Hallo zusammen,
ich betreibe einen Cluster mit zwei Maschinen (CentOS)
An Datum x habe ich eine Änderung am System durchgeführt. Das war vor ca. 2 Wochen. Gerade bin ich wieder auf die Systeme gegangen und dann wurde mir bei der Anmeldung unter "last logged user" ein Rechnername angezeigt, den ich nicht kannte.
Wenn ich nun über den Befehl last | tac mir die Systemzugriffe anzeigen lasse, finde ich folgende Unstimmigkeiten:
An besagtes Datum (wo ich die Konfigurationen durchgeführt habe), finde ich auf beiden Systemen den Zeitstempel für den Login über ein lokales Systemkonto (Passwort Auth). Auf System Nr 1. erfolgte der Zugriff über die FQDN meines Arbeitsplatzrechners (also alles ok), auf System Nr. 2 erfolgte der Zugriff über die FQDN eines Arbeitsplatzrechners eines anderen Mitarbeiters (den ich bis gerade nicht kannte ). Wie der Zufall so will handelt es sich hier um ein Consultant, der also oft mit seinem Notebook unterwegs ist.
Des weiteren sieht es für mich so aus, als wurden alle weiteren Zeitstempel auf besagten System manipuliert, denn ich war auf besagten System noch das eine oder andere mal drauf. Auf dem einen System sehe ich das, auf den anderen System sind die Zeitstempel hingegen nicht mehr vorhanden, da ist alles nach dem seltsamen Systemzugriff über den Rechner des Anderen Mitarbeiters abgeschnitten.
Die Command-History ist sauber, hier sehe ich keine Commands die ich nicht abgesetzt hätte.
Jemand eine Idee, was ich mir noch ansehen könnte und wie ich mich nun verhalten soll?
ich betreibe einen Cluster mit zwei Maschinen (CentOS)
An Datum x habe ich eine Änderung am System durchgeführt. Das war vor ca. 2 Wochen. Gerade bin ich wieder auf die Systeme gegangen und dann wurde mir bei der Anmeldung unter "last logged user" ein Rechnername angezeigt, den ich nicht kannte.
Wenn ich nun über den Befehl last | tac mir die Systemzugriffe anzeigen lasse, finde ich folgende Unstimmigkeiten:
An besagtes Datum (wo ich die Konfigurationen durchgeführt habe), finde ich auf beiden Systemen den Zeitstempel für den Login über ein lokales Systemkonto (Passwort Auth). Auf System Nr 1. erfolgte der Zugriff über die FQDN meines Arbeitsplatzrechners (also alles ok), auf System Nr. 2 erfolgte der Zugriff über die FQDN eines Arbeitsplatzrechners eines anderen Mitarbeiters (den ich bis gerade nicht kannte ). Wie der Zufall so will handelt es sich hier um ein Consultant, der also oft mit seinem Notebook unterwegs ist.
Des weiteren sieht es für mich so aus, als wurden alle weiteren Zeitstempel auf besagten System manipuliert, denn ich war auf besagten System noch das eine oder andere mal drauf. Auf dem einen System sehe ich das, auf den anderen System sind die Zeitstempel hingegen nicht mehr vorhanden, da ist alles nach dem seltsamen Systemzugriff über den Rechner des Anderen Mitarbeiters abgeschnitten.
Die Command-History ist sauber, hier sehe ich keine Commands die ich nicht abgesetzt hätte.
Jemand eine Idee, was ich mir noch ansehen könnte und wie ich mich nun verhalten soll?
Zuletzt bearbeitet: