Wie kann ich als Linux-Admin herausfinden ob meine Konfigurationsdateien gehackt/manipuliert worden sind?

3 Antworten

Linuxhase
Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer
Linux
14.12.2015, 21:51

Hallo

Der Administrator hat den Verdacht, dass am Tag zuvor ein Hackerangriff auf die Konfigurationsdateien stattgefunden hat. Wie kann er feststellen, ob die Konfigurationsdateien manipuliert worden sind?

Die Formulierung klingt wie eine Aufgabe aus einem Lehrbuch, ist das so?

Wenn er den Verdacht hat, dann gibt es verschiedene Wege die einzeln oder zusammen einen Aufschluss geben können. Falls es sich bewahrheitet sollte ein verantwortungsbewusster Systemadministrator sowieso das System auf einen sicheren Punkt zurücksetzen oder gleich neu aufsetzen.

Die Wahrscheinlichkeit das man jede manipulierte Datei erkennt/findet ist recht klein und kann so pauschal auch nicht gesagt werden.

Ein täglicher (oder noch öfter) Vergleich der Prüfsummen der entsprechenden Dateien wäre hier nur eine Möglichkeit.

Linuxhase
Woher ich das weiß:eigene Erfahrung – Ich benutze seit 2007 Linux und habe LPIC101 und LPIC102
guenterhalt
Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer
Linux
15.12.2015, 09:35

Linux verfügt zwar über eine Menge an loggin-Informationen, ein Hacker kennt das natürlich auch und weiß auch, wie man die manipuliert.
Sicheres Zeichen kann das Fehlen der History-Datei von root , Lücken in der Datei /var/log/massages oder zeitnahe Modifikationszeitpunkte der gehäckten  Dateien  sein. Letzteres lässt sich aber auch manipulieren. 

Ein gute Admin hat immer Backup-Dateien auf externen Datenträgern, auf die Häcker keinen Zugriff haben. Ein Vergleich der Zeitstempel und/oder der Inhalte bringt schon solche Erkenntnisse. Es genügt auch nicht nur immer ein aktuelles Backup zu haben, denn auch das kann schon verseucht sein.
Wir hatten tägliche, wöchentliche und monatliche Backups. Mehr aber, um eigene Fehler wieder rückgängig zu machen.

Die ganze Sache ist aber doch sehr aufwändig, denn muss man sich merken, was man selbst wann gemacht hat. Häcker arbeiten nicht wie Diebe in der Nacht, so dass man Probleme hat, eigene von fremden Änderungen zu erkennen.
Woher ich das weiß:Berufserfahrung – openSuSE seit 1995
ciubacka
14.12.2015, 19:41

Logfiles prüfen.
Linuxhase  14.12.2015, 21:24

@ciubacka

Logfiles prüfen.

Wenn ich ein System "hacken" würde, dann würde ich selbstverständlich auch meine Spuren, also auch Logfile-Einträge löschen.

Linuxhase

0