Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

1

07.05.2007, 17:01

sämtliche logs gelöscht

Hey Leutz...
Hab nen GameServer am laufen, Debian.
Mein VorgängerAdmin hat ziemlich viel sche**s fabriziert, welchen Ich gerade
ausbügle. Da auch Dinge gelaufen sind, welche den Clan Geld gekostet haben, hab ich
den Auftrag bekommen seine Schritte zurückzuverfolgen.
Hab sämtliche Files in /var/log durchblättert, erfolglos.
/root/.bash_history hat er kurz vor Serverübergabe ebenfalls "resetet".....
Hab ich irgendeine Möglichkeit seine Schritte nachzuvollziehen ?.......

Wäre sau dankbar für Hilfe.
:)

2

07.05.2007, 17:47

* Rechner von CD oder anderer Platte booten,
* mit dd Abbild(er) der betroffenen Partitionen ziehen (in Datei(en) auf extra Festplatte),
* mit sleuthkit/autopsy nach Dateinamen oder Dateisystemaktionen innerhalb bestimmter Zeiträume suchen


Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

3

07.05.2007, 17:54

RE: sämtliche logs gelöscht

1. um welches dateisystem handelt es sich denn
2. wenn du dateisystemforensik betreiben willst/musst, dann solltest du dir einen raw-abzug des dateisystems herstellen, am besten mit dd. auf keinen fall mit einem normalen kopierprogramm. das gerät muss bis der abzug durchgeführt ist natürlich vom netz und mit einem rettungssystem gestartet werden, ansonsten suchst du die nadel im heuhaufen.

bei ext2/ext3 filesystemen kannst du die gelöschten dateien mit debugfs sehr leicht wider herstellen. mit lsdel werden die inodes mit gelöschten dateieinträgen angezeigt, mit cat <inodenummer> siehst du den inhalt der inode (also der datei) und mit dump -p <inodenummer> /restore-filename kannst du den inhalt in ein sicherungsfile legen und dann auswerten.

michael war schneller und der tipp mit sleuthkit/autopsy scheint auch besser zu sein :)
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »linuxerr« (07.05.2007, 17:57)


4

07.05.2007, 18:30

RE: sämtliche logs gelöscht

naja es liegt eher weniger daran das er die Dateien gelöscht hat als deren Inhalt.
Die Dateien sind noch da und werden somit auch nicht von lsdel angezeigt.....
Gibt es ausser /var/log und /root/.bash_history noch andere interessante logs ?

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

5

08.05.2007, 14:30

...andere interessante logs...

..eigentlich nur, wenn man es speziell einstellt.... und nachdem Dein "Gegner" das eingestellt hat, duerfte er es auch geloescht haben...
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

Thema bewerten