logrotate
foi uma boa ideia.
Como qualquer arquivo regular, o wtmp pode ter sido "escasso" (cf. lseek (2) "holes" e ls -s
), que pode mostrar um tamanho de arquivo extremo que ocupa pouco disco. Como o buraco chegou lá, se era um buraco? getty(8)
e amigos poderiam ter um bug. Ou uma falha do sistema e reparo do fsck poderia ter causado isso.
Se você estiver olhando para ver o conteúdo bruto do wtmp, od
ou hd
são bons para espiar os binários e ter o efeito colateral feliz de mostrar longos trechos vazios como tais.
A menos que ocorra, eu não pensaria muito mais. Um intruso marginalmente competente faria um trabalho melhor do que isso, os conteúdos não são tão interessantes, e pouco depende deles.