Ayúdame a atrapar a alguien con la mano roja en nuestro servidor.

Navega tus respuestas
1

La primera vez que intenté iniciar sesión esta mañana, se cambió nuestra contraseña en nuestro servidor de Ubuntu.

Me puse en contacto con el servicio de asistencia del servidor y me dijeron que acababa de darme cuenta de la contraseña.

Pensé que era sospechoso, no soy el tipo de persona que escribe mal una contraseña y culpa al tipo de TI.

Miré el archivo del historial y, efectivamente, la contraseña se cambió pero no la hice yo.

Llamé al soporte de nuestro servidor y me dijeron que solo estaban verificando la contraseña. no tiene sentido.

Ahora hay 10 líneas en el archivo histórico que se ha eliminado.

Huelo algo a pescado, ahora no puedo entrar, pero todavía tengo una sesión activa a través de SSH.

¿Hay un archivo de registro que pueda decirme quién editó un archivo y cuándo?

¿Hay algún otro archivo de registro que pueda ayudarme a atrapar a esta persona y averiguar con seguridad qué está pasando?

Este es nuestro servidor de producción y me pone nervioso tener a alguien que esté ejecutando un servidor sin que lo pidamos. A partir de ahora no puedo probar que algo extraño esté sucediendo, pero sé que hay.

Gracias de antemano.

    
pregunta calebcjb 23.07.2014 - 21:34
fuente

3 respuestas

1
  

¿Hay un archivo de registro que pueda decirme quién editó un archivo y cuándo? 

find / -mmin -90 -printf '%p\t%a\n'

Esto mostrará una lista de todos los archivos modificados en los últimos 90 minutos y cuándo se cambiaron. No dice quién lo cambió ( esto no es posible ).

Y como Hae0 dijo que mirar el historial de bash (y los registros en / var / log) siempre es una buena idea. El historial raíz debería estar aquí: 

/root/.bash_history

Y las historias de los otros usuarios aquí: 

/home/<username>/.bash_history

Pero tenga en cuenta que con los derechos correctos se pueden cambiar los archivos de registro. La última fecha de cambio de los archivos también se puede cambiar.

    
respondido por el tim 24.07.2014 - 11:56
fuente
0

Puedes usar cat .bash_history para ver qué comandos se han ingresado.

También debe comprobar los diversos archivos / var / log. Tenga en cuenta que puede usar tail -f para ver los registros en tiempo real para ver si hay alguien en el cuadro.

    
respondido por el Hae0 24.07.2014 - 02:51
fuente
0

last -w le dirá quién inició sesión y desde dónde. Se puede cambiar, como las otras cosas. Puede escribir una secuencia de comandos para ejecutar como un demonio que envía los archivos de registro e historial a otro servidor, por lo que la próxima vez no se podrá recuperar.

Encontré esta SO respuesta: enlace

Si configura la secuencia de comandos para que se ejecute en un intervalo (usando la suspensión y un bucle o algún otro método) y ejecute la secuencia de comandos desde el servidor de destino, no se puede desactivar, aunque después de la contraseña al propietario de los archivos cambian, ya no podrá transferirlos, pero para entonces será demasiado tarde.

    
respondido por el JVE999 24.07.2014 - 12:29
fuente

Lea otras preguntas en las etiquetas

Makecab.exe al inicio. ¿Es malicioso? Browser - lo que se guarda en el disco