Re: uptime

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 19 Dec 2005 21:50:12 +0100 (CET)

J. Erik Heinz <list(at)jerik.de> wrote:
> hab gerade mal zufällig uptime auf meinem Server aufgerufen und musste
> voller erstauen feststellen:
> 8:41pm up 6 days, 21:10, 1 user, load averages: 0,00 0,00 0,00
> das er 6 Tage up ist. Mein letzer Reboot ist aber bestimmt 2 Monate
> her.
>
> Nun frage ich mich - wie kann das sein?

1. Stromausfall.
2. Kernel-Panic.
3. Spontaner Reboot.
4. Eine andere Person hat den Rechner rebootet.

> Was kann ich machen um das herauszufinden.?

1. In /var/log/messages gucken (bzw. die rotierten älteren
    Dateien), ob zu dem Zeitpunkt irgendwas zu finden ist.
    Falls ein User einen (regulären) Reboot ausgelöst hat,
    dann wird das dort genannt.

2. Guck in die Ausgabe von last(1) den betreffenden Zeit-
    punkt an.

3. Du kannst auch mal unter /var/crash gucken, ob da ein
    Kernel-Crashdump zu finden ist.

4. Falls Du Process-Accounting aktiviert hast, kannst Du
    dort nachgucken, was zum Zeitpunkt des Reboots so los
    war.

5. Schau nach, ob zum Zeitpunkt des Reboots ein Cronjob
    lief, der vielleicht der Auslöser sein könnte. Den
    genauen Zeitpunkt des Reboots sagt Dir:
       sysctl kern.boottime
    Wobei die Ursache des Crash natürlich eher ein, zwei
    Minuten vor dem Reboot gewesen sein muß, je nachdem,
    wie lange Dein Rechner so zum Rebooten braucht. Wenn
    ein Kernel-Crashdump geschrieben wurde, kann das auch
    ein Weilchen dauern, was man mit berücksichtigen muß
    bei der Zeitabschätzung.

> Irgendwie schrillt jetzt bei mir die Alarmglocke "You are hacked!"

Naja. Ist nicht völlig auszuschließen, aber doch eher un-
wahrscheinlich. Ich würde eher eine der anderen o.g. Mög-
lichkeiten für wahrscheinlicher halten. Davon abgesehen
hätte ein Hacker wohl besseres zu tun, als den soeben er-
gatterten Zugriff dafür zu nutzen, den Rechner zu rebooten,
was ja wohl garantiert auffallen wird. (Ja, es gibt Szena-
rien, wo ein Reboot einem Hacker von Nutzen ist, aber ich
halte das in diesem Fall trotzdem für die unwahrscheinlich-
ste Variante.)

> Was tue ich jetzt am besten?

Wenn Du fest an an die Hacker-Theorie glaubst: Die übli-
chen Maßnahmen, wenn ein Rechner gehackt wurde. Also das
OS neu aufspielen (von CD/DVD oder einem anderen »sauberen«
Medium) und dann die Daten (keine Binaries/Skripte!) vom
letzten Backup restaurieren.

> Ich glaube ich fange mal an alle ssh-aktivitäten auf dem System zu
> monitoren...
>
> obwohl das ja eigentlich zu spät ist...

In der Tat, es wäre viel zu spät. Du hättest _vorher_ ein
IDS in Betrieb nehmen müssen (samhain, tripwire, mtree).

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
$ dd if=/dev/urandom of=test.pl count=1
$ file test.pl
test.pl: perl script text executable
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 19 Dec 2005 - 21:52:07 CET

search this site