Hallo, hatte heute Abend auf einem OpenSuSE 12.2 innerhalb einer Sekunde einige Befehle in der Bash-History stehen (angezeigt mit history | less), die ich wenigstens zu diesem Zeitpunkt nicht absichtlich eingegeben habe. Dass ich sie vor einiger Zeit mal ausgeführt habe ist möglich. Es gibt keinen Cronjob, der sie hätte ausführen können. Habe auch keine Bash-Aufzeichnung mit script o.ä. im Home-Verzeichnis gefunden. Einige Dateien wurden z.B. mit less angezeigt. Das macht für ein Script wenig Sinn. Nachdem ich mich abgemeldet und wieder angemeldet habe, fehlen diese Befehle in der Bash History wieder (angezeigt mit history | less). Mit last ist nur mein eigener Login von meiner IP-Adresse zur fraglichen Zeit zu sehen. Die /var/log/messages gibt auch nichts her. Auffällig war außerdem, dass in der History ein Sprung war. Die aktuellen Befehle, ein paar Jahre alte Befehle, aber die vor ein paar Monaten haben gefehlt. Gibt es für diese Beobachtung irgendeine plausible Erklärung? Wurde die Kiste gehackt? Gruß, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Chris, Am Dienstag 04 Oktober 2016 schrieb Chris: [...]
Die /var/log/messages gibt auch nichts her. Auffällig war außerdem, dass in der History ein Sprung war. Die aktuellen Befehle, ein paar Jahre alte Befehle, aber die vor ein paar Monaten haben gefehlt. Gibt es für diese Beobachtung irgendeine plausible Erklärung? Wurde die Kiste gehackt?
Löcher in der in der /var/log/messages würden mir schwer zu denken geben. Guck mal, ob Du in den alten Logs auch Löcher entdeckts. (Die nicht zu erklärenden Einträge in der bash_history auch - außer Du wärst nicht der einzige Admin). Falls Du es noch nicht gemacht/probiert hast, lass mal rkhunter laufen. Seine falsepositives musst Du halt hinterfragen. Wenn es ein Hacker war, dann vermutlich kein sehr erfahrener. Helga -- ## Technik: [http://de.opensuse.org] ## Privat: [http://www.eschkitai.de] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Helga, Helga Fischer wrote:
Am Dienstag 04 Oktober 2016 schrieb Chris:
Die /var/log/messages gibt auch nichts her.
Löcher in der in der /var/log/messages würden mir schwer zu denken geben. Guck mal, ob Du in den alten Logs auch Löcher entdeckts. (Die nicht zu erklärenden Einträge in der bash_history auch - außer Du wärst nicht der einzige Admin).
Die messages scheint vollständig zu sein. Nur die Bash History war nicht vollständig. Auch jetzt fehlen noch die fraglichen Einträge. Dass sie alle zur gleichen Sekunde erschienen ist halt auch eigenartig. Ich hab den Verdacht, dass das irgendwie ein Fehler in der Bash-History selbst ist. Dass da irgendwie Sessions nicht richtig zusammengefügt wurden. Andere Distributionen zeigen da auch gar kein Datum und Uhrzeit an.
Falls Du es noch nicht gemacht/probiert hast, lass mal rkhunter laufen. Seine falsepositives musst Du halt hinterfragen.
Ok, kann ich natürlich mal versuchen. Gruß, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Dienstag, 4. Oktober 2016, 23:42:54 schrieb Chris:
Hallo Helga,
Helga Fischer wrote:
Am Dienstag 04 Oktober 2016 schrieb Chris:
Die /var/log/messages gibt auch nichts her.
Löcher in der in der /var/log/messages würden mir schwer zu denken geben. Guck mal, ob Du in den alten Logs auch Löcher entdeckts. (Die nicht zu erklärenden Einträge in der bash_history auch - außer Du wärst nicht der einzige Admin).
Die messages scheint vollständig zu sein. Nur die Bash History war nicht vollständig. Auch jetzt fehlen noch die fraglichen Einträge.
Dass sie alle zur gleichen Sekunde erschienen ist halt auch eigenartig. Ich hab den Verdacht, dass das irgendwie ein Fehler in der Bash-History selbst ist. Dass da irgendwie Sessions nicht richtig zusammengefügt wurden. Andere Distributionen zeigen da auch gar kein Datum und Uhrzeit an.
Falls Du es noch nicht gemacht/probiert hast, lass mal rkhunter laufen. Seine falsepositives musst Du halt hinterfragen.
Ok, kann ich natürlich mal versuchen.
Gruß, Christian Mal über ein Upgrade nachgedacht, die 12.2 wird schon länger nicht mehr mit Updates versorgt.......... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Tue, 04 Oct 2016, Stephan Hemeier schrieb:
Am Dienstag, 4. Oktober 2016, 23:42:54 schrieb Chris:
Helga Fischer wrote:
Am Dienstag 04 Oktober 2016 schrieb Chris:
Die /var/log/messages gibt auch nichts her.
Löcher in der in der /var/log/messages würden mir schwer zu denken geben. Guck mal, ob Du in den alten Logs auch Löcher entdeckts. (Die nicht zu erklärenden Einträge in der bash_history auch - außer Du wärst nicht der einzige Admin).
Die messages scheint vollständig zu sein. Nur die Bash History war nicht vollständig. Auch jetzt fehlen noch die fraglichen Einträge.
Hm. Ich mußte hier irgendwann "manuell" dafür sorgen, daß die history vollständig ist: ==== ~/.bash_logout ==== history -a ====
Mal über ein Upgrade nachgedacht, die 12.2 wird schon länger nicht mehr mit Updates versorgt..........
I'm an idiot.. At least this [bug] took about 5 minutes to find.. We need to find some new terms to describe the rest of us mere mortals
Och, für das relevante (das ich verwende) sorge ich noch (noch!) ... $ rpm -q openssl flash-player openssl-1.0.2j-282.1.x86_64 flash-player-11.2.202.635-1.1.x86_64 $ head -1 /etc/SuSE-release openSUSE 12.1 (x86_64) Und ja, 12.2 und 12.3 werden mitversorgt ;) Ich muß ja nur das Repo anknipsen. Und BTW, falls einem was fehlt: einfach mailen. Allerdings: man sollte schon eher gut wissen was man da verwendet. -dnh -- then. -- Craig Schlenter in response to Linus Torvalds -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Chris, Am Dienstag, 4. Oktober 2016, 22:22:43 schrieb Chris:
Hallo,
hatte heute Abend auf einem OpenSuSE 12.2 innerhalb einer Sekunde einige Befehle in der Bash-History stehen (angezeigt mit history | less), die ich wenigstens zu diesem Zeitpunkt nicht absichtlich eingegeben habe. Dass ich sie vor einiger Zeit mal ausgeführt habe ist möglich. Es gibt keinen Cronjob, der sie hätte ausführen können. Habe auch keine Bash-Aufzeichnung mit script o.ä. im Home-Verzeichnis gefunden. Einige Dateien wurden z.B. mit less angezeigt. Das macht für ein Script wenig Sinn. Nachdem ich mich abgemeldet und wieder angemeldet habe, fehlen diese Befehle in der Bash History wieder (angezeigt mit history | less). Mit last ist nur mein eigener Login von meiner IP-Adresse zur fraglichen Zeit zu sehen. Die /var/log/messages gibt auch nichts her. Auffällig war außerdem, dass in der History ein Sprung war. Die aktuellen Befehle, ein paar Jahre alte Befehle, aber die vor ein paar Monaten haben gefehlt. Gibt es für diese Beobachtung irgendeine plausible Erklärung? Wurde die Kiste gehackt?
Gruß, Christian
hmm, bevor ich glaube, daß da eingebrochen wurde, solltest Du mal 'nen fsck anschmeißen, ich hatte ein paar mal seltsamste Phänomene aufgrund von Filesysteminkonsistenzen, mit Dateien die plötzlich auf einem älteren Stand waren - das Problem lag an XFS und nach einem Wechsel auf ext3/4 war Ruhe. Grüße Mike -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
hmm, bevor ich glaube, daß da eingebrochen wurde, solltest Du mal 'nen fsck anschmeißen, ich hatte ein paar mal seltsamste Phänomene aufgrund von Filesysteminkonsistenzen, mit Dateien die plötzlich auf einem älteren Stand waren - das Problem lag an XFS und nach einem Wechsel auf ext3/4 war Ruhe.
Vielen Dank, Mike! Das klingt für mich viel wahrscheinlicher als ein Einbruch, aber - gerade nachgeschaut - (leider) handelt es sich um ext4. Gruß, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
Chris
-
David Haller
-
Helga Fischer
-
Mike Philipp
-
Stephan Hemeier