[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Luglio 2004 ml@sikurezza.org Soggetto: Re: [ml] bash_history vuoto Mittente: Claudio . Panichi Data: Sun, 4 Jul 2004 15:04:58 +0200 (CEST)
Ciao.
Il fatto che sembra essere modificato _solo_ il .bash_history mi farebbe
pensare che non si tratti affatto di un rootkit, ma del normale
comportamento di bash. Esiste un valore di default (mi pare sia 500)
relativo a "quante righe" deve contenere il file incriminato. Se tale
limite viene raggiunto, automaticamente bash svuota il file e ne crea uno
from-scratch. Se vuoi incrementare tale limite (io di solito lo aumento a
4-5 mila linee) devi impostare:
HISTSIZE=4000
HISTFILESIZE=4000
nel tuo /etc/profile o .bashrc, vedi tu. Se vuoi fare ancora di meglio,
prevedi una "rotazione" per la history. Basta qualcosa tipo
if [ `wc -l .bash_history | awk '{print $1}'` -gt 3000 ] ; then
cp -f .bash_history .bash_history-`date -I`
fi
ed in questo modo avrai una sistema automatico di salvataggio delle
vecchie history. Prova a mettere queste 2 righe nel .bashrc o
.bash_profile, adattandole alle tue esigenze, e probabilmente il problema
da te riscontrato non si verificherà più. ;-)
-- Claudio
> Ciao,
> tuttavia il tuo chkrootkit ha rilevato modifiche SOLO a quel file ...
> ergo le cose sono 2:
>
> o l'estraneo che lo ha ripulito è estremamente furbo
> o è molto ingenuo.
>
> prova qualche altro tool simile al chkrootkit, non si sa mai...e poi come
> ti
> ha già detto giustamente qualcuno, azzerarlo del tutto è un po'sgamante
> non
> trovi?
>
> e cmq, l'altra possibilità è che tu, o qualcosa derivata da una tua
> azione,
> abbia inconsapevolmente azzerrato/cancellato/annullato quel file.
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005