Dateien und Directories im /root gelöscht

[chris76]

Hi zusammen,

mir ist heute morgen was komisches auf einer unserer Datenbankmaschinen aufgefallen.
alle Dateien und Verzeichnisse im /root die mit nicht einem . beginnen waren gelöscht.

Eigene Scripte kann eigentlich ausschließen
Logins kann ich keine fremden verzeichnen. Das ganze muß zwischen 20.18 und 6.35 Uhr passiert sein. Nur wie.

Ich würde nur gerne rausfinden wie es passiert sein kann.
die history zeigt auch kein entsprechendes verhalten. Keine besonderen Aktivitäten etc.

Jmd sowas schon mal gehabt oder von gehört?

[Roger Wilco]

Also "einfach so" werden Dateien nicht gelöscht. Ist eine Kompromittierung komplett auszuschließen?
Und ist PEBKAC à la `rm -rf *` in /root komplett auszuschließen?

[chris76]

Hi,

eine Kompromittierung konnten wir definitv ausschließen.
Heute morgen habe ich auch den Verursacher gefunden.
Ein Script eines Kollegen ;)

Code: Select all

---snip---
ZIELTEMP=/root/ftp/zieltemp
ZIELTEMPZIP=/root/ftp/zieltemp/*

#TEMP Verzeichnis anlegen
mkdir $ZIELTEMP

#Daten holen
ncftpget -f /root/ftp/login.cfg -d /admin/transfer/log/transfer-$NAME-`date +%Y%m%d-%H%M.log` -V -z -t 120 -r 5 $ZIELTEMP $QUELL

#Sicherheitskopie der erhaltenen Daten erstellen
/usr/bin/zip $SAVE/$NAME-`date +%Y%m%d-%H%M.zip` $ZIELTEMPZIP

#Dateien aus dem temp verzeichnis in das eigentliche verschieben
cd $ZIELTEMP
for file in *;do name=`basename $file`; mv $file "$ZIEL/$name"; done

#TEMP Verzeichnis löschen
rm -r $ZIELTEMP
---snap---

Das Problem geschieht dann wenn ncftpget keine Daten zum holen hat. Dann scheint wohl das ZIELTEMP noch nicht angelegt zu sein wenn er in es wechseln möchte und steht dann noch im /root/ftp wenn er das verschieben startet.