Bash History von root verschwunden

zylox

zylox

New Member
Ich musste eben feststellen, dass die Bash History vom Root verschwunden ist, die vor ca. 12 Stunden noch da war. Im ersten Moment würde ich vermuten: da ist jemand eingebrochen und möchte seine Spuren vertuschen.

Distribution ist Debian Etch 4.0, offene Dienste sind der Apache (mit PHP, OpenBasedir in Effekt und Suhosin Patch) und SSH.

Im /var/log/auth.log ist nichts verdächtiges, Traffic ist normal und netstat zeigt auch nichts ungewöhnliches und die laufenden Prozesse sind auch unverdächtig. Habe mal ein firsch installiertes "chkrootkit" drüberlaufen lassen und das hat auch nichts gefunden.

Sollte ich mir sorgen machen? Irgendwelche anderen Tips was ich noch überprüfen sollte?

Danke,
ZyloX
 
MOD: Full-Quote entfernt!
Ich meinte natürlich leer und nicht verschwunden, sorry.
 
Last edited by a moderator:
Hi,

das passiert zum Beispiel, wenn beim Ausloggen die Platte voll ist, dann wird ein 0 byte file geschrieben.
 
MOD: Full-Quote entfernt!
Auf dem Server sind noch über 4GB frei, das sollte also auch nicht das Problem sein.
 
Last edited by a moderator:
Hallo,

zylox said:
Auf dem Server sind noch über 4GB frei
Click to expand...

auf der richtigen Partition (falls Du nicht nur eine hast)?

Falls ein Einbruch vorliegt: wer die bash_history von Root manipulieren kann, der kann auch alle Logfiles manipulieren.
 
charli said:
auf der richtigen Partition (falls Du nicht nur eine hast)?
Click to expand...

Ja, auf der richtigen Partition.

charli said:
Falls ein Einbruch vorliegt: wer die bash_history von Root manipulieren kann, der kann auch alle Logfiles manipulieren.
Click to expand...

Das ist klar, Frage ist nur, ob ich annehmen muss dass jemand sich Zugang verschafft hat oder ob es auch einen anderen Grund für eine leer Bash History geben kann - ohne dass man sie gelöscht hat.

An der /etc/passwd wurde nichts verändert.
 
Hallo,

habe grade mal etwas gesucht in den debian archiven:
Empty /root/.bash_history

Fazit daraus: check mal HISTFILE und HISTSAVE
Wenn da alles OK ist kann das ein Indiz für ein Einbruch sein, muss aber nicht.

Allerdings muss man sich zumindestens weniger Sorgen machen, denn ein Einbrecher, der so dumm die .bash_history manipuliert kann eigentlich nicht viel Schaden anrichten, oder er hat einfach ein Flüchtigkeitsfehler gemacht.

Es ist auf jeden Fall vollkommen sinnlos die komplette .bash_history zu löschen, da das der Verantwortliche, der sich als root einloggt doch sofort merkt. Als Einbrecher sorge ich doch entweder direkt dafür, dass meine folgenden Befehle nicht in der .bash_history landen (will hier keine Hackeranleitung schreiben, wie das geht muss jeder selber googeln), oder ich logge mich nach meiner Session mit den bösen Befehlen nochmal ein (.bash_history wird erst nach dem ausloggen geschrieben) starte ein unauffälliges Programm, wie z.B. den mc und lösche dann mit dem Editor meine Befehle aus der .bash_history, sodass nur der mc Aufruf in der history landet.

Kommt auf dein Grad an Paranoia an, was du machst. Wie wichtig die Daten sind, und deren Verfügbarkeit ist ebenso ein Kriterium, wie dein Traffic Volumen im Vertrag. Damit meine ich, ob du es dir leisten kannst es drauf ankommen zu lassen, ob der Server gehackt wurde und ob du das Risiko eingehen willst evtl für darüber begangene Straftaten verantwortlich gemacht zu werden.

Aber wie schon gesagt der Hacker scheint nicht der hellste zu sein, wenn es einer ist....

mfg tyler
 
Danke für die ausführliche Antwort Tyler. HISTFILE und HISTSAVE sind gesetzt und im Moment wird wieder alles in die History geschrieben. Schon komisch.

Da ich aber ansonsten nichts kritisches gefunden habe und alles normal scheint und das System sowieso nur ein Backup System ist und ein Soft- und Hardlimit auf die Traffic gesetzt ist, die alle paar Minuten ausgewertet wird, lasse ich es erstmal weiter laufen und beobachte.

Danke nochmal,

zylox
 
Kann es sein, dass ein Qota auf dem Rootacc ist. Dann könnte der Platte Fehler doch auftreten, oder? Sonst toi toi toi das das nur ein Bug war.
 
Chaos90 said:
Kann es sein, dass ein Qota auf dem Rootacc ist. Dann könnte der Platte Fehler doch auftreten, oder? Sonst toi toi toi das das nur ein Bug war.
Click to expand...


Nein Quota ist auch nicht gesetzt. Bis jetzt läuft der Server weiterhin stabil und es ist weiterhin nichts Auffälliges aufgetaucht.
 
You must log in or register to reply here.
Back
Top