bash history ist verschwunden
Hallo Liste. Soeben logge ich mich auf einem Server ein, den ich betreue, und stelle fest, daß die bash history von root verschwunden ist. Muß ich nun davon ausgehen, daß hier jemand unerfreuliche Dinge getrieben hat, oder gibt es auch noch andere Umstände, unter denen die History gelöscht wird? Das System ist von außen nur über den sshd erreichbar, welcher nur Protokoll 2 und keinen Root-Login zuläßt, ebenso keinen Login über Paßworte. Als authorized_key ist nur ein einziger definiert, nämlich meiner. Sollte eigentlich soweit sicher sein, oder? -- Andre Tann
Hallo Andre, hallo Leute, Am Montag, 6. Februar 2006 01:34 schrieb Andre Tann:
Soeben logge ich mich auf einem Server ein, den ich betreue, und stelle fest, daß die bash history von root verschwunden ist. Muß ich nun davon ausgehen, daß hier jemand unerfreuliche Dinge getrieben hat, oder gibt es auch noch andere Umstände, unter denen die History gelöscht wird?
Warst Du mal mit zwei Sessions gleichzeitig eingeloggt? Die zuletzt geschlossene überschreibt die bash_history.
Das System ist von außen nur über den sshd erreichbar, welcher nur Protokoll 2 und keinen Root-Login zuläßt, ebenso keinen Login über Paßworte. Als authorized_key ist nur ein einziger definiert, nämlich meiner.
Sollte eigentlich soweit sicher sein, oder?
Wenn Dein SSH Private Key nicht in falsche Hände geraten ist, ja. Du solltest trotzdem mal /var/log/messages checken und weitere Überprüfungen auf dem Server durchführen (für den Anfang "rpm -Va", auch wenn ein gewissenhafter Angreifer wohl auch die rpm-Datenbank aktualisiert. Hint: rpm -qa --last ;-) Allzu große Sorgen würde ich mir (zumindest wegen der verschwundenen bash_history) aber nicht machen. Gruß Christian Boltz -- Auaauaaua, sorry, Leute, das war nicht gewollt, da hat mir KMail nen Streich gespielt (Wieso probier ich Depp das überhaupt, wenn ich Mutt hab?) Tschulljung. [Thomas Dreher in suse-linux]
Warst Du mal mit zwei Sessions gleichzeitig eingeloggt? Die zuletzt geschlossene überschreibt die bash_history.
Das ist mir klar, allerdings war die history leer, nicht nur einfach unvollständig.
Du solltest trotzdem mal /var/log/messages checken und weitere Überprüfungen auf dem Server durchführen (für den Anfang "rpm -Va", auch wenn ein gewissenhafter Angreifer wohl auch die rpm-Datenbank aktualisiert. Hint: rpm -qa --last ;-)
Wieder was gelernt. rpm -Va liefert große Mengen, wie zB missing /dev/cbd/b7 missing /dev/cbd/b8 missing /dev/cbd/b9 missing /dev/cbd/c missing /dev/cbd/c1 missing /dev/cbd/c10 missing /dev/cbd/c11 missing /dev/cbd/c12 Sollte mich vermutlich nicht beunruhigen. Auch in den Logs finde ich nichts verdächtiges, wobei ich mir denke, daß ein vernünftiger Angreifer diese Einträge als allererstes löschen würde. Na, ich werde das mal beobachten. Danke und Gruß. -- Andre Tann
Hallo Andre, hallo Leute, Am Montag, 6. Februar 2006 09:52 schrieb Andre Tann:
Du solltest trotzdem mal /var/log/messages checken und weitere Überprüfungen auf dem Server durchführen (für den Anfang "rpm -Va", auch wenn ein gewissenhafter Angreifer wohl auch die rpm-Datenbank aktualisiert. Hint: rpm -qa --last ;-)
Wieder was gelernt. rpm -Va liefert große Mengen, wie zB
missing /dev/cbd/b7 missing /dev/cbd/b8 missing /dev/cbd/b9 missing /dev/cbd/c missing /dev/cbd/c1 missing /dev/cbd/c10 missing /dev/cbd/c11 missing /dev/cbd/c12
Sollte mich vermutlich nicht beunruhigen.
missing-Einträge von /dev/ sind ein bekannter Bug diverser SUSE-Versionen, bei denen sich statische Device-Nodes (devs.rpm IIRC) und irgendwelche Automatismen, wie auch immer sie gerade heißen, gegenseitig ärgern ;-) Gibt es außer fehlender Dateien in /dev Auffälligkeiten? Dazu gehört z. B. eine falsche md5sum ("5" bei rpm -V) außerhalb von /etc und /var. rpm -qa --last hast Du überprüft? Wurden in letzter Zeit Pakete installiert, von denen Du nichts weißt? (Ansonsten kannst Du hoffen, dass die RPM-Datenbank "sauber" ist - <paranoia>oder sehr gut gefälscht...</paranoia>) Gruß Christian Boltz --
du meinst die "persönliche Erfahrungen" der hier schreibenden, ja? dann ist es gut, dass du hier nicht gefragt hast was du zum sortieren deiner mails benutzen sollst. denn ansonsten wäre das wohl procmail. Hehe, 1:0 für Dich. [> Michael Meyer und Thorsten Haude in suse-linux]
participants (2)
-
Andre Tann -
Christian Boltz