Linux Log Files – Spuren nach einem Hack verwischen

2017-02-08 von Mario

Wenn ein Linux-System gehackt wird, entstehen zahlreiche Spuren in Log-Files. Im folgenden wird erläutert, wie als Angreifer Spuren auf einem kompromittiertem System vermieden werden können.

 

Histsize

Nachdem es gelungen ist, eine Shell zu erlangen, werden normalerweise alle eingegeben Befehle im jeweiligen Homeverzeichnis in der Historie der Bash gespeichert.

~/.bash_history

Eine Möglichkeit, die Spuren zu verwischen, ist die manuelle Löschung der eingegebenen Befehle. Eine elegantere Methode ist, die Umgebungsvariable “Histsize” zu begrenzen. Mit dem Befehl “echo” kann angezeigt werden, wie viele der letzten eingegebenen Befehle in der Historie (bash_history) gespeichert werden.

echo $HISTSIZE

Setzt man den Wert mit dem Kommando “export” auf Null, so speichert die Shell keine Eingaben in die Historie.

export HISTSIZE=0

Falls schon mehrere Befehle eingeben wurden, dann einfach Ab- und Anmelden, um den Verlauf zu löschen, nachdem die HISTSIZE auf Null gesetzt wurde.

Shred

Falls die Zeit knapp sein sollte, kann der Befehl “shred” verwendet werden, um die History-Datei zu löschen. Mit diesem Kommando können Dateien überschrieben werden.

shred -zu root/.bash_history

Der Parameter “z” überschreibt die Datei mit Nullen und der Parameter “u” löscht die Datei, nachdem diese überschrieben ist.

Kategorie: IT-Security Schlagwörter: , , , , ,

Linux Log Files – Befehle zum Auslesen

2017-02-04 von Mario

Nachdem im Beitrag “Linux Log Files – Wo sind diese zu finden?” die Verortung von Log Files beschrieben wurde, geht es hier um die Befehle oder deren Kombinationen, welche beim Auslesen hilfreich sein können.

 

tail

Der Befehl “tail” zeigt die letzten Zeilen einer Datei an. Mit einigen Parametern lässt sich die Ausgabe etwas verfeinern.

tail -n20 /var/log/kern.log

Mit dem Parameter “-n20” werden ausschließlich die letzten 20 Einträge im Logfile angezeigt.

tail -f /var/log/kern.log

Mit dem Parameter “-f”werden die letzten Einträge im Logfile automatisch dargestellt.

head

Der Befehl “head” zeigt die ersten Zeilen einer Datei an und ist das Gegenstück zum Befehl “tail”.

head -n20 /var/log/kern.log

Mit dem Parameter “-n20” werden ausschließlich die ersten 20 Einträge im Logfile angezeigt.

cat, grep & more

Mit dem Befehl “cat” wird der Inhalt einer Datei angezeigt.

cat /var/log/kern.log

Falls die Datei größer ist, kann die Ausgabe mit der Kombination aus dem Befehl “cat” und “grep” nach bestimmten Wörtern/Zeichen eingegrenzt werden.

cat /var/log/kern.log | grep "audit"

Es werden alle Zeilen der Logdatei angezeigt, die das Wort “audit” beinhalten.

cat /var/log/kern.log | grep "audit" | more

Mit der Verwendung von „more“ wird die Ausgabe jeder der oben genannten Befehle seitenweise ausgegeben.

Kategorie: IT Schlagwörter: , , ,

Linux Log Files – Wo sind diese zu finden?

2017-02-01 von Mario

Eine Logdatei ist ein Ereignisprotokoll, d.h., es werden automatisch bestimmte Aktionen protokolliert. Unter Linux sind die Logdateien (Protokolldateien) in dem Verzeichnis “/var/log” zu finden.

 

 

Je nachdem welche Anwendungen auf einem System installiert sind, existieren in diesem Verzeichnis die entsprechenden Log-Dateien dafür. Auch weitere Unterverzeichnisse für verschiedene Anwendungen sind möglich. Die folgende Aufstellung zeigt häufige Log-Dateien auf:

 

Log-Datei Beschreibung
/var/log/alternatives.log In der Logdatei befinden sich Angaben über die Update-Alternativen.
/var/log/apport.log Beim Abstürzen von Programmen werden die Informationen hierüber in diese Logdatei abgelegt.
/var/log/auth.log Es werden alle Anmeldeversuche am System protokolliert.
/var/log/boot.log In der Logdatei befinden sich Informationen, die während des Bootvorgangs protokolliert werden.
/var/log/btmp Diese Datei enthält Informationen zu fehlgeschlagenen Anmeldeversuchen.
/var/log/cron.log Wenn der Cron-Daemon einen Cron-Job startet, werden die Informationen über den Cron-Job in dieser Datei protokolliert.
/var/log/cups In der Datei werden alle Druckerbenachrichtigungen/-Meldungen abgelegt.
/var/log/dmesg In der Logdatei befinden sich die letzten Meldungen des Kernels. Die Informationen stammen aus einem Ringpuffer, alte Meldungen werden überschrieben.
/var/log/dpkg.log Wenn Pakte über apt oder dpkg installiert, aktualisiert oder gelöscht werden, so ist das Protokoll hier zu finden.
/var/log/faillog Enthält fehlgeschlagene Anmeldeversuche.
/var/log/kern.log Die Log-Datei beinhaltet Informationen, die vom Kernel protokolliert werden.
/var/log/lastlog
/var/log/utmp
/var/log/wtmp
Zeigt die letzten Anmeldeinformationen für alle Benutzer an. Auf die Datei kann über den Befahl “lastlog” zugegriffen werden.
/var/log/mail.log Ist ein Mailserver im System installiert, so werden hier die Protokolle abgelegt.
/var/log/samba/ Enthält von “samba” gespeicherte Protokollinformationen.
/var/log/secure Enthält Informationen zu Authentifizierungs- und Berechtigungsrechten. SSHd protokolliert beispielsweise alle Nachrichten, einschließlich erfolgloser Anmeldungen.
/var/log/syslog Das System loggt alle Systeminformationen in diese Datei.
/var/log/Xorg.x.log Log-Meldungen des Windowmanagers

 

Im eigenen Home Verzeichnis können sich ebenfalls Logdateien befinden.

Log-Datei Beschreibung
~/.xsession-errors Protokolldatei für Meldungen von grafischen Programmen.
Kategorie: IT Schlagwörter: , , ,

Wantedlink listed: instaload.de

2014-05-18 von Mario

instaload

In drei Schritten zum sicheren Datenaustausch. Plattformen zum Hochladen und Verteilen von Dateien gibt es wie Sand am Meer. Warum dann eine weitere Plattform? Instaload unterscheidet sich ganz wesentlich von allen anderen Anbietern. Und so funktioniert Instaload:

Als erstes die gewünschte Datei auswählen, dann ein Passwort eingeben und danach verschlüsseln. Auf der Seite wird daraufhin der Downloadlink angezeigt. Der berechtigte Empfänger der Datei benötigt den Link und das vergebene Passwort.

Augenscheinlich ist alles wie bei anderen Anbietern, nicht ganz! Der wesentliche Unterschied besteht darin, dass die Datei  direkt im Browser verschlüsselt wird, bevor diese den Server erreicht. Der Übertragungsweg ist zusätzlich mit einem SSL Zertifikat ausgestattet.

Das vergebene Passwort sollte dann über einen anderen Kanal (Telefon, SMS, …) übertragen werden. Zum Entschlüsseln wird das Passwort zwingend benötigt. Sollte eine dritte Person die Datei zufällig herunterladen und versuchen, die Datei zu entschlüsseln, gelingt dies nur, wenn das Passwort ebenfalls bekannt ist. Andernfalls ist der entschlüsselte Inhalt nicht zu gebrauchen.

Ein sehr nützliches Feature ist die automatisierte Löschung der Datei, die Einstellung kann von 15 Minuten bis max. 7 Tage festgelegt werden. Die Plattform hat mir in den letzten Monaten bereits mehrmals geholfen.

Viel Spaß beim sicheren Datenaustausch.

 

Hier geht es zur Website: https://www.instaload.de

Kategorie: Allgemein Schlagwörter: , , , ,