User Logfiles: User hat sie editiert! [Archiv]

Archiv verlassen und diese Seite im Standarddesign anzeigen : User Logfiles: User hat sie editiert!

WhiteVelvet

2004-02-29, 17:32:54

Ein User unseres Linux-Root-Servers hat Logfiles editiert, um Spuren zu verwischen. Zumindest ist es seltsam, dass seine bash die Grösse 0 hat. Er hat aber bloss einen User-Account und keinen Root-Account. Gibts noch andere Logfiles, die er nicht editieren konnte? Vielleicht sowas wie ein Papierkorb?

killermaster

2004-02-29, 17:41:47

der user kann alles editieren was in seinem verzeichnis steht,(falls du das meinst)

mfg

ZaCi

2004-02-29, 17:45:07

Original geschrieben von WhiteVelvet
Ein User unseres Linux-Root-Servers hat Logfiles editiert, um Spuren zu verwischen. Zumindest ist es seltsam, dass seine bash die Grösse 0 hat. Er hat aber bloss einen User-Account und keinen Root-Account. Gibts noch andere Logfiles, die er nicht editieren konnte? Vielleicht sowas wie ein Papierkorb?

Linux-Root-Server?

Darf man fragen mit was fuer einem Kernel und was fuer Diensten drauf?

WhiteVelvet

2004-02-29, 17:47:14

Um Gottes willen, frag mich das nicht, ich bin nur die "Aushilfe", ich habe keine Ahnung :D

(del676)

2004-02-29, 17:59:02

ein user KANN keine logfiles editieren, ausser ein root hat in /var/log die berechtigungen umgesetzt

auf meinem gentoo kann ein user die logs ned mal lesen.
alle dateien die ein user editieren kann liegen unter /home/(L)user/

WhiteVelvet

2004-02-29, 18:10:47

Ok, und genau dort hat die Bash-Datei die Grösse 0. Kann ich also anders einsehen, wann jemand auf dem System was gemacht hat?

Oder die Beantwortung dieser Frage wäre noch eindeutiger für mich: Kann man die Ausgabe des "last" Befehls irgendwie manipulieren?

(del676)

2004-02-29, 18:17:38

ach du meinst die .bash_history

warum soll er die nicht löschen dürfen?
spionierst du alle benutzer so aus? na denn mahlzeit!

killermaster

2004-02-29, 18:31:14

LOL
wie ich vermutete...

WhiteVelvet

2004-02-29, 18:32:20

Wenn derjenige ein potentieller Viren-Lieferant ist, ja sicher. Und Anzeichen dafür gibt es inzwischen mehrere...

Ausserdem ist das hier kein Firmen-Server sondern ein Clan-Server mit 3 User Accounts. Also bitte Leute...

killermaster

2004-02-29, 18:33:24

userdel -r seinaccount

mfg

WhiteVelvet

2004-02-29, 18:34:05

Danke, den User lösche ich nun eh.

Exxtreme

2004-02-29, 18:40:09

Original geschrieben von WhiteVelvet
Danke, den User lösche ich nun eh.
Also wenn du wirklich den Verdacht hast, daß der User irgendwas gemacht hat, dann solltest du vlt. auch nach Rootkits suchen. Also von einer sauberen Linux-CD booten und mal ein Rootkit-Scanner starten. Eins heisst glaub' chrootkit oder so.

(del676)

2004-02-29, 18:59:29

app-admin/chkrootkit
Latest version available: 0.41-r1
Latest version installed: 0.41-r1
Size of downloaded files: 29 kB
Homepage: http://www.chkrootkit.org/
Description: a tool to locally check for signs of a rootkit
License: AMS