 |
Überwachung von Protokolldateien und BenutzernJedes Betriebssystem legt Protokolle der wichtigsten Systemvorgänge an. Diese Protokolldateien sollten ständig auf Unregelmäßigkeiten untersucht werden, um so einen Eindringling aufzuspüren. - Logdateien sind das wichtigste Hilfsmittel zum Erkennen von Angriffen.
- Tatsächlichen Angriffen geht meist eine Analyse des Rechners durchden Hacker voraus (z.B.: Portscan).
- Günstigster Zeitraum für das Lesen der Logdateien: Montag morgen,da die meisten Hacks am Wochenende passieren.
Die Auswertung der Logdateien kann vielfach auch automatisch erfolgen.Typische Hinweise für einen Angriff sind unter anderem:- Uhrzeit: Ein falsches Login um 10:30 deutet weniger auf einen Hack-Versuch hin als desgleichen um 0:30.
- "refused connect"-Meldungen, insbesondere wenn sie von einem Benutzerroot oder von entfernten Rechnern kommen. Beispiel:
Aug 1 18:36:21 lx-lbs wu.ftpd[13430]: refused connect from dialc130.ppp.lrz-muenchen.de - Spezielle Meldungen von Portscanner-Logs, wie z.B.:
Oct 12 17:27:07 lx-lbs scanlogd: From 141.39.253.200:20 to 141.39.253.196 ports 1476, 1477, 1478, 1479, 1480, 1481, 1482, 1483, 1484, ..., flags ??r??u, TOS 00, TTL 255, started at 17:27:02
- Typisch für eine Dial-of-Service-Attacke sind folgende Meldungen:
Oct 3 00:20:30 lx-lbs inetd[119]: fork: Resource temporarily unavailable
Oct 3 00:20:37 lx-lbs last message repeated 7 times
(kein Speicher mehr wegen zu vieler offener Prozesse)
Viele Nutzer gehen auch mit ihrem Rechneraccount recht fahrlässig um.
So werden aus Bequemlichkeit keine Paßworte verwendet oder der Account
an einen Freund 'verborgt'. Hier helfen nur Aufklärung und bei wiederholten
Verstößen Entzug der Rechenberechtigung. Wichtig ist es auch,
festzulegen, wer neue Software in den Rechner einspielen darf. Denn auf
diesem Weg gelangen Viren oder Trojanische Pferde ins System.
|
|
|
DIENSTE
