Ich habe noch ein Steinalt Server mit suse 9.3, von dem gerade Daten weggezogen werden.
Heute hatte ich das Problem, dass ich mich mit ssh eingelogt habe, und nach max. 30 Sekunden wieder rausgeworfen wurde.
Habe nun den ganzen Tag daran rumgetüftelt und nun mit unterstützung aus dem IRC #opensuse herausbekommen, dass da scheinbar nur die beiden bereits existierenden ssh-Accounts betroffen waren.
Denn sobald ich nen neuen Account angelegt hatte, und mich darüber via ssh verbunden hab, erfolgte kein Logout mehr.
In den Logs des Servers (/var/log/messages) stand dann jeweils die Meldung zum zeitpunkt des Logouts:
Da ich davon ausgehe, das der Server ggf. gehackt wurde...Meine Frage nun:
Wie kann ich nun zuerst einmal nachvollziehen, warum bei diesen beiden Accounts die Verbindung "angeblich" von Clientseite getrennt wurde ?
Gibt es ne möglichkeit, die gesamte session des Users zu loggen und zu analysieren?
Denn was mich wundert , dass nur ssh-Benutzeraccounts betroffen sind, die bereits existieren, nicht aber neu angelegte.
Kann ich irgendwelche ssh-daten per diff vergleichen, um unterschiede zwischen dem funktionierenden und den defekten accounts zu finden?
Wie bekomme ich die Webseiten auf den neuen Server, ohne mir ggf. Schadsoftware mit rüber zu ziehen?
Bin für jeden Tipp dankbar!
Heute hatte ich das Problem, dass ich mich mit ssh eingelogt habe, und nach max. 30 Sekunden wieder rausgeworfen wurde.
Habe nun den ganzen Tag daran rumgetüftelt und nun mit unterstützung aus dem IRC #opensuse herausbekommen, dass da scheinbar nur die beiden bereits existierenden ssh-Accounts betroffen waren.
Denn sobald ich nen neuen Account angelegt hatte, und mich darüber via ssh verbunden hab, erfolgte kein Logout mehr.
In den Logs des Servers (/var/log/messages) stand dann jeweils die Meldung zum zeitpunkt des Logouts:
(wohl überflüssig zu erwähnen, dass ich den disconnect nicht angestossen habe.Received disconnect from ::ffff:80.135.219.71: 11: disconnected by user
Da ich davon ausgehe, das der Server ggf. gehackt wurde...Meine Frage nun:
Wie kann ich nun zuerst einmal nachvollziehen, warum bei diesen beiden Accounts die Verbindung "angeblich" von Clientseite getrennt wurde ?
Gibt es ne möglichkeit, die gesamte session des Users zu loggen und zu analysieren?
Denn was mich wundert , dass nur ssh-Benutzeraccounts betroffen sind, die bereits existieren, nicht aber neu angelegte.
Kann ich irgendwelche ssh-daten per diff vergleichen, um unterschiede zwischen dem funktionierenden und den defekten accounts zu finden?
Wie bekomme ich die Webseiten auf den neuen Server, ohne mir ggf. Schadsoftware mit rüber zu ziehen?
Bin für jeden Tipp dankbar!