2017-02-08 von Mario
Wenn ein Linux-System gehackt wird, entstehen zahlreiche Spuren in Log-Files. Im folgenden wird erläutert, wie als Angreifer Spuren auf einem kompromittiertem System vermieden werden können.
Histsize
Nachdem es gelungen ist, eine Shell zu erlangen, werden normalerweise alle eingegeben Befehle im jeweiligen Homeverzeichnis in der Historie der Bash gespeichert.
Eine Möglichkeit, die Spuren zu verwischen, ist die manuelle Löschung der eingegebenen Befehle. Eine elegantere Methode ist, die Umgebungsvariable “Histsize” zu begrenzen. Mit dem Befehl “echo” kann angezeigt werden, wie viele der letzten eingegebenen Befehle in der Historie (bash_history) gespeichert werden.
Setzt man den Wert mit dem Kommando “export” auf Null, so speichert die Shell keine Eingaben in die Historie.
Falls schon mehrere Befehle eingeben wurden, dann einfach Ab- und Anmelden, um den Verlauf zu löschen, nachdem die HISTSIZE auf Null gesetzt wurde.
Shred
Falls die Zeit knapp sein sollte, kann der Befehl “shred” verwendet werden, um die History-Datei zu löschen. Mit diesem Kommando können Dateien überschrieben werden.
1 | shred -zu root/.bash_history
|
Der Parameter “z” überschreibt die Datei mit Nullen und der Parameter “u” löscht die Datei, nachdem diese überschrieben ist.
2017-02-04 von Mario
Nachdem im Beitrag “Linux Log Files – Wo sind diese zu finden?” die Verortung von Log Files beschrieben wurde, geht es hier um die Befehle oder deren Kombinationen, welche beim Auslesen hilfreich sein können.
tail
Der Befehl “tail” zeigt die letzten Zeilen einer Datei an. Mit einigen Parametern lässt sich die Ausgabe etwas verfeinern.
1 | tail -n20 /var/log/kern.log
|
Mit dem Parameter “-n20” werden ausschließlich die letzten 20 Einträge im Logfile angezeigt.
1 | tail -f /var/log/kern.log
|
Mit dem Parameter “-f”werden die letzten Einträge im Logfile automatisch dargestellt.
head
Der Befehl “head” zeigt die ersten Zeilen einer Datei an und ist das Gegenstück zum Befehl “tail”.
1 | head -n20 /var/log/kern.log
|
Mit dem Parameter “-n20” werden ausschließlich die ersten 20 Einträge im Logfile angezeigt.
cat, grep & more
Mit dem Befehl “cat” wird der Inhalt einer Datei angezeigt.
Falls die Datei größer ist, kann die Ausgabe mit der Kombination aus dem Befehl “cat” und “grep” nach bestimmten Wörtern/Zeichen eingegrenzt werden.
1 | cat /var/log/kern.log | grep "audit"
|
Es werden alle Zeilen der Logdatei angezeigt, die das Wort “audit” beinhalten.
1 | cat /var/log/kern.log | grep "audit" | more
|
Mit der Verwendung von „more“ wird die Ausgabe jeder der oben genannten Befehle seitenweise ausgegeben.
2017-02-01 von Mario
Eine Logdatei ist ein Ereignisprotokoll, d.h., es werden automatisch bestimmte Aktionen protokolliert. Unter Linux sind die Logdateien (Protokolldateien) in dem Verzeichnis “/var/log” zu finden.
Je nachdem welche Anwendungen auf einem System installiert sind, existieren in diesem Verzeichnis die entsprechenden Log-Dateien dafür. Auch weitere Unterverzeichnisse für verschiedene Anwendungen sind möglich. Die folgende Aufstellung zeigt häufige Log-Dateien auf:
| Log-Datei |
Beschreibung |
| /var/log/alternatives.log |
In der Logdatei befinden sich Angaben über die Update-Alternativen. |
| /var/log/apport.log |
Beim Abstürzen von Programmen werden die Informationen hierüber in diese Logdatei abgelegt. |
| /var/log/auth.log |
Es werden alle Anmeldeversuche am System protokolliert. |
| /var/log/boot.log |
In der Logdatei befinden sich Informationen, die während des Bootvorgangs protokolliert werden. |
| /var/log/btmp |
Diese Datei enthält Informationen zu fehlgeschlagenen Anmeldeversuchen. |
| /var/log/cron.log |
Wenn der Cron-Daemon einen Cron-Job startet, werden die Informationen über den Cron-Job in dieser Datei protokolliert. |
| /var/log/cups |
In der Datei werden alle Druckerbenachrichtigungen/-Meldungen abgelegt. |
| /var/log/dmesg |
In der Logdatei befinden sich die letzten Meldungen des Kernels. Die Informationen stammen aus einem Ringpuffer, alte Meldungen werden überschrieben. |
| /var/log/dpkg.log |
Wenn Pakte über apt oder dpkg installiert, aktualisiert oder gelöscht werden, so ist das Protokoll hier zu finden. |
| /var/log/faillog |
Enthält fehlgeschlagene Anmeldeversuche. |
| /var/log/kern.log |
Die Log-Datei beinhaltet Informationen, die vom Kernel protokolliert werden. |
/var/log/lastlog
/var/log/utmp
/var/log/wtmp |
Zeigt die letzten Anmeldeinformationen für alle Benutzer an. Auf die Datei kann über den Befahl “lastlog” zugegriffen werden. |
| /var/log/mail.log |
Ist ein Mailserver im System installiert, so werden hier die Protokolle abgelegt. |
| /var/log/samba/ |
Enthält von “samba” gespeicherte Protokollinformationen. |
| /var/log/secure |
Enthält Informationen zu Authentifizierungs- und Berechtigungsrechten. SSHd protokolliert beispielsweise alle Nachrichten, einschließlich erfolgloser Anmeldungen. |
| /var/log/syslog |
Das System loggt alle Systeminformationen in diese Datei. |
| /var/log/Xorg.x.log |
Log-Meldungen des Windowmanagers |
Im eigenen Home Verzeichnis können sich ebenfalls Logdateien befinden.
| Log-Datei |
Beschreibung |
| ~/.xsession-errors |
Protokolldatei für Meldungen von grafischen Programmen. |
2014-05-18 von Mario
In drei Schritten zum sicheren Datenaustausch. Plattformen zum Hochladen und Verteilen von Dateien gibt es wie Sand am Meer. Warum dann eine weitere Plattform? Instaload unterscheidet sich ganz wesentlich von allen anderen Anbietern. Und so funktioniert Instaload:
Als erstes die gewünschte Datei auswählen, dann ein Passwort eingeben und danach verschlüsseln. Auf der Seite wird daraufhin der Downloadlink angezeigt. Der berechtigte Empfänger der Datei benötigt den Link und das vergebene Passwort.
Augenscheinlich ist alles wie bei anderen Anbietern, nicht ganz! Der wesentliche Unterschied besteht darin, dass die Datei direkt im Browser verschlüsselt wird, bevor diese den Server erreicht. Der Übertragungsweg ist zusätzlich mit einem SSL Zertifikat ausgestattet.
Das vergebene Passwort sollte dann über einen anderen Kanal (Telefon, SMS, …) übertragen werden. Zum Entschlüsseln wird das Passwort zwingend benötigt. Sollte eine dritte Person die Datei zufällig herunterladen und versuchen, die Datei zu entschlüsseln, gelingt dies nur, wenn das Passwort ebenfalls bekannt ist. Andernfalls ist der entschlüsselte Inhalt nicht zu gebrauchen.
Ein sehr nützliches Feature ist die automatisierte Löschung der Datei, die Einstellung kann von 15 Minuten bis max. 7 Tage festgelegt werden. Die Plattform hat mir in den letzten Monaten bereits mehrmals geholfen.
Viel Spaß beim sicheren Datenaustausch.
Hier geht es zur Website: https://www.instaload.de
