RootForum Community

Hallo zusammen,

Ich hatte heute das gleiche wie der Threadstarteter.
chkrootkit warnte das diese Datei leer sei.

Nun - ich bin der einzige mit root Rechten auf der Kiste (hoffe ich zumindest). Daher bin ich zur Zeit etwas beunruhigt.

Das Datum der Histroy stimmte mit meiner letzten Shellsitzung (19.09) überein - nur war die größe halt 0. Ich hatte zu diesem Zeitpunkt einige Updates durchgeführt.

Auffälliges gab es nichts, weder in den anderen Logs (ich weiß das diese nur eingeschränkte aussagekraft haben), noch am Traffic. Ausser dieser Meldung bemerkten chkrootkit und rkhunter nichts ungewöhnliches.

Das System ist ein Suse 10.1 mit Plesk 8.2, Kernel 2.6.16.53
Das letzte grüßere Update Aktion ist 17 Tage her, also am 08.09.07.
Nächster login war der 19.09 und dann heute - 25.09
Dabei wurde am 08.09 auch ein Kernel Update mit reboot durchgeführt.

Normalerweise schaue ich täglich auf den Server, die letzten Wochen jedoch waren recht stressig, so dass ich nicht ganz so oft dazu kam - und nun dass.

Ich Versuche gerade zu rekonstruieren was ich am 19.09 denn so alles gemacht habe - yast aufgerufen, updates installiert und logfiles gelesen.
Ich hatte mehrere SSH Verbindungen offen, auf denen ich "nichts" gemacht hatte (SSH - Client Windows). Da ich unterbrochen wurde und den Rechner verlassen musste klickte ich alles einfach weg ohne mich wie normal mit exit auszuloggen. Ich denke nicht dies die Ursache war- da .bash_history ja laufend ergänzt wird. Einzigste Erklärung wäre das bei dem Update am 08.09 und dem anschließenden Reboot die History gelöscht wurde und die Sitzung am 19. nicht gespeichert wurde da nicht ordnungsgemäß beendet.

Dazu wollte ich mir mal eure Meinung einholen - ansonsten habe ich wohl einiges an Arbeit vor mir...

Meine Meinung: Mach einen kompletten Dump Deines Systems (per dd aus dem Rescue), und dann versuche einfach, ob Du mit dem erneuten Einspielen der (Update-) Pakete, einer unbeendeten Session und einem Reboot die History geleert bekommst. Wenn dem so ist (was ich mir nur schwer vorstellen kann; der sshd beendet auch abgebrochene Sitzungen eigentlich recht zuverlässig), hast Du Glück gehabt. Wenn nicht, neu aufsetzen und das gezogene Image für die forensische Analyse nutzen...

Update:
Alleine die Ungewissheit das etwas gewesen sein könnte hat mich dazu erwogen den Server neu aufzusetzten. Lieber einen Abend offline als das jemand Unfug damit treiben könnte.

Derzeit forsche ich noch an der Ursache des Problemes, einen Hinweis auf unerwünschten Besuch konnte ich bisher nicht finden, andererseits habe ich es nur "geschafft" das die History nicht erweitert wird - ganz leer habe ich
sie nicht bekommen.

Gleichzeitig habe ich nochmal alles durchdacht - und einige Änderungen im Sicherheitskonzept vorgenommen,mit noch etwas konsequenteren Einstellungen was die Serverprogramme angeht. Die einzigeste Komponente die ich hier nicht "im Griff" habe ist Plesk - da muss ich mich wohl auf SWsoft verlassen.
OT:
Was wären hier denn die besseren Alternativen?
Pflichtenheft: Email adressen anlegen, Spamfilter konfigurieren, Webmail, logfiles verwalten und lesen, Verzeichnisse per .htaccess Schützen.

Ich weiß das das alles per Shell geht und das selbst auch auf Auftrag hin machen könnte - nur die Usern die Plesk nutzen wollen das selber machen und denen kann ich beim besten willen keinen Shell zugriff erlauben ;-)

mir ist heute bei meinem Home-Server (nur zum Spaß) aufgefallen, dass ebenfalls die history leer war. Eigentlich kann ich einen Angriff ausschließen, da ich diesen Computer immer herunterfahre wenn ich ihn nicht brauche (er ist oft aus).

Da ich lenny benutze, lass ich jeden tag updaten. Desswegen kann es auch an den updates liegen. habe jetzt aber nicht mehr im kopf, was ich upgedated hatte.