Logfiles fehlen - gehackt?

[AS-N]

Hallo,

ich habe mir hier mal einen alten Suse10.0 Server hergenommen und diesen auf Einbruchspuren untersuchen lassen.
Außer tausenden von (normalen) Angriffen konnte nichts feststellt werden, außer das immer mal wieder Logfiles fehlen, also über einen gewissen Zeitraum einfach nichts in den Serverlogs steht.
Kann man da eher von einem Bug in syslog oder ähnlichem ausgehen, oder wurde der Server eventuell doch mal gehackt und der Einbrecher hat damit Spuren verwischt?
Der Kasten ist seit Monaten vom Netz, aber interessieren würde es mich schon.
So wurde weder Spam mit dem Server versendet, noch wurde irgend etwas auf den Websites geändert noch wurde Software installiert oder geändert.

--
Ciao
AS-N

 

[mainlink]

Dumme Frage: War er denn zu dem fraglichen Zeitpunkt eingeschaltet und hatte er Connectivity?

 

[AS-N]

MMh, gar nicht so dumm die Frage, muss ich nochmals überprüfen, aber eigentlich sollte er schon online gewesen sein.
Ich schau mir das nochmals an.

--
Ciao
AS-N

 

[Rimac]

Das sind auch richtig professionelle Angriffe - wo man danach keine Spuren findet. Alles andere, was in den Logfiles zu finden ist, wurde von irgendwelchen Script Kiddies gemacht.

Wurden denn in diesem Zeitraum irgendwelche andere Dateien modifiziert? Wenn ja, dann war der Server auf jeden Fall an.

 

[_Padi]

Wurde/wird der Server denn gepatcht?

Grüße

 

[marneus]

Leute, das ist vom 2.10.08.

--marneus

 

[_Padi]

Hoppla, sorry!

 

[AS-N]

Hallo,

ich antworte auch mal obwohl die Sache schon verjährt ist.
Der Server war nicht gehackt worden, wir haben eine forensische Untersuchung machen lassen, da sensible Daten drauf waren, und die ist zum Schluss gekommen, das es keinen (nachweisbaren) Hack gab.
Die Ausfälle der Logs waren tatsächlich einfach Downzeiten des Servers.

--
Ciao
AS-N

 

[mainlink]

Die Ausfälle der Logs waren tatsächlich einfach Downzeiten des Servers.

Ich habe gewonnen

Das erinnert entfernt an das defekte Auto ohne Kraftstoff.