Re: [ml] bash_history vuoto

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2004 ml@sikurezza.org
Soggetto: Re: [ml] bash_history vuoto
Mittente: thomas
Data: Tue,  6 Jul 2004 13:43:10 +0200 (CEST)

On Sun, 2004-07-04 at 15:05, Claudio.Panichi@xxxxxxxxxxxxx wrote:
> Ciao.
> Il fatto che sembra essere modificato _solo_ il .bash_history mi farebbe
> pensare che non si tratti affatto di un rootkit, ma del normale
> comportamento di bash. Esiste un valore di default (mi pare sia 500)
> relativo a "quante righe" deve contenere il file incriminato. Se tale
> limite viene raggiunto, automaticamente bash svuota il file e ne crea uno
> from-scratch. Se vuoi incrementare tale limite (io di solito lo aumento a
> 4-5 mila linee) devi impostare:
> 
> HISTSIZE=4000
> HISTFILESIZE=4000
> 

Sei sicuro che il file venga svuotato una volta raggiunto il limite?
Per quel poco che ne so io il file mantiene quel limite costante, ovvero
aggiunge i comandi alla fine e li elimina all'inizio  di HISTFILE
qualsiasi valore tu abbia in HISTSIZE e HISTFILESIZE.

Thomas


> nel tuo /etc/profile o .bashrc, vedi tu. Se vuoi fare ancora di meglio,
> prevedi una "rotazione" per la history. Basta qualcosa tipo
> 
> if [ `wc -l .bash_history | awk '{print $1}'` -gt 3000 ] ; then
>         cp -f .bash_history .bash_history-`date -I`
> fi
> 
> ed in questo modo avrai una sistema automatico di salvataggio delle
> vecchie history. Prova a mettere queste 2 righe nel .bashrc o
> .bash_profile, adattandole alle tue esigenze, e probabilmente il problema
> da te riscontrato non si verificherà più. ;-)
> 
>    -- Claudio
> 
> > Ciao,
> > tuttavia il tuo chkrootkit ha rilevato modifiche SOLO a quel file ...
> > ergo le cose sono 2:
> >
> > o l'estraneo che lo ha ripulito è estremamente furbo
> > o è molto ingenuo.
> >
> > prova qualche altro tool simile al chkrootkit, non si sa mai...e poi come
> > ti
> > ha già detto giustamente qualcuno, azzerarlo del tutto è un po'sgamante
> > non
> > trovi?
> >
> > e cmq, l'altra possibilità è che tu, o qualcosa derivata da una tua
> > azione,
> > abbia inconsapevolmente azzerrato/cancellato/annullato quel file.
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
-- 
Thomash

"The Internet is, however, anarchistic by nature and dynamic by design. 
It resists all attempts
at governing and all attempts at control."
____________________                                             
                         
April 09, 1997 P H R A C K   50                                                                                                                                               
____________________

Messaggi successivi:
- Re: [ml] bash_history vuoto, Claudio

In risposta a:
- Re: [ml] bash_history vuoto, Claudio . Panichi

Data:
- precedente: [ml] Sicurezza perimetrale in grandi aziende, Paolo Dal Cin
- successivo: Re: [ml] bash_history vuoto, Daniele Cortesi
- indice

Argomento:
- precedente: Re: [ml] bash_history vuoto, Claudio . Panichi
- successivo: Re: [ml] bash_history vuoto, Claudio
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005