Systeme und Netzwerk überwachen

Linux-Sicherheit - Angriffe entdecken

21.10.2011
Von Marco Rogge
Angriffe auf Linux-Systeme hinterlassen fast immer verräterische Spuren. Doch die manuelle Analyse von Logfiles ist sehr aufwändig und wird daher meist vernachlässigt. Doch es gibt nützliche Tools, die den Administrator bei der Spurensuche unterstützen.

Grundsätzlich hinterlassen alle Daemon, Module, User und Anwendungen Spuren ihrer Aktivitäten im Linux System. Sie speichert Protokolle ihrer Aktivität in Logfiles, die bei den meisten Distributionen unter /var/log/ zu finden sind. Die Logfiles sind nur mit privilegierten Rechten (root) veränderbar, auch das Löschen ist nicht anders möglich. Daher stehen die Chancen gut, in den Logfiles Details zu Angriffen zu finden.

Bordmittel für sicheres Surfen, Verwalten von Passwörtern und geschütztes Datei-Handling sind in Linux bereits rudimentär vorhanden. In der folgenden Bildergalerie stellen wir einige relevante Sicherheits-Tools vor:

Auch für Linux Systeme gibt es rootkits, die ein System infiltrieren und unsichtbar fernsteuern. Zum enttarnen von rootkits gibt es spezielle Software, die bei der Analyse hilft. Aber schon das Sichten der Logfiles eines Systems kann Aufschluss darüber geben, ob jemand unbefugt im System gearbeitet hat. Ein deutliches Indiz dafür, dass ein Angreifer ein System übernommen oder kurzfristig kompromittiert hat, sind leere Logfiles oder zeitlich Lücken in den Logs. Angreifer, die professionell vorgehen, verwischen meistens ihre Spuren nach dem erfolgreichen Einbruch in einem System, indem sie die Logdateien löschen.

Welche Logfiles sind also zunächst einmal wichtig, die man sich anschauen sollte? Als erstes sollte man sich den Ordner „mail“ der User eines Systems ansehen, der verräterische Spuren aufweisen kann. Ein Angreifer wird in vielen Fällen den internen Mailer (z.B. sendmail, postfix) benutzen, um Daten vom kompromittierten System zu senden. In der Regel sind Hinweise darauf unter ./var/spool/mail/username/ zu finden. Unter normalen Umständen befinden sich dort Mails, die vom System an den User oder root gesendet werden.

From nagios@powermashine Wed Sep 30 01:19:17 2009
Return-Path: <nagios@powermashine>
X-Original-To: root@localhost
Delivered-To: root@localhost
Received: by powermashine (Postfix, from userid 110)
id 48E821A684D; Wed, 30 Sep 2009 01:19:17 +0200 (CEST)
To: root@localhost
Subject: ** RECOVERY Host Alert: localhost is UP **
Message-Id: 20090929231917.48E821A684D@powermashine
Date: Wed, 30 Sep 2009 01:19:17 +0200 (CEST)
From: nagios@powermashine

***** Nagios *****
Notification Type: RECOVERY
Host: testhost
State: UP
Address: xxx.xxx.xxx.xxx
Info: PING OK - Packet loss = 0%, RTA = 0.06 ms
Date/Time: Wed Sept 30 01:19:17 CEST 2009

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)