System kompromittiert? Dateien finden?

[Wormi]

Hallo zusammen,

ich lasse meinen Server per check_mk monitoren und vor ein paar Minuten habe ich die Meldung bekommen das mein Festplattenplatz zu schnell angestiegen ist!

Code: Alles auswählen

trend: +663.72MB / 24 hours - growing too fast (levels at 100.00MB/200.00MB per 24.0h)!!

Der Server wurde in den letzten Tag nicht von mir benutzt, daher frage ich mich natürlich woher dieser Anstieg kommt und ob mein System kompromittiert wurde. Meine Idee war es nun mal zu schauen welche Dateien denn zuletzt erstellt oder geändert wurden.

Code: Alles auswählen

find ./ -mtime -1

erzeugt jedoch nur folgende Ausgabe:

Code: Alles auswählen

./.config/mc
./.config/mc/ini
./.cache/mc
./.cache/mc/Tree
./.local/share/mc
./.local/share/mc/history
./.local/share/mc/filepos
./.bash_history

Hat jemand noch eine Idee wie ich dem Problem auf die Spur kommen kann?

Gruß Wormi

[eggy]

a) Wo suchst du?
b) schau mal was sich in /var/cache/apt/archives angesammelt hat (vielleichts gibts nen Job, der die anstehenden Updates schonmal runterläd, zeitlich würds ja passen - das ist aber nur sone Vermutung)

[r4pt0r]

/var/log ? Evtl irgend ein Dienst der mit höherem loglevel läuft und gerade ne dictionary-attacke abbekommt? Ist mir schon während des Testbetriebs eines frischen Mailservers passiert - postfix und dovecot noch auf erhöhtem loglevel, fail2ban noch nicht eingerichtet und über Nacht lief /var mit fast 1GB logs voll...

Code: Alles auswählen

du -hd1 /

Irgendwas auffällig groß?