Aufmacher

Spurensucher

Hostbasierte Angriffserkennung mit AIDE

01.02.2007
Oft tauschen Angreifer die Originalprogramme gegen eigene aus, um ihr Treiben zu verschleiern. Hostbasierte Intrusion-Detection-Systeme entdecken solche Rootkits.

Der Datenverkehr steigt und steigt: Für jeden Webmaster erfreulich, so lange die Daten abgerufen werden, die er selbst bereitstellt. Nicht selten bedienen sich aber andere am kostbaren Plattenplatz und Transfervolumen, ohne dass der Besitzer etwas davon weiß. Sowohl Serverdienste als auch Webapplikationen bieten oft Lücken, über die Angreifer den Rechner still und heimlich der Kontrolle des Besitzers entziehen können.

Damit die eingerichtete Backdoor dauerhaft bestehen bleibt, spielt der Eindringling nach dem Angriff ein Rootkit ein, welches einen versteckten Server installiert und Zugriff über einen unüblichen Netzwerkport auf das System gestattet – selbst dann, wenn das ursprüngliche Einfallstor zwischenzeitlich geschlossen wurde.

Um die Existenz des Hintertürchens zu verschleiern, tauscht das Rootkit zusätzlich wichtige Systemprogramme wie beispielsweise ps und netstat gegen modifizierte Versionen aus, die beim Aufruf weder den Prozess noch die Netzwerkverbindung der Backdoor anzeigen. So genannte hostbasierte Intrusion-Detection-Systeme (HIDS) sorgen dafür, dass derartige Machenschaften auffliegen.

Das Programm AIDE (Advanced Intrusion Detection Environment, [1]) ist im Vergleich zu anderen Produkten wie Tripwire mit einer Größe von 800 KByte ein ein echtes Leichtgewicht, das auch den ambitionierten Einstiger nicht vor unüberwindliche Hürden bei der Installation und Konfiguration stellt, aber einen ausreichenden Funktionsumfang mitbringt.

AIDE

Der Weg, den wie die meisten Programme dieser Art auch AIDE geht, ist einfach und effektiv: Es erstellt von spezifizierten Dateien und Verzeichnissen so genannte Fingerprints. Dazu sammelt es in einer Datenbank deren Charakteristika wie Dateigröße, Zugriffsberechtigungen und dergleichen. Beim erneuten Aufruf des Programms vergleicht es den Ist-Zustand der Datei mit den in der Datenbank hinterlegten Merkmalen. Fehlende Übereinstimmung ist ein eindeutiges Indiz für eine Veränderung am Programm.

Installation

Auf der Heft-CD finden Sie für alle gängigen Distributionen passende Binärpakete im RPM- oder DEB-Format, die Sie je nach Typ über rpm -ivh aide-Version.rpm oder dpkg --install aide-Version.deb installieren. Sollte für Ihr System kein passendes Paket vorhanden sein, kompilieren Sie das Programm aus den ebenfalls auf der Heft-CD befindlichen Quellen mit dem üblichen Dreisatz ./configure && make && su -c make install.

Das beste Intrusion-Detection-System ist nur so gut wie die Konfiguration, die es steuert. Daher gilt es, das System über die Konfigurationsdatei /etc/aide.conf noch vor der Initialisierung der Soll-Datenbank möglichst präzise an die spezifischen Gegebenheiten anzupassen.

Die aide.conf bestimmt vor allem, welche Datei- und Ordnerattribute AIDE in seiner Datenbank als Soll-Zustand speichert. Diese Soll-Datenbank beschreibt einen sicheren Zustand des System, den Sie am besten direkt nach einer Installation des Betriebssystems erzeugen. Anschließend verwenden Sie sie beliebig oft als Referenz für die Suche nach Veränderungen.

Zu den möglichen Dateiattributen zählen Zugriffsrechte, Dateigröße, Anzahl der Links sowie berechtige Benutzer und Gruppen. Außerdem berechnet AIDE mit verschiedenen Algorithmen kryptographische Checksummen der zu überprüfenden Objekte und speichert diese ebenfalls in der Datenbank.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 06/2015: Shell-Tools

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Grammatikprüfung in LibreOffice nachrüsten
Grammatikprüfung in LibreOffice nachrüsten
Tim Schürmann, 24.04.2015 19:36, 0 Kommentare

LibreOffice kommt zwar mit einer deutschen Rechtschreibprüfung und einem guten Thesaurus, eine Grammatikprüfung fehlt jedoch. In ältere 32-Bit-Versionen ...

Aktuelle Fragen

Zu wenig Speicherplatz auf /boot unter MATE
Patrick Obenauer, 25.05.2015 14:28, 1 Antworten
Hallo zusammen, ich habe Ubuntu 14.10 mit MATE 1.8.2 (3.16-37) mit Standardeinstellungen aufgese...
Konsole / Terminal in Linux Mint 17.1 deutsch
Dirk Resag, 09.05.2015 23:39, 12 Antworten
Hallo an die Community, ich habe vor kurzem ein älteres Notebook, Amilo A1650G, 1GB Arbeitsspe...
Admin Probleme mit Q4os
Thomas Weiss, 30.03.2015 20:27, 6 Antworten
Hallo Leute, ich habe zwei Fragen zu Q4os. Die Installation auf meinem Dell Latitude D600 verl...
eeepc 1005HA externer sound Ausgang geht nicht
Dieter Drewanz, 18.03.2015 15:00, 1 Antworten
Hallo LC, nach dem Update () funktioniert unter KDE der externe Soundausgang an der Klinkenbuc...
AceCad DigiMemo A 402
Dr. Ulrich Andree, 15.03.2015 17:38, 2 Antworten
Moin zusammen, ich habe mir den elektronischen Notizblock "AceCad DigiMemo A 402" zugelegt und m...