Aufmacher

Hostbasierte Angriffserkennung mit AIDE

Spurensucher

Oft tauschen Angreifer die Originalprogramme gegen eigene aus, um ihr Treiben zu verschleiern. Hostbasierte Intrusion-Detection-Systeme entdecken solche Rootkits.

Der Datenverkehr steigt und steigt: Für jeden Webmaster erfreulich, so lange die Daten abgerufen werden, die er selbst bereitstellt. Nicht selten bedienen sich aber andere am kostbaren Plattenplatz und Transfervolumen, ohne dass der Besitzer etwas davon weiß. Sowohl Serverdienste als auch Webapplikationen bieten oft Lücken, über die Angreifer den Rechner still und heimlich der Kontrolle des Besitzers entziehen können.

Damit die eingerichtete Backdoor dauerhaft bestehen bleibt, spielt der Eindringling nach dem Angriff ein Rootkit ein, welches einen versteckten Server installiert und Zugriff über einen unüblichen Netzwerkport auf das System gestattet – selbst dann, wenn das ursprüngliche Einfallstor zwischenzeitlich geschlossen wurde.

Um die Existenz des Hintertürchens zu verschleiern, tauscht das Rootkit zusätzlich wichtige Systemprogramme wie beispielsweise ps und netstat gegen modifizierte Versionen aus, die beim Aufruf weder den Prozess noch die Netzwerkverbindung der Backdoor anzeigen. So genannte hostbasierte Intrusion-Detection-Systeme (HIDS) sorgen dafür, dass derartige Machenschaften auffliegen.

Das Programm AIDE (Advanced Intrusion Detection Environment, [1]) ist im Vergleich zu anderen Produkten wie Tripwire mit einer Größe von 800 KByte ein ein echtes Leichtgewicht, das auch den ambitionierten Einstiger nicht vor unüberwindliche Hürden bei der Installation und Konfiguration stellt, aber einen ausreichenden Funktionsumfang mitbringt.

AIDE

Der Weg, den wie die meisten Programme dieser Art auch AIDE geht, ist einfach und effektiv: Es erstellt von spezifizierten Dateien und Verzeichnissen so genannte Fingerprints. Dazu sammelt es in einer Datenbank deren Charakteristika wie Dateigröße, Zugriffsberechtigungen und dergleichen. Beim erneuten Aufruf des Programms vergleicht es den Ist-Zustand der Datei mit den in der Datenbank hinterlegten Merkmalen. Fehlende Übereinstimmung ist ein eindeutiges Indiz für eine Veränderung am Programm.

Installation

Auf der Heft-CD finden Sie für alle gängigen Distributionen passende Binärpakete im RPM- oder DEB-Format, die Sie je nach Typ über rpm -ivh aide-Version.rpm oder dpkg --install aide-Version.deb installieren. Sollte für Ihr System kein passendes Paket vorhanden sein, kompilieren Sie das Programm aus den ebenfalls auf der Heft-CD befindlichen Quellen mit dem üblichen Dreisatz ./configure && make && su -c make install.

Das beste Intrusion-Detection-System ist nur so gut wie die Konfiguration, die es steuert. Daher gilt es, das System über die Konfigurationsdatei /etc/aide.conf noch vor der Initialisierung der Soll-Datenbank möglichst präzise an die spezifischen Gegebenheiten anzupassen.

Die aide.conf bestimmt vor allem, welche Datei- und Ordnerattribute AIDE in seiner Datenbank als Soll-Zustand speichert. Diese Soll-Datenbank beschreibt einen sicheren Zustand des System, den Sie am besten direkt nach einer Installation des Betriebssystems erzeugen. Anschließend verwenden Sie sie beliebig oft als Referenz für die Suche nach Veränderungen.

Zu den möglichen Dateiattributen zählen Zugriffsrechte, Dateigröße, Anzahl der Links sowie berechtige Benutzer und Gruppen. Außerdem berechnet AIDE mit verschiedenen Algorithmen kryptographische Checksummen der zu überprüfenden Objekte und speichert diese ebenfalls in der Datenbank.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 03/2017: EFFIZIENTES BÜRO

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Probleme mit der Maus
Thomas Roch, 21.02.2017 13:43, 0 Antworten
Nach 20 Jahren Windows habe ich mich zu Linux Ubuntu probeweise durchgerungen!!! Installation - k...
KWin stürzt ab seit Suse Leap 42.2
Wimpy *, 21.02.2017 09:47, 0 Antworten
OpenSuse 42.2 KDE 5.8.3 Framework 5.26.0 QT 5.6.1 Kernel 4.4.46-11-default 64-bit Open-GL 2....
Shell-Befehl zur Installation von Scanner-Treiber
Achim Zerrer, 15.02.2017 12:13, 10 Antworten
Hallo, ich habe Einen Brother Drucker mit Scanner. Nachdem ich mit Hilfe der Community den Druck...
kiwix öffnet ZIM Datei nicht
Adrian Meyer, 13.02.2017 18:23, 1 Antworten
Hi, ich nutze Zim Desktop für mein privates Wiki. Fürs Handy habe ich mir kiwix heruntergelade...
registration
Brain Stuff, 10.02.2017 16:39, 1 Antworten
Hallo, Das Capatcha auf der Registrierungsseite von linux-community ist derartig schlecht gema...