ComputerBase Menü
Aktuelles

VPS >> home folder deleted by someone ?

T

tritra0815

Cadet 4th Year
Registriert
Okt. 2005
Beiträge
115
Hallo zusammen,

gibt es eine Möglichkeit herauszufinden ob irgendjemand bei meinem VPS( root user bzw. tri user ) den /home folder gelöscht hat.

Gestern um 22:00 war alles noch verfügbar ( 30 GB, garrysmod ) im tri ordner, 5 min später war er komplett weg und ich musste ihn wieder erstellen und die Daten garrysmod herunterladen.

1647617052415.png


Gibt es eine History von Befehlen die vom root user bzw. tri user gemacht wurden ? Vielleicht kennt jemand mein root bzw. tri password. Das habe ich mal vorsichtshalber schon geändert.

BR
Mathias
 
history als befehl unter dem user abfeuern
oder per z.B cat /root/.bash_history
 
MadMax_87 schrieb:
history als befehl unter dem user abfeuern
oder per z.B cat /root/.bash_history
Zum Vergrößern anklicken....
Ok danke, unter root habe ich eine Übersicht bekommen. Nichts aufälliges dabei. Wenn ich das gleiche mit gmodserver als user versuche kommt keine Übersicht. Kann es sein, dass durch einen Serverfehler die /home/gmodserver gelöscht wurde ? Oder geht sowas gar nicht ?
 
die meisten "Linuxe" legen /home" auf eine eigenen Partition aka festplatte...wenns die wegegrätscht hat...was bei nem VPS aber "eigentlich" nicht passieren sollte....
 
MadMax_87 schrieb:
history als befehl unter dem user abfeuern
oder per z.B cat /root/.bash_history
Zum Vergrößern anklicken....
Bringt aber nur was, wenn es direkt unter root User ausgeführt wurde. Sobald es per Script, sudo von einem anderen Benutzer oder per ssh remote gemacht wurde, keine Chance.
 
  • Gefällt mir
Reaktionen: tritra0815
zudem kann die history auch einfach mit Absicht von Hand geleert worden sein - hat also nur begrenzt Aussagekraft.

ich würde mir vor allem die System-Logs mal näher ansehen (messages, auth, etc).

ansonsten bleibt die übliche Frage: Server gut genug abgesichert? (fail2ban, root-login via ssh deaktiviert, generell ssh login nicht password-only, usw) und regelmäßig Updates gefahren? Welches OS kommt mit welchem Patchstand zum Einsatz?

tritra0815 schrieb:
Kann es sein, dass durch einen Serverfehler die /home/gmodserver gelöscht wurde ?
Zum Vergrößern anklicken....
ausschließen kann man's nicht. Aber wenn dann raucht eher eine ganze Platte ab und das hättest du definitiv deutlicher gemerkt.
 
  • Gefällt mir
Reaktionen: tritra0815
das ist korrekt
Man könnte noch in /var/log/secure schauen ob da was da ist (einlog-versuche, befehle etc.)
Aber es gibt halt auch immer die möglichkeit sowas "nach der Tat" zu löschen, wenn man eh schon zugriff hat
 
  • Gefällt mir
Reaktionen: tritra0815 und Der Lord
Der Lord schrieb:
zudem kann die history auch einfach mit Absicht von Hand geleert worden sein - hat also nur begrenzt Aussagekraft.

ich würde mir vor allem die System-Logs mal näher ansehen (messages, auth, etc).

ansonsten bleibt die übliche Frage: Server gut genug abgesichert? (fail2ban, root-login via ssh deaktiviert, generell ssh login nicht password-only, usw) und regelmäßig Updates gefahren? Welches OS kommt mit welchem Patchstand zum Einsatz?


ausschließen kann man's nicht. Aber wenn dann raucht eher eine ganze Platte ab und das hättest du definitiv deutlicher gemerkt.
Zum Vergrößern anklicken....

fail2ban ja
root-login via ssh deaktiviert nein
generell ssh login nicht password-only, usw) und regelmäßig Updates nein

Ich werde das mal auf den letzten Stand bringen :)
 
tritra0815 schrieb:
fail2ban ja
root-login via ssh deaktiviert nein
generell ssh login nicht password-only, usw) und regelmäßig Updates nein:)
Zum Vergrößern anklicken....
fail2ban eingerichtet, aber keine updates, root per ssh und passwort?
...da kannst das auto auch abschließen und den schlüssel stecken lassen....
 
  • Gefällt mir
Reaktionen: Der Lord und Malaclypse17
tritra0815 schrieb:
root-login via ssh deaktiviert nein
generell ssh login nicht password-only, usw) und regelmäßig Updates nein
Zum Vergrößern anklicken....
ich sag mal: ungünstig. ;)

damit erhärtet sich der Verdacht, dass du ggf. nicht mehr der einzige Besitzer des Servers bist und sollte das wirklich zutreffen, weiß man auch nicht was evtl. schon alles angestellt wurde. In so einem Fall empfehle ich den Server komplett neu aufzusetzen - und zwar vernünftig mit den angesprochenen Schutzmaßnahmen, die ohnehin dringend notwendig sind. Anderenfalls kommt es früher oder später definitiv zu einem Hack (passiert heutzutage auch alles voll automatisiert).

Lesestoff:
https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
https://www.linuxandubuntu.com/home/10-steps-to-secure-linux-server
https://duckduckgo.com/?q=how+to+secure+linux+server
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

scooter010
Leserartikel Installation von Arch Linux mit ZFS-root auf x86 QNAP von 2010
Antworten
4
Aufrufe
1.665
scooter010
scooter010
Snakeeater
Langes Herunterfahren/Neustart Systemd
Antworten
14
Aufrufe
2.238
Snakeeater
Snakeeater
Kaito Kariheddo
Leserartikel Arch Linux - Schritt für Schritt Anleitung für Einsteiger
3 4 5
Antworten
84
Aufrufe
39.828
Floppy Disk 8"
F
ibm9001
Erfahrungsbericht: GPU Passthrough mit AMD Ryzen 5700G auf einem ITX Mainboard BIOSTAR B550T-Silver
Antworten
14
Aufrufe
8.560
ibm9001
ibm9001
E
Cisco Catalyst - Fragen zu Lizenzierung und Zertifikaten
Antworten
12
Aufrufe
4.524
Ranayna
Ranayna

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz