Hallo zusammen,

seit 2 schlaf ich etwas unruhig.

Hab auf meinem Server in die /etc/bashrc folgendes reingepackt:
echo "Login-Meldung als Benutzer $USER auf $HOSTNAME" | mail -s "SSH $HOSTNAME" meine@mailaddy.tld

Log ich mich per SSH ein, so bekomme ich eine Mail mit folgendem Inhalt:
"Login-Meldung als Benutzer XXXUSER auf XXXserver"
Wichtig ist, dass ich die Meldungen nur bekomme, wenn ich mich einlogge. Sonst nicht.
Seit 2 Tagen bekomme ich ab und an eine Mail mit
"Login-Meldung als Benutzer auf XXXserver"

Was mich wundert ist, dass der Benutzername, der sich per SSH eingelogt haben soll. Hab schon chkrootkit drüberlaufen lassen und auch antivir, aber ich finde nichts.

Wie finde ich raus, ob das System nur spinnt oder wirklich jemand unfug da treibt?

Gruß und Dank
LordDarkmage

Moin,
du koenntest zusaetzlich /var/log/messages (oder auth) durchsehen, ob sich das mit den E-Mails deckt.

bis dann
julian

Habs jetzt erstmal so gelöst:
neuen User angelegt mit Sonderzeichen und mittels AllowUsers den zum einzigen möglichen SSH-User gemacht. Mal sehen, ob das Spielchen jetzt ein Ende hat.

Seit 2 Tagen bekomme ich ab und an eine Mail mit
"Login-Meldung als Benutzer auf XXXserver"

Was mich wundert ist, dass der Benutzername, der sich per SSH eingelogt haben soll. Hab schon chkrootkit drüberlaufen lassen und auch antivir, aber ich finde nichts.
fehlt da nicht min. 1 Wort?

Die Mail kann übrigens dann kommen, wenn ein Script die /etc/bashrc sourced - evtl. wäre eine andere Datei oder eine Prüfung auf Loginshell noch sinnvoll...

fehlt da nicht min. 1 Wort?
Genau das ist es. Der Benutzer, der sich angeblich eingelogt hat fehlt.

So, jetzt hab ich Herzrasen. Bei mir lag eine index2.php. Wunderte mich erstmal woher die kam und habs mir angesehen. "N3tShell v. Emp3ror Undetectable" <= *kreisch* Bin ja kein Hacker, aber das sieht ein Blinder mit Krückstock, dass es sich dabei um ein Skript handelt zum Server übernehmen. Nur würd ich gern wissen ob diese .php alles ist oder dazu noch viel mehr gehört. Von mir aus so ein Package was man installiert oder so.

Jemand Idee?
Versuch mich grad zu beruhigen, was mir ehrlich gesagt etwas schwer fällt...

Locker bleiben - Schock bekämpfen:

1. Maschine vom Netz nehmen!
2. Maschine plätten
3. Daten aus einem sauberen Backup recovern
4. Prüfen über welche Lücke der Angreifer eingedrungen ist und Lücke schließen

Wenn Du die Datei da nicht hingepackt hast:

Server vom Netz nehmen, forensisches Backup machen und die Kiste neu installieren. Absichern (vor allem die Lücke, durch die da evtl. jemand reingekommen ist) - vor dem einspielen evtl. gesicherter Daten diese auf Vertraubarkeit prüfen.

http://de.wikipedia.org/wiki/Technische_Kompromittierung

Greeez Oli

Hallo,

danke für die Tips bis hier.
Hab beim Erstellen der Backkups ein Problem. Der Server rebootet willkürlich alle 2 - 40 Minuten (oft schon nach 10 Min) von selbst und macht es mir unmöglich ein Backup zu erstellen.

Wie kann ich den Server am Reboot hinder?

Gruß und Dank
LordDarkmage

Hast Du physikalischen Zugriff auf die Maschine? Wenn nicht - gibt's eine Rettungskonsole?

Wie kann ich den Server am Reboot hinder?
Du kannst einen laufenden reboot abbrechen!

shutdown -c

Greeez Oli

... was aber nur Sinn macht bzw. praktikabel ist, wenn er mit einem Delay aufgerufen wurde. Ansonsten ist meist Deine Shell weg, bevor Du dazu kommst, den Befehl zu tippen.

Normalerweise bekommt man eine Meldung an der Console, bevor das System runter gefahren wird. Da hat man noch so an die 5 Sekunden um zu reagieren!

Greeez Oli

je nach dem, wie der Shutdown ausgeführt wird.

Das Backup hat man _vor_ dem Angeiff zu erstellen. Oder willst du später auf deinem fertig installierten und sauberen Server wieder die verseuchte Grütze einspielen??!!

Server vom Netz nehmen, forensisches Backup machen und die Kiste neu installieren.
Gehen wir mal davon aus, dass er an der Stelle sitzt...

... was aber nur Sinn macht bzw. praktikabel ist, wenn er mit einem Delay aufgerufen wurde. Ansonsten ist meist Deine Shell weg, bevor Du dazu kommst, den Befehl zu tippen.
Per script jede Sekunde ein shutdown -c aufrufen. oder einfach /sbin/shutdwon umbennen.

Grüße.
craano.

Wie wäre es damit das Backup von einem Rettungssystem zu starten? (Boot via Netzwerk)

Es ist zum heulen. Selbst das Umbenennen des /sbin/shutdown, /sbin/reboot und /sbin/halt nützt nichts. Jetzt hab ich mal lokal auf meinem Linuxhobel hier die /sbin/init umbenannt. Mit meinem hier zu Hause ist kein Reboot mehr möglich. Der Server im RZ ist allerdings jetzt trotzdem weg.

Ich dachte ohne /sbin/init wäre kein Reboot möglich... *kopfkratz*

Was gibt es denn sonst noch für Wege Reboots zu unterbinden?
Mich beschleicht so langsam das Gefühl, dass der Server irgendwie entweder nen Hardwaretick hat oder das Rebootsystem vom RZ spinnt und mir meinen Server ständig rebootet.

Ok, jetzt wirds langsam schlimm.
Ich habe in die /var/log/messages gesehen. Dort steht nicht ein einziger Shutdown drin. Nur hintereinander alle Bootvorgänge. Nicht ein Shutdown dazwischen.

So langsam wirds spanisch....

Netzteil/Mainboard/CPU kaputt?

Kannst du nicht irgendwie von einem Live-System booten?

Leider gibt es keine Möglichkeit. Nur der Support. WENN er denn mal reagieren würde.
Ich hab echt das Gefühl, dass die Hardware einen Tick hat. Was anderes weiss ich nicht mehr.

bekommst du denn den Shutdown mitgeteilt?

Nein, garnichts. Der ist plötzlich weg. Wie gesagt, schau ich in die /var/log/messages, dann seh ich auch keinen shutdown. Die Kiste verhält sich wie geresettet.

Wie sieht den die load aus? top ?


Gruß Aqualung

nach dem Boot was höher, senkt sich dann aber auf fast 0, weil er halt bummelt.

alle Sekunde


ps ax

in eine Datei catten.

Gruß Aqualung

So, der Support hat einen kompletten Hardwaretausch gemacht. Server scheint zu laufen. Will jetzt aber die Klappe nicht zu weit aufreißen.