# Webserver löscht von selbst Dateien



## EuroCent (28. September 2018)

Hallo zusammen,

wir haben folgendes Problem: Wir haben einen Webserver und dort haben wir für verschiedene Tools Ordner erstellt.
Nun sind teilweise Ordner verschwunden bzw. gelöscht.

Im Papierkorb sind sie nicht und wir können uns nicht erklären was da passiert ist.
Wir haben auch keinerlei Änderungen vorgenommen oder etwas erstellt, gelöscht oder geändert.

Das Problem ist, dass nur ein paar gelöscht wurden und andere sind stehen geblieben.

Unser Webserver liegt auf einer VM auf die wir zugreifen.
In den Logs ist auch nichts erkennbar, dass ein Zugriff von außen oder dergleichen statt fand.

Kann uns hier jemand sagen, ob das ein Phänomen ist was tatsächlich ist, oder erklären wie Daten verschwinden können ohne dass die "Owner" daran etwas gemacht haben?

Wir hatten ein Projekt und waren damit fast durch und dann passierte das? 
Wir haben aber auch kein Backup gemacht, was absolut doof ist.

Aber um vorzubeugen wollten wir wissen wie so was passieren kann und ob so was passieren kann?


----------



## Bratkartoffel (28. September 2018)

EuroCent hat gesagt.:


> Wir haben aber auch kein Backup gemacht, was absolut doof ist.


Ich kanns nicht oft genug sagen: *Backups werden immer eingerichtet, am Besten bevor das Projekt gestartet wird!*

Die Ordner könnte jeder gelöscht haben der Schreibrechte auf dem Server hat. Da ihr keine Backups habt, habt ihr sicherlich auch keinerlei Audit-Logs, oder? Ebenso vermute ich, dass jeder einfach alles auf dem Server kann.

Wie das passieren kann?

Sabotage eines Mitarbeiters
Festplattendefekt (in VM unwahrscheinlich)
Trojaner / Viren
Fehlkonfiguration einer Software
Angriff von ausserhalb.

Wie man das verhindern / abfangen kann?

Zugriffsrechte einschränken auf das Minimum
Ordentliches Logfile, wer was auf der Kiste macht (Audit Log)
IDS / IPS installieren
Dienste kontinuierlich überwachen (z.B. Icinga)
System aktuell halten (z.B. Unattended Upgrades)
BACKUPS! (z.B. Bareos)

Grüsse,
BK


----------



## EuroCent (1. Oktober 2018)

Hallo @Bratkartoffel
das wir kein Backup gemacht haben, ja das ist eigentlich das A und O.

Wir haben jegliche Logs durch gesucht, können aber keinen externen Zugriff oder internen Zugriff feststellen.

Mir wurde auch gesagt, dass wenn man Dateien löscht, erstellt oder bearbeitet, davon keine Logs gemacht werden, da diese sonst unnötig ins unermessliche an MB/GB fressen und den Speicher verbrauchen.

Wir sind zu Dritt und keiner war zu diesem Zeitpunkt auf dem Server.
Wir verwenden Eclipse und gehen davon aus, dass es damit passiert ist.

Leider ist es aber nicht nachvollziehbar 

Oder gibt es doch eine Möglichkeit?

Zusätzlich lassen wir alle 12 Stunden ein Backup erstellen. So dass wir nicht noch einmal auf dieses Problem kommen.

Trojaner/Virus können wir ausschließen, da es wir gesagt mittendrin nur ein paar Ordner betraf.
Angriff von außen sehr unwahrscheinlich, da wir ein internes Intranet haben.


----------

