aufmacher.jpg

Vorbereitungen für den Fall des Falles: Was tun, wenn der Rechner mutmaßlich gehackt wurde?

Tatort: Linux-Rechner

Nach einem Einbruch auf einem Linux-Rechner kann der Administrator diesen wie ein Gerichtsmediziner untersuchen und analysieren. Der Artikel zeigt die ersten Schritte und die erforderlichen Werkzeuge dafür.

Auch wer seinen Rechner nach bestem Wissen und Gewissen absichert [1] ist nicht gefeit vor Einbrüchen und Einbruchsversuchen – es sei denn, man arbeitet ausschließlich offline. Der beste Rat lautet daher, nicht angsterstarrt wie das sprichwörtliche Kaninchen auf die Schlange zu starren, sondern sich offensiv für den Fall des Falles vorzubereiten. Dazu zählt unter anderem auch, sich mit den Methoden potentieller Angreifer vertraut zu machen.

Erste Schritte des Bösewichts

Wenn ein Einbrecher auf einem Rechner eingedrungen ist, hat er vordringlich drei Ziele: das Beseitigen der Sicherheitslücke, die Installation von Hintertüren und das Verwischen von Spuren. Im ersten Schritt wird er die Sicherheitslücke, die er selbst ausgenutzt hat, schließen, damit nicht ein weiterer Angreifer ihm den Rechner streitig macht. Böse Zungen behaupten, kompromittierte Rechner seien die am besten geschützten Rechner.

Im zweiten Schritt wird er Hintertüren und zusätzliche Software installieren. Hierbei handelt es sich zum Beispiel um weitere Angriffswerkzeuge oder Kennwortsniffer.

Anschließend folgt in der Regel der Versuch, Spuren zu verwischen und verräterische Anhaltspunkte in den Protokolldateien und im Dateisystem zu entfernen. Dem lässt sich vorbeugen, indem man die Protokolle zusätzlich auf einem zentralen Protokollserver sammelt und das Dateisystem überwacht.

Sicherheitskopien von Logdateien anderer Rechner erstellt von Haus aus bereits der klassische BSD-Syslogd, den die meisten Linux-Distributionen mitliefern, und zwar dann, wenn er auf dem zentralen Protokollserver mit dem Kommandozeilenparameter -r (für "remote", "entfernt") gestartet wird. Dieses "Flag" aktiviert die Fähigkeit, Protokollmeldungen über das Netzwerk entgegenzunehmen.

Bei den meisten Distributionen konfiguriert man die Startparameter der Systemdienste im /etc/sysconfig-Verzeichnis. Hier befindet sich meistens eine Datei syslog, in der der Anwender die Option hinzufügt. Bei Suse wird dabei aus der Zeile SYSLOGD_PARAMS=""

SYSLOGD_PARAMS="-r"

Nach einem Neustart des Syslogd (/etc/init.d/syslog restart) bietet der Daemon diese Funktion an. Bei anderen Distributionen wie Debian findet sich die zu ändernde Variable (hier: SYSLOGD) mit einem entsprechenden Hinweis direkt im Syslog-Startskript (bei Debian /etc/init.d/sysklogd):

# Options for start/restart the daemons
#   For remote UDP logging use SYSLOGD="-r"
SYSLOGD=""

Auf den Client-Rechnern, die ihre Protokolle an den zentralen Server schicken sollen, muss der Administrator die Syslog-Konfigurationsdatei /etc/syslog.conf anpassen. Zunächst entscheidet er, welche Meldungen er auf den Protokollserver schicken möchte. Wenn es sich um alle handelt, so genügt es, die folgende Zeile in der Datei einzufügen:

*.*     @centrallog

Den Platzhalter centrallog ersetzt man durch den Namen oder die IP-Adresse des Logservers. Nach dem Neustart des Syslogd auf dem Client schickt dieser nun alle Protokollmeldungen auch an den Server, und zwar mit dem UDP-Protokoll an Port 514.

Hat man nun bei Durchsicht der Logdateien [1] auf dem Client-Rechner das Gefühl, etwas könne nicht stimmen, kann man die dortigen Einträge mit denen in den entsprechenden Protokolldateien auf dem Logserver vergleichen – gibt es Unterschiede, liegt eine Manipulation vor. Alle Meldungen, die in der Datei /var/log/messages auf dem Logserver vom Rechner enterprise.linux-magazin.de (und nicht vom Logserver-Rechner selbst) stammen, findet man mit dem Befehl grep:

logserver # grep "enterprise.linux-magazin.de" /var/log/messages
May 21 18:37:40 enterprise.linux-magazin.de syslogd 1.4.1#11: restart.

… hier zum Beispiel den Beweis, dass der Syslogd neu gestartet wurde.

Änderungen unerwünscht

Um Manipulationen eines Einbrechers an normalerweise unveränderlichen Konfigurations- und Programmdateien auf die Spur zu kommen, überwacht man das Dateisystem am sinnvollsten mit als "System Integrity Verifier" (SIV) bezeichneten Werkzeugen wie Tripwire [2,3] und Aide [4,5]. Beide legen Informationen zu Dateien, die auf Veränderungen hin beobachtet werden sollen, in einer zentralen Datenbank ab. Durch regelmäßige Überprüfungen erkennen sie Modifikationen und alarmieren den Administrator. Dieser muss nun entscheiden, ob es sich um eine von ihm gewollte Änderung handelt oder ob ein Dritter am Werk war.

Da beide Anwendungen nach jedem Update und jeder Neuinstallation eines Pakets Änderungen melden, entsteht ein recht hoher Administrationsaufwand, der meist nur für die Überwachung von Servern im Internet betrieben wird. Für Desktop-Rechner kann zu einem gewissen Teil das Paketverwaltungssystem der Distribution einspringen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Gut Gewappnet?!
    Alle sprechen über Rootkits, reden dabei aber meist nur über Windows. Auch Linux plagen die Schädlinge seit vielen Jahren. Wie funktionieren Linux-Rootkits und wie groß ist die Gefahr tatsächlich?
  • Alarmstufe Root
    Trojaner, Viren und Würmer muss der Linux-Anwender kaum fürchten – die weitaus gefährlicheren Rootkits jedoch um so mehr. Schützen Sie Ihre Systeme effektiv gegen die lästigen Eindringlinge.
  • Spurensucher
    Oft tauschen Angreifer die Originalprogramme gegen eigene aus, um ihr Treiben zu verschleiern. Hostbasierte Intrusion-Detection-Systeme entdecken solche Rootkits.
  • Mini-Live-CD zum Datenschutz- und Wiederherstellung
    Wenn der Rechner streikt oder das Netzwerk lahmt, ist schnelle Hilfe von Nöten. Die 50 MByte kleine Live-Disribution Insert fasst die wichtigsten Tools zusammen, um Daten wiederherzustellen oder das Netzwerk zu analysieren.
  • IT-Security-Distribution DEFT
    DEFT vereint spezielle Programme für Forensiker mit einigen zusätzlichen Schmankerln in einer Distribution und macht damit die mühsame Einzelinstallation der zahlreichen Tools überflüssig.
Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...