Aiutami a catturare qualcuno con la mano rossa sul nostro server.

1

Prima ho provato ad accedere questa mattina e la nostra password è stata cambiata sul nostro server Ubuntu.

Ho contattato il nostro supporto per i server e mi hanno detto che ero appena stato duro a tastare la password.

Ho pensato che fosse un pesce, non sono il tipo di persona per digitare una password e dare la colpa al tipo IT.

Ho guardato il file della cronologia e sono sicuro che la password è stata cambiata ma non da me.

Ho chiamato il nostro supporto server e hanno detto che stavano solo verificando la password. non ha senso.

Ora ci sono 10 righe nel file della cronologia che sono state cancellate.

Sento odore di pesce, ora non posso sftp in, ma ho ancora una sessione attiva tramite SSH.

Esiste un file di registro che può dirmi chi ha modificato un file e quando.

Ci sono altri file di registro che possono aiutarmi a catturare questa persona e scoprire con certezza cosa sta succedendo.

Questo è il nostro server di produzione e mi rende nervoso avere qualcuno che esegue un servizio senza che noi chiediamo. A partire da ora non posso provare che sta succedendo qualcosa di strano, ma so che c'è.

Grazie in anticipo.

    
posta calebcjb 23.07.2014 - 21:34
fonte

3 risposte

1

Is there a log file that can tell me who edited a file and when.

find / -mmin -90 -printf '%p\t%a\n'

Questo elencherà tutti i file modificati negli ultimi 90 minuti e quando sono stati modificati. Non dice però chi lo ha modificato ( questo non è possibile ).

E come ha detto Hae0 guardando la cronologia di bash (e il log in / var / log) è sempre una buona idea. La cronologia di root dovrebbe essere qui:

/root/.bash_history

E le storie per gli altri utenti qui:

/home/<username>/.bash_history

Ma nota che con i diritti corretti i file di log possono essere cambiati. È anche possibile modificare l'ultima data di modifica dei file.

    
risposta data 24.07.2014 - 11:56
fonte
0

Puoi utilizzare cat .bash_history per vedere quali comandi sono stati immessi.

Dovresti anche controllare i vari file / var / log. Tieni presente che puoi utilizzare tail -f per guardare i log in tempo reale per vedere se qualcuno è sulla scatola.

    
risposta data 24.07.2014 - 02:51
fonte
0

last -w ti dirà chi ha effettuato l'accesso e da dove. Può essere cambiato, come le altre cose. Puoi scrivere uno script da eseguire come un demone che invia i log e i file di cronologia su un altro server, quindi la prossima volta non sarà utilizzabile.

Ho trovato questa risposta SO: link

Se si imposta lo script in modo che venga eseguito a intervalli (utilizzando sleep e loop o qualche altro metodo) ed esegua lo script dal server di destinazione, non può essere disattivato, sebbene dopo la password al proprietario del i file sono cambiati, non sarà più in grado di trasferirli, ma a quel punto sarà troppo tardi.

    
risposta data 24.07.2014 - 12:29
fonte

Leggi altre domande sui tag