Gestern war ein Wundertag. Das erste Wunder war beruflich, das zweite Wunder ganz privat – und davon erzähle ich hier bekanntlich nicht. Aber vom beruflichen – und das Wunder ging so:

$Kollege war auf einem nicht ganz unwichtigen Server eingeloggt und stellte plötzlich fest, das das Environement etwas merkwürdig anders war. Schnell eine zweite Konsole geöffnet, moment, wieso Password-Challenge. Wir nutzen nur keybasierte Authentifizierung. Also nicht das Passwort eingetippt, sondern erst mal geguckt. Hah, es gibt keine Dateien im .ssh-Verzeichnis mehr?! Und auch keine .profile! Und einiges andere fehlte auch. Er war sich ziemlich sicher, diese nicht gelöscht zu haben. OK, also schnell ein last, nix ungewöhnliches. Kann man ja eventuell auch faken. Im Hintergrund lief eine eifrige Passwort-Attacke, nein, keine der üblichen Wörterbuchattacken. Also abuse-Meldung an die Freunde vom übern Teich. Dann erst mal wieder einige public-keys geholt, zum einloggen. Im sshd wieder die Passwortauthentifizierung ausgeschaltet. Wie verdammt kann die eingeschaltet worden sein? War sie wirklich je aus?
Stundenlanges suchen nach potentiellen Einbruchsspuren brachten keinen Erfolg, die Beobachtung der Aktivitäten des Servers keine Auffälligkeiten. Alles sehr merkelwürdig. Vielleicht doch ein versehentliches löschen?

Abends wars dann sehr schön, Danke der Nachfrage.

Dieser Text wurde am 15.12.2005 um 21:52 in der Kategorie 1.1.0 staff-notes hinterlegt. Kommentare können mit dem RSS 2.0 Feed verfolgt werden. Du kannst auch Deinen eigenen Senf dazugeben, oder einen Verweis mittels Trackback von Deiner eigenen Seite vornehmen.