KSnapshot uruchomiony 200 razy? Jak namierzyć źródło?

[aszmyd]

Cześć,
może to lamerskie pytanie ale jak mogę namierzyć historię uruchamiania danego programu w systemie?
Pracuję na Kubuntu 13.10 i wydaje mi się, że dziś ktoś mnie "zaatakował" 200 krotnym uruchomieniem KSnapshota, co skutkowało zablokowaniem systemu i zmusiło mnie do restartu.
Mam pewne podejrzenia ale wolałbym mieć pewność.
Mogę w jakiś sposób po logach spróbować dojść do tego jak ten program był uruchamiany?
Z góry dzięki za pomoc.

[Paweł Kraszewski]

Zacięty klawisz PrtScr?

Ciężko bez poważnego fuckupu konfiguracji sieciowej uruchomić program tak, aby pojawił się on na ekranie kogoś innego...

[aszmyd]

też myślałem o klawiszu ale zaraz jak zaczęło się to dziać to od razu sprawdziłem go (klikanie, ruszanie, etc) i nie pomogło..

[darkdancer]

też myślałem o klawiszu ale zaraz jak zaczęło się to dziać to od razu sprawdziłem go (klikanie, ruszanie, etc) i nie pomogło..

Dzielisz konto z kimkolwiek innym? Ktokolwiek inny ma dostęp do Twojego konta? Jeśli ktoś spróbowałby podobnego żartu tą samą aplikacją można zrobić prosty wrapper logujący uruchomienia:

Kod: bash [Zaznacz]

#!/bin/sh
echo "$(date): $(tty) $(id -u -n) ksnapshot $@" >> /tmp/ksnapshot.log
exec /usr/bin/ksnapshot.bak "$@"

Nie wiem gdzie w systemie masz ksnapshot (nie korzystam z KDE) ale przekopiuj do *.bak i w jego miejsce skopiuj wrapper - to tak z najprostszych "audytów".
Sam możesz poszukać więcej o auditing i accounting. Dla zaszłych zdarzeń systemowych typu uruchomienie jakiejś tam aplikacji okienkowej raczej bez szans na zdiagnozowanie (jeśli to rzeczywiście cudza złośliwość sprawdź kto logował się w czasie zdarzenia).

[ultr]

Jeśli chodzi o klawisz, to nie musi być problem pojedynczego przycisku, ale może całej klawiatury (albo nawet gdzieś w systemie po stronie sterownika, choć tego bym nie podejrzewał).

Polecenie 'xev' pokazuje, co aktualnie jest naciskane, choć pewnie przy tak losowej sytuacji Ci się nie przyda.

Możesz w systemsettings KDE:
1) podbindować KSnapShot na jakiś inny klawisz
2) a potem ustawić własny skrót globalny dla PrtSc na dodawanie linijki z aktualną datą i czasem do jakiegoś pliku z logami
Powinieneś w ten sposób ustalić czy to problem z klawiaturą i samoczynnym "naciskaniem się" klawisza PrtSc, czy też nie.

[aszmyd]

dzięki bardzo za pomoc.
Te sugestie z logowaniem uruchamiania na pewno by pomogły jednak w mojej sytuacji była to jednorazowa sprawa (może ktoś chciał sprawdzić czy mu się uda po prostu albo faktycznie 1 na milion możliwość że coś się samo zacięło) i chciałem tamten moment sprawdzić.
Jeśli sytuacja się powtórzy, na pewno zastosuję rady z tego wątku.
Dzieki raz jeszcze!