Trädvy Permalänk
Medlem
Registrerad
Sep 2009

Server bash_history

Hej!

så jag och en kompis sitter med en server så kollade jag egenom bash historiken så såg jag någon gjort följande:

egrep -u '^user|^group' /etc/httpd/conf/httpd.conf

men ingen av oss kommer ihåg att vi ska ha gjort det, bör jag vara orolig?

Tack för svar!

Смерть -это решение всех проблем. Нет человека - нет проблемы
Comp1: Ubuntu 16.04 Comp2: Arch Linux
Comp3: Ubuntu Server 16.04 Comp4: Centos 6.5
Comp5: Linux mint 16 Comp6: Raspberry pi (olika OS hela tiden)
Phone: Motorola Google Nexus 6

Trädvy Permalänk
Medlem
Plats
Zion
Registrerad
Apr 2004

[ i5-6600K @ 4.7Ghz || Corsair H110 GTX || 16GB DDR4 || ASUS Z170 Pro Gaming || Asus ROG 1080 Strix @ 2100+/11Ghz+ ]
Unigine Superposition 1080p; 17487 @ Medium; 4594 @ Extreme
"One is always considered mad, when one discovers something that others cannot grasp."
- Ed Wood

Trädvy Permalänk
Medlem
Registrerad
Sep 2009

Okej, hur kan jag på bästa sätt försöka se om det är någon som har "hackat" servern (jag vill mycket gärna slippa installera om den).

Смерть -это решение всех проблем. Нет человека - нет проблемы
Comp1: Ubuntu 16.04 Comp2: Arch Linux
Comp3: Ubuntu Server 16.04 Comp4: Centos 6.5
Comp5: Linux mint 16 Comp6: Raspberry pi (olika OS hela tiden)
Phone: Motorola Google Nexus 6

Trädvy Permalänk
Medlem
Registrerad
Mar 2010
Skrivet av asdfgh:

Okej, hur kan jag på bästa sätt försöka se om det är någon som har "hackat" servern (jag vill mycket gärna slippa installera om den).

Koppla in en maskin som dumpar all trafik mellan servern och internet som du routar all trafik igenom, så bör du kunna se om den gör några anslutningar den inte borde.

Skrivet av asdfgh:

Hej!

så jag och en kompis sitter med en server så kollade jag egenom bash historiken så såg jag någon gjort följande:

egrep -u '^user|^group' /etc/httpd/conf/httpd.conf

men ingen av oss kommer ihåg att vi ska ha gjort det, bör jag vara orolig?

Tack för svar!

Vet du vad kommandot gör förresten? Det söker efter rader som börjar med ordet "user" eller "group" i filen /etc/httpd/conf/httpd.conf (Apache's konfigurationsfil). Spaken -u ska enligt man-sidan jag kollar på rapportera var någonstans i filen den hittar detta, men ska inte fungera utan att spaken -b också används vilket i mina ögon ser konstigt ut (då den inte använts i ditt exempel), såvida du inte har en annan version av grep på din server än den jag kollade upp.

Trädvy Permalänk
Medlem
Registrerad
Sep 2009

@s0sdaf:

Ja jag såg att det inte fungerade också. Ja, det skulle vara vettigt att kolla tyvärr har jag inte åtkomst till den, då det är en hyr server.

Funderar på att göra en egen log som kolla tty:s och mejla logen på någon slumptid, för att (förhoppningsvis) fånga något. Det kanske är helt idiotiskt men jag tycker det låter vettigt.

Смерть -это решение всех проблем. Нет человека - нет проблемы
Comp1: Ubuntu 16.04 Comp2: Arch Linux
Comp3: Ubuntu Server 16.04 Comp4: Centos 6.5
Comp5: Linux mint 16 Comp6: Raspberry pi (olika OS hela tiden)
Phone: Motorola Google Nexus 6

Trädvy Permalänk
Medlem
Registrerad
Mar 2010

@asdfgh: Det finns ju en del loggar man kan kolla i som kan avslöja både det ena och det andra, men såklart bara om hackern (om du nu utsatts för en sådan) är dålig på att städa upp efter sig. Lite inte för blint på tidsstämplar i loggar heller, har hackern root-access kan han troligen ändra tid/datum på servern för att diverse loggdata ska stämplas med helt fel datum, för att sedan ändra tillbaka tid/datum innan han loggar ut så att man inte ska märka något.

Trädvy Permalänk
Medlem
Registrerad
Sep 2009

Ja, datum är inte direkt det jag tänker på, men det jag tänker är ju att det kan vara bra att ta en separat logg vilket gör att den eventuella hackern inte känner till den (om jag städar lite loggar osv) och då kan man eventuellt fånga det de andra loggarna inte lyckas efter han/hon städat efter sig. Men det kanske r helt dumt.

Смерть -это решение всех проблем. Нет человека - нет проблемы
Comp1: Ubuntu 16.04 Comp2: Arch Linux
Comp3: Ubuntu Server 16.04 Comp4: Centos 6.5
Comp5: Linux mint 16 Comp6: Raspberry pi (olika OS hela tiden)
Phone: Motorola Google Nexus 6