03 /usr/sbin/sshd

root      5374  0.0  1.2   4732  2040 ?        Ss   Jun16   0:02 /opt/apache-economy/bin/httpd -k start

apache    5381  0.0  1.4   4868  2336 ?        S    Jun16   0:04 /opt/apache-economy/bin/httpd -k start

apache    5382  0.0  1.4   4856  2336 ?        S    Jun16   0:05 /opt/apache-economy/bin/httpd -k start

root      5386  0.0  3.6  11408  5728 ?        Ss   Jun16   0:01 /opt/apache-sport/bin/httpd -k start

elfpower  5387  0.0  3.1  10824  4996 ?        S    Jun16   0:00 /opt/apache-sport/bin/httpd -k start

elfpower  5388  0.0  3.8  11540  6032 ?        S    Jun16   0:01 /opt/apache-sport/bin/httpd -k start

elfpower  5389  0.0  3.8  11544  6044 ?        S    Jun16   0:01 /opt/apache-sport/bin/httpd -k start

elfpower  5390  0.0  3.8  11548  6068 ?        S    Jun16   0:01 /opt/apache-sport/bin/httpd -k start

elfpower  5391  0.0  3.8  11540  6052 ?        S    Jun16   0:01 /opt/apache-sport/bin/httpd -k start

elfpower  5392  0.0  3.7  11540  6012 ?        S    Jun16   0:01 /opt/apache-sport/bin/httpd -k start

apache    5396  0.0  1.4   4868  2340 ?        S    Jun16   0:03 /opt/apache-economy/bin/httpd -k start

elfpower  5398  0.0  3.7  11548  5988 ?        S    Jun16   0:01 /opt/apache-sport/bin/httpd -k start

apache    5436  0.0  1.4   4864  2340 ?        S    Jun16   0:05 /opt/apache-economy/bin/httpd -k start

apache    5459  0.0  1.4   4864  2356 ?        S    Jun16   0:02 /opt/apache-economy/bin/httpd -k start

apache    5460  0.0  1.4   4872  2344 ?        S    Jun16   0:04 /opt/apache-economy/bin/httpd -k start

elfpower  5483  0.0  3.7  11408  5932 ?        S    Jun16   0:01 /opt/apache-sport/bin/httpd -k start

apache    5616  0.0  1.4   4864  2336 ?        S    Jun16   0:03 /opt/apache-economy/bin/httpd -k start

apache    5718  0.0  1.4   4856  2340 ?        S    Jun17   0:02 /opt/apache-economy/bin/httpd -k start

ntp       5873  0.0  2.2   3540  3540 ?        SLs  Jun17   0:02 /usr/sbin/ntpd -p /var/run/ntpd.pid -u ntp:ntp

apache   13976  0.0  1.4   4868  2344 ?        S    Jun17   0:02 /opt/apache-economy/bin/httpd -k start

root     14196  1.6  0.6   1916   996 ?        Ss   Jun17  73:00 /usr/bin/gkrellmd

root     14370  0.0  0.4   1532   648 tty1     Ss+  Jun18   0:00 /sbin/agetty 38400 tty1 linux

apache   25007  0.0  1.4   4864  2308 ?        S    14:59   0:00 /opt/apache-economy/bin/httpd -k start

root     25111  0.1  1.2   6068  1980 ?        Ss   22:47   0:00 sshd: root@pts/0 

root     25116  0.0  0.8   2280  1376 pts/0    Ss   22:47   0:00 -bash

root     25158  0.0  0.5   2376   828 pts/0    R+   22:52   0:00 ps aux
```

Its not a big deal. I'm sure it is nothing serious. But I am curious. As you can see, the computer has been on for a while and it is a p2. So quirky things are not out of the realm of possibility. Obviously, from the 'who' command, the login comes from Virtual Console 5. I usually do not have a monitor plugged into this machine. It is my router. But once in a while I do connect the monitor to trouble shoot stuff. Then I unplug it and forget to log off. So I just log in from my Desktop computer and kill the session. Either way, I can't find the process for it. Just wondering if anyone has seen this before.

----------

## sigmalll

 *josh wrote:*   

> On one of my boxes, it is showing someone else logged in...and no one is logged in.

 

I would change passwords and reboot the box just to be sure.

----------

## ansient

instead of ps aux,

```
ps --forest -Ao pid,user,args
```

----------

## josh

Thanks guys. I changed the passwords. And that is a handy command. I need to read the ps man page some more. Just for the challenge though, I'm going to try to do this without turning it off. I'm aware of the security risks involved.

----------

## sedorox

Actually, there is no risk at all, it is just a phantom user. If you notice, it says its logged in on a private IP. This happens to me. Say your ssh'd in, and you don't exit out before killing xterm, or shutting down that computer, or you loose network access (most often the case with mine), it'll stick in there. I had this problem a lot when I use a PPPoSSH VPN link from my dorm to my house. My server, by the end of the year, had like 20 that would "be logged in" when they really weren't. The only way I found to get rid of these is either to reboot. Or, if you the only person logged in at the time, I believe its /var/utmp file. If you delete it, and then touch it (touch /var/utmp) and logout, and log back in, you will see that there is only one user, the one your currently on. Just make sure that before you do this, that it is really just phantom, and not someone sitting on your box.

----------

## josh

interesting.

If I remove /var/utmp and htere is someone on the box, will they then still be un the box, but undetected by the w and who commands?

----------

## sedorox

yea... they will be able to operate (altho maybe things like X and stuff might yell about it) but it won't show up in who and w. Also, I'm not 100% sure if its utmp, it should be. I can confirm later when I get home to my box (I don't have access to one right now).

----------

## josh

ditto. When I get home from work I'll first try stopping all services (which I'd rather not do remotely because I know I'll screw something up). If that doesn't work I'll try dumping the /var/run/utmp file. I'm sure that it is like what you are talking about. I'm always loggin in from other locations and sometimes the connection gets cut. Especially at work.

----------

