J. Erik Heinz <list(at)jerik.de> wrote:
> hab gerade mal zufällig uptime auf meinem Server aufgerufen und musste
> voller erstauen feststellen:
> 8:41pm up 6 days, 21:10, 1 user, load averages: 0,00 0,00 0,00
> das er 6 Tage up ist. Mein letzer Reboot ist aber bestimmt 2 Monate
> her.
>
> Nun frage ich mich - wie kann das sein?
1. Stromausfall.
2. Kernel-Panic.
3. Spontaner Reboot.
4. Eine andere Person hat den Rechner rebootet.
> Was kann ich machen um das herauszufinden.?
1. In /var/log/messages gucken (bzw. die rotierten älteren
Dateien), ob zu dem Zeitpunkt irgendwas zu finden ist.
Falls ein User einen (regulären) Reboot ausgelöst hat,
dann wird das dort genannt.
2. Guck in die Ausgabe von last(1) den betreffenden Zeit-
punkt an.
3. Du kannst auch mal unter /var/crash gucken, ob da ein
Kernel-Crashdump zu finden ist.
4. Falls Du Process-Accounting aktiviert hast, kannst Du
dort nachgucken, was zum Zeitpunkt des Reboots so los
war.
5. Schau nach, ob zum Zeitpunkt des Reboots ein Cronjob
lief, der vielleicht der Auslöser sein könnte. Den
genauen Zeitpunkt des Reboots sagt Dir:
sysctl kern.boottime
Wobei die Ursache des Crash natürlich eher ein, zwei
Minuten vor dem Reboot gewesen sein muß, je nachdem,
wie lange Dein Rechner so zum Rebooten braucht. Wenn
ein Kernel-Crashdump geschrieben wurde, kann das auch
ein Weilchen dauern, was man mit berücksichtigen muß
bei der Zeitabschätzung.
> Irgendwie schrillt jetzt bei mir die Alarmglocke "You are hacked!"
Naja. Ist nicht völlig auszuschließen, aber doch eher un-
wahrscheinlich. Ich würde eher eine der anderen o.g. Mög-
lichkeiten für wahrscheinlicher halten. Davon abgesehen
hätte ein Hacker wohl besseres zu tun, als den soeben er-
gatterten Zugriff dafür zu nutzen, den Rechner zu rebooten,
was ja wohl garantiert auffallen wird. (Ja, es gibt Szena-
rien, wo ein Reboot einem Hacker von Nutzen ist, aber ich
halte das in diesem Fall trotzdem für die unwahrscheinlich-
ste Variante.)
> Was tue ich jetzt am besten?
Wenn Du fest an an die Hacker-Theorie glaubst: Die übli-
chen Maßnahmen, wenn ein Rechner gehackt wurde. Also das
OS neu aufspielen (von CD/DVD oder einem anderen »sauberen«
Medium) und dann die Daten (keine Binaries/Skripte!) vom
letzten Backup restaurieren.
> Ich glaube ich fange mal an alle ssh-aktivitäten auf dem System zu
> monitoren...
>
> obwohl das ja eigentlich zu spät ist...
In der Tat, es wäre viel zu spät. Du hättest _vorher_ ein
IDS in Betrieb nehmen müssen (samhain, tripwire, mtree).
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. $ dd if=/dev/urandom of=test.pl count=1 $ file test.pl test.pl: perl script text executable To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 19 Dec 2005 - 21:52:07 CET