> > > > Der Hacker war zwar nicht der schlaueste und hat noch reichlich > > > > Spuren hinterlassen, aber den Befehl kannte er wohl dann doch > > > > noch /-: > > > Woher weisst du, wer 'apt-get clean' hat laufen lassen? > > Weil man anhand der Shell-History nachvollziehen kann, was auf dem > > Server gemacht wurde. > Woher weisst du, dass die History nicht manipuliert wurde?
Wer würde sich denn die Mühe machen, und sich solch etwas ausdenken? [Auszug aus der History] 386 lsof -i -n 387 w 388 pstree 389 ls -al /etc/passwd* 390 ls -al /etc/ 391 ls -al 392 find /etc/ -name passwd -ls 393 find /bin/ -name ls -ls 394 dpkg -S /bin/ls 395 less /etc/apt/sources.list 396 apt-get --reinstall install fileutils 397 apt-get --reinstall install fileutils 398 apt-get clean 399 df -k 400 find / -depth -type d -ls 401 find / -depth -depth0 -type d -ls 402 man find 403 find / -depth -maxdepth 0 -type d -ls 404 find / -depth -maxdepth 1 -type d -ls 405 find /lib -depth -maxdepth 1 -ls 406 lsattr /etc/passwd 407 lsattr /etc/passwd* 408 ls /etc/passwd* 409 ls -al /etc/passwd* 410 alias 411 unalias ls -- ciao Sven