Tatort: Linux-Rechner
Vorbereitungen für den Fall des Falles: Was tun, wenn der Rechner mutmaßlich gehackt wurde?
Reaktion
Wenn ein Einbruch tatsächlich stattgefunden hat und der Rechner möglicherweise kompromittiert wurde, sollte der Administrator vom Schlimmsten ausgehen. Das bedeutet, dass eine Neuinstallation einer möglicherweise nur teilweisen Reparatur immer vorzuziehen ist. Möchte man den Einbruch später analysieren, empfiehlt es sich, die Festplatten auszubauen und neue zu verwenden oder den Inhalt der Festplatten mit dd zu sichern [19].
Nach der Neuinstallation des Systems (und abschließendem Update [1]) dürfen nur nicht ausführbare Dateien aus dem Backup wieder aufgespielt werden, denn es steht zu erwarten, dass der Angreifer bereits vor dem Erstellen der Sicherungskopie Änderungen angebracht hat. Diese dürfen unter keinen Umständen auf dem neuen, sauberen System landen! Auch Konfigurationsdateien sollte der Administrator mit der nötigen Skepsis betrachten und bei fehlendem Überblick aus den Originaldateien neu anpassen.
Sobald der Rechner wiederhergestellt wurde, überprüft der Admin die Sicherheitseinstellungen und verbessert sie, um erneuten Einbrüchen auf dem Rechner vorzubeugen. Der beste Schutz ist ein aktuelles und ständig aktualisiertes Betriebssystem. Um dieses auf dem neuesten Stand zu halten, bietet sich die Einrichtung eines Cronjobs [20] an, der jede Stunde nach neuen Updates für das System sucht und diese automatisch einspielt.
Listing 2 zeigt ein Beispiel für Red Hat, während [1] demonstriert, welche Befehle für Debian und Fedora nötig sind. Suse erlaubt die Konfiguration seiner Auto-Update-Funktion via Yast [21].
Viele Anwender scheuen die automatische Aktualisierung aus Angst, dass hierbei etwas schief geht. Diese Gefahr fällt in der Praxis eher gering aus: In den letzten drei Jahren kam es beim Autor aus diesem Grund erst zweimal zu einem Ausfall eines Dienstes. Dennoch sollte man abwägen, ob man die Updates lieber per Hand einspielt und per Cronjob nur prüft, ob auf den neuesten Stand gebrachte Pakete zur Verfügung stehen. Falls das betroffene Programm wider Erwarten nach dem Update nicht mehr funktioniert, bleibt zumindest das beruhigende Gefühl, dass die Sicherheitslücke damit auch nicht mehr existiert.
Listing 2
Automatisches Update auf Red-Hat-Rechnern
#! /bin/sh
up2date -u &> /tmp/up2date.log
# Falls kein automatisches Update durchgeführt, sondern nur die
# Liste der Updates angezeigt werden soll, kann der folgende Befehl genutzt
# werden:
# up2date -l &> /tmp/up2date.log
if ! grep -q "All packages are currently up to date" /tmp/up2date.log
then
cat /tmp/up2date.log
fi
Der Autor
Ralf Spenneberg arbeitet als freier Unix/Linux-Trainer und Autor. Er veröffentlichte die Bücher "Intrusion Detection für Linux-Server" und "VPN mit Linux", entwickelte Kursunterlagen und bietet Inhouse-Schulungen im Bereich Unix/Linux an.
Glossar
Kennwortsniffer
Ein Programm, das wie die Linux-Befehle "tcpdump" oder "ethereal" alle Netzwerkpakete mitschneidet. Es interessiert sich jedoch nur für die Pakete, die Anmeldeinformationen enthalten, und analysiert diese genauer. Der bekannteste Kennwortsniffer ist "dsniff" (http://www.monkey.org/~dugsong/dsniff/).
Syslogd
Der "System-Log-Daemon" ist ein Programm, das im Hintergrund läuft und die Aktivitäten von System- und Server-Diensten in sogenannten Log-Dateien (in der Regel im Verzeichnis "/var/log") protokolliert.
UDP
Das "User Datagram Protocol" schickt im Gegensatz zum bekannteren TCP ("Transmission Control Protocol") die Datenpakete "auf gut Glück" zum Empfänger und vergisst sofort, was gerade geschah. Kommt ein Datenpaket nicht am Ziel an, wird es einfach übergangen. TCP würde in diesem Falle beim Absender nochmals nachfragen und dieser das fehlende Datenpaket erneut senden. UDP kommt außer bei Syslog z. B. bei Video- und Audio-Echtzeit-Übertragungen zum Einsatz.
Protokoll
Eine Vereinbarung, was an einer Aktion Beteiligte (zum Beispiel ein Client und ein Server) tun müssen (welche Anforderungen, welche Bestätigung senden etc.), damit die Reaktion der Gegenseite – wie beim diplomatischen Protokoll – vorhersehbar ist.
Port
Eine mit einer Nummer versehene "Anlegestelle", an der Clients übers Netzwerk einen Serverdienst in Anspruch nehmen können. Für gängige Dienste definiert die Datei "/etc/services" die entsprechende Portnummer, für Syslog 514 via UDP.
MD5-Prüfsumme
MD5 ist ein kryptographischer Algorithmus, der sich sehr gut zum Errechnen von Prüfsummen eignet: Identische Eingaben erzeugen immer denselben 128 Bit langen Wert; schon leichte Änderungen sorgen für eine stark veränderte Prüfsumme.
symbolischen Links
Verweis auf eine andere Datei, prinzipiell also nichts anderes als ein zweiter Name. Symbolische Links zeigen ins Leere ("broken symlinks"), wenn die ursprüngliche Zieldatei gelöscht oder verschoben wird.
Gerätedateien
Eine Datei, die eine Hardware-Komponente (zum Beispiel eine Festplatte, eine Partition, die Maus etc.) repräsentiert. "Device-Files" befinden sich im Normalfall ausschließlich im Verzeichnis "/dev".
sniffende Netzwerkkarte
Netzwerkkarte, die in den sogenannten "Promiscuous Mode" versetzt wurde und die dadurch alle Pakete im Netzwerk "anschaut", nicht nur die für den eigenen Rechner gedachten.
Single-User-Modus
Die meisten Linux-Distributionen kennen unterschiedliche Betriebszustände (Run-Level), darunter einen Wartungszustand namens Single-User-Modus. Hier darf sich nur der Administrator am System anmelden; Netzwerkdienste starten üblicherweise keine. Aus einem laufenden System kann "root" meist mit dem Befehl "init 1" in den Single-User-Modus wechseln. Damit man sich nicht aussperrt, empfiehlt es sich, dieses Kommando direkt am Rechner und nicht übers Netzwerk abzusetzen. Zurück in den grafischen Modus geht es mit "init 5".
forensische Systemanalyse
Untersuchung eines Rechnersystems, das mutmaßlich Opfer einer kriminellen Handlung wurde.
mkdir -p
Erzeugt nicht nur das angegebene Verzeichnis, sondern alle bisher nicht existierenden Oberverzeichnisse (im Beispiel "/tmp/mount") gleich mit ("-p" steht für "parent", Elternteil).
inetd
Ein Server, der dafür sorgt, dass Serverdienste wie FTP oder CUPS nicht ständig laufen müssen, sondern bei Bedarf gestartet werden. Manche Distributionen wie Suse 9.1 verwenden statt "inetd" die Software "xinetd" für diesen Zweck.
Prompt
Das Bereitzeichen der Shell, die meist mit einem # (traditionell nur bei "root"-Rechten), einem $ oder einem > und ggf. zusätzlichen Angaben wie dem aktuellen Verzeichnis, dem Rechner- und dem Benutzernamen signalisiert, dass jetzt Kommandos eingegeben werden können.
Infos
[1] Rechner gegen Angriff absichern: Ralf Spenneberg, "Vorsorge ist besser…", LinuxUser 05/2004, S. 27 ff.
[2] Tripwire-Projektseite: http://www.tripwire.org/
[3] Tripwire-Einführung: Thorsten Scherf, "Spurensucher", Linux-Magazin-Sonderheft 01/2004 (Security Edition), S. 60 ff.
[4] Aide-Projektseite: http://www.cs.tut.fi/~rammer/aide.html
[5] Aide-Einführung: Thorsten Scherf, "Hilfe bei der Spurensuche", Linux-Magazin 04/2004, S. 80 f., http://www.linux-magazin.de/Artikel/ausgabe/2004/04/aide/aide.html
[6] Dateirechte: Patricia Jung, "Alles Recht", LinuxUser 12/2003, S. 31 ff.
[7] Chkrootkit: http://www.chkrootkit.org/
[8] Chkrootkit-RPM-Pakete: http://www.spenneberg.org/Forensics/chkrootkit/
[9] Knoppix-STD: http://www.knoppix-std.org/
[10] Sleuthkit: http://www.sleuthkit.org/
[11] Einführung in Sleuthkit: Ralf Spenneberg, "Detektiv-Arbeit", Linux-Magazin 09/2003, S. 60 ff.
[12] Sleuthkit und sein Webfrontend Autopsy: Ralf Spenneberg, "Spürhund mit Sehhilfe", Linux-Magazin 10/2003, S. 58 ff.
[13] Rootkits: http://www.packetstormsecurity.org/UNIX/penetration/rootkits/
[14] Linux-Rootkit-5: http://packetstormsecurity.org/UNIX/penetration/rootkits/lrk5.src.tar.gz
[15] Knark: http://packetstormsecurity.org/UNIX/penetration/rootkits/knark-0.59.tar.gz
[16] Kernel-Intrusion-System von Optyx: http://packetstormsecurity.org/UNIX/penetration/rootkits/kis-0.9.tar.gz
[17] Defcon-Konferenz: http://www.defcon.org/
[18] Suckit: http://www.phrack.org/show.php?p=58&a=7
[19] dd: Heike Jurzik, "Dies Bildnis ist bezaubernd schön", LinuxUser 01/2003, S. 82 f., http://www.linux-user.de/ausgabe/2003/01/082-mkisofs/
[20] Cronjobs einrichten: Jürgen Jentsch, "Pünktlich ausgeführt", LinuxUser 06/2002, S. 81 f., http://www.linux-user.de/ausgabe/2002/06/081-cron/cron-at-3.html
[21] Yast-Autoupdate einrichten: Nico Lumma, "Die andere Seite", LinuxUser 06/2004, S. 35 ff.
Einem Freund empfehlen
