Mijn vraag
...
Ik heb thuis een server met Debian 8.0. Deze biedt via Samba en NFS data aan. Op Linux-werkstations wordt de server op /home gekoppeld. Windows gebruikt domein-logins i.c.m. roaming profiles. En op Android-telefoons wordt de SMB functie van "ES File Explorer" gebruikt om bestanden op te vragen.
De data op de server staat op een software RAID1 array. Ext4 bestandssysteem.
Ik merk vandaag toevallig op dat er willekeurig bestanden en mappen zijn verdwenen
Ik heb onder /home naast de home-directories van de gebruikers ook enkele mappen staat zoals:
- sw_dist (software/drivers)
- shared (gedeelde zaken als familiefoto's/games/software)
- tftpboot (root van de tftp-bootservice)
Als ik een "ls -l" doe op /home valt me op dat "shared" en "tftpboot" op 20 november (2017?) rond 10:30u gewijzigd zijn. En toevallig zijn deze 2 mappen grotendeels plots leeg, op een paar mappen na
Het gekke ook is dat van "sw_dist" de wijzigingsdatum niet is aangepast, maar er toch minimaal een submap (Driver) leeg is... en heel specifiek een map met Imation LS-120 drivers. Die map heeft toevallig als enige de eigenaar root.root en rechten 777 (kan ik ook terugzien op een back-up van 1-nov.) en is leeg. De andere mappen in dezelfde sub-dir met eigenaar josefien.users is op het eerste gezicht nog redelijk compleet.
En dan de submap "shared"... dat is vreemd... vrijwel de hele inhoud had eigenaar shared.users. Allemaal weg. Ook losse bestanden van josefien.users zijn weg. Alleen een 5-tal directories van josefien.users zijn blijven staan.
Ik heb op dit moment geen tijd om in detail te gaan checken wat er precies weg is (moet morgen vroeg op
) en kan derhalve ook niet uitsluiten dat er niks is verdwenen uit de persoonsgebonden home-directories
Of ik op 20 nov. 2017 om 10:30u thuis was, weet ik niet meer omdat ik normaal tussen 10:15u-11:00u thuiskom voor de middagpauze afhankelijk v/d verkeersdrukte. Al lijkt het me sowieso niet waarschijnlijk dat ik tijdens m'n pauze software en drivers zat weg te gooien Moeder (enige huisgenoot) was volgens mij ook op het werk en zij weet sowieso vrijwel niks af van computers, kan dit niet gedaan hebben. En toch deze wijzigingsdatum
Dit vind ik erg verontrustend Wat kan hier gebeurd zijn?
Een stuk uit de "ls -l" op /home:
Spijtig ook dat ik onregelmatig slechts eens in de 4-6 weken een back-up maak. Handmatig met rsync op een externe HDD die ik daarna afkoppel. Er kunnen maar 3 back-ups worden bewaard. De enige back-up van voor 20 nov. is die van 1-nov
Hoe en met wat zou ik veilig deze back-up kunnen vergelijken met de actuele stand van zaken om te zien wat precies is verdwenen, zonder de back-up te beschadigen? Ik vrees dat dit sowieso onder "root" moet op een Linux-machine, omdat het om home-directories gaat, deze hebben de rechten 0700 ofwel alleen leesbaar voor de desbetreffende eigenaar en aangezien het een back-up is zijn de eigenaar/permissie parameters meegenomen naar de back-up.
Er worden op de server geen diensten naar buiten toe aangeboden.
Relevante software en hardware die ik gebruik
...
- Debian 8.0 op de server
- Ubuntu 16.04 LTS op de werkstations
- Enkeling Windows XP/7 die eens in de zoveel tijd inlogd.
Wat ik al gevonden of geprobeerd heb
...
Vooralsnog weet ik niet wat te doen. Ik heb enkel een "steekproef" gehouden onder het kijken wat er weg was.
Ik weet niet wat er nu aan de hand is geweest en wat ik kan doen om nader te kunnen vergelijken wat er weg is t.o.v. de back-up van begin november.
Ik ben trouwens vandaag erachter gekomen dat er bestanden weg waren toen ik een nieuwe back-up met rsync aan het maken was en toevallig op het scherm voorbij zag komen dat er op vreemde plekken dingen verwijderd werden van de oude back-up, dingen die zeker weten niet veranderd waren zoals die Imation drivers. Dit had ik eigenlijk in januari dus al moeten zien... maar helaas... ik start vaak de backup en loop dan weg Ik back-up met "rsync -a -v --delete".
...
Ik heb thuis een server met Debian 8.0. Deze biedt via Samba en NFS data aan. Op Linux-werkstations wordt de server op /home gekoppeld. Windows gebruikt domein-logins i.c.m. roaming profiles. En op Android-telefoons wordt de SMB functie van "ES File Explorer" gebruikt om bestanden op te vragen.
De data op de server staat op een software RAID1 array. Ext4 bestandssysteem.
Ik merk vandaag toevallig op dat er willekeurig bestanden en mappen zijn verdwenen
Ik heb onder /home naast de home-directories van de gebruikers ook enkele mappen staat zoals:
- sw_dist (software/drivers)
- shared (gedeelde zaken als familiefoto's/games/software)
- tftpboot (root van de tftp-bootservice)
Als ik een "ls -l" doe op /home valt me op dat "shared" en "tftpboot" op 20 november (2017?) rond 10:30u gewijzigd zijn. En toevallig zijn deze 2 mappen grotendeels plots leeg, op een paar mappen na
Het gekke ook is dat van "sw_dist" de wijzigingsdatum niet is aangepast, maar er toch minimaal een submap (Driver) leeg is... en heel specifiek een map met Imation LS-120 drivers. Die map heeft toevallig als enige de eigenaar root.root en rechten 777 (kan ik ook terugzien op een back-up van 1-nov.) en is leeg. De andere mappen in dezelfde sub-dir met eigenaar josefien.users is op het eerste gezicht nog redelijk compleet.
En dan de submap "shared"... dat is vreemd... vrijwel de hele inhoud had eigenaar shared.users. Allemaal weg. Ook losse bestanden van josefien.users zijn weg. Alleen een 5-tal directories van josefien.users zijn blijven staan.
Ik heb op dit moment geen tijd om in detail te gaan checken wat er precies weg is (moet morgen vroeg op
) en kan derhalve ook niet uitsluiten dat er niks is verdwenen uit de persoonsgebonden home-directories Of ik op 20 nov. 2017 om 10:30u thuis was, weet ik niet meer omdat ik normaal tussen 10:15u-11:00u thuiskom voor de middagpauze afhankelijk v/d verkeersdrukte. Al lijkt het me sowieso niet waarschijnlijk dat ik tijdens m'n pauze software en drivers zat weg te gooien
Moeder (enige huisgenoot) was volgens mij ook op het werk en zij weet sowieso vrijwel niks af van computers, kan dit niet gedaan hebben. En toch deze wijzigingsdatum Dit vind ik erg verontrustend
Wat kan hier gebeurd zijn? Een stuk uit de "ls -l" op /home:
code:
1
2
3
4
5
6
7
8
9
10
11
| josefien@ws45:/home$ ls -l drwxr-x--- 27 foto users 4096 mrt 6 2012 foto drwxr-xr-x 2 messagebus nogroup 4096 mei 9 2007 ftp drwx------ 100 josefien users 16384 feb 13 20:39 josefien drwxrwxr-x 4 root users 4096 apr 2 2011 knoppix drwxrwxr-x 5 root dmadmins 4096 nov 8 2008 netlogon_old drwxr-xr-x 5 root root 4096 feb 19 2012 samba drwxrwxr-x 36 net users 4096 jul 14 2015 samba_share drwxrwxr-x 7 shared users 4096 nov 20 10:28 shared drwxr-xr-x 54 jwong users 4096 jan 19 2017 sw_dist drwxrwxr-x 5 root users 4096 nov 20 10:27 tftpboot |
Spijtig ook dat ik onregelmatig slechts eens in de 4-6 weken een back-up maak. Handmatig met rsync op een externe HDD die ik daarna afkoppel. Er kunnen maar 3 back-ups worden bewaard. De enige back-up van voor 20 nov. is die van 1-nov
Hoe en met wat zou ik veilig deze back-up kunnen vergelijken met de actuele stand van zaken om te zien wat precies is verdwenen, zonder de back-up te beschadigen? Ik vrees dat dit sowieso onder "root" moet op een Linux-machine, omdat het om home-directories gaat, deze hebben de rechten 0700 ofwel alleen leesbaar voor de desbetreffende eigenaar en aangezien het een back-up is zijn de eigenaar/permissie parameters meegenomen naar de back-up.
Er worden op de server geen diensten naar buiten toe aangeboden.
Relevante software en hardware die ik gebruik
...
- Debian 8.0 op de server
- Ubuntu 16.04 LTS op de werkstations
- Enkeling Windows XP/7 die eens in de zoveel tijd inlogd.
Wat ik al gevonden of geprobeerd heb
...
Vooralsnog weet ik niet wat te doen. Ik heb enkel een "steekproef" gehouden onder het kijken wat er weg was.
Ik weet niet wat er nu aan de hand is geweest en wat ik kan doen om nader te kunnen vergelijken wat er weg is t.o.v. de back-up van begin november.
Ik ben trouwens vandaag erachter gekomen dat er bestanden weg waren toen ik een nieuwe back-up met rsync aan het maken was en toevallig op het scherm voorbij zag komen dat er op vreemde plekken dingen verwijderd werden van de oude back-up, dingen die zeker weten niet veranderd waren zoals die Imation drivers. Dit had ik eigenlijk in januari dus al moeten zien... maar helaas... ik start vaak de backup en loop dan weg
Ik back-up met "rsync -a -v --delete".
Ik kan zo even niet op een specifieke naam komen, er zijn tienduizenden virussen gemaakt, maar het concept bestaat en kan bestaan.
) backup is eigenlijk altijd de recentste. De een-na-laatste bewaar ik thuis.
:strip_icc():strip_exif()/u/5326/crop5ff8e3fc691c6_cropped.jpeg?f=community)