Linux Log Files – Spuren nach einem Hack verwischen

2017-02-08 von Mario

Wenn ein Linux-System gehackt wird, entstehen zahlreiche Spuren in Log-Files. Im folgenden wird erläutert, wie als Angreifer Spuren auf einem kompromittiertem System vermieden werden können.

 

Histsize

Nachdem es gelungen ist, eine Shell zu erlangen, werden normalerweise alle eingegeben Befehle im jeweiligen Homeverzeichnis in der Historie der Bash gespeichert.

~/.bash_history

Eine Möglichkeit, die Spuren zu verwischen, ist die manuelle Löschung der eingegebenen Befehle. Eine elegantere Methode ist, die Umgebungsvariable “Histsize” zu begrenzen. Mit dem Befehl “echo” kann angezeigt werden, wie viele der letzten eingegebenen Befehle in der Historie (bash_history) gespeichert werden.

echo $HISTSIZE

Setzt man den Wert mit dem Kommando “export” auf Null, so speichert die Shell keine Eingaben in die Historie.

export HISTSIZE=0

Falls schon mehrere Befehle eingeben wurden, dann einfach Ab- und Anmelden, um den Verlauf zu löschen, nachdem die HISTSIZE auf Null gesetzt wurde.

Shred

Falls die Zeit knapp sein sollte, kann der Befehl “shred” verwendet werden, um die History-Datei zu löschen. Mit diesem Kommando können Dateien überschrieben werden.

shred -zu root/.bash_history

Der Parameter “z” überschreibt die Datei mit Nullen und der Parameter “u” löscht die Datei, nachdem diese überschrieben ist.

Kategorie: IT-Security Schlagwörter: , , , , ,

Linux Log Files – Befehle zum Auslesen

2017-02-04 von Mario

Nachdem im Beitrag “Linux Log Files – Wo sind diese zu finden?” die Verortung von Log Files beschrieben wurde, geht es hier um die Befehle oder deren Kombinationen, welche beim Auslesen hilfreich sein können.

 

tail

Der Befehl “tail” zeigt die letzten Zeilen einer Datei an. Mit einigen Parametern lässt sich die Ausgabe etwas verfeinern.

tail -n20 /var/log/kern.log

Mit dem Parameter “-n20” werden ausschließlich die letzten 20 Einträge im Logfile angezeigt.

tail -f /var/log/kern.log

Mit dem Parameter “-f”werden die letzten Einträge im Logfile automatisch dargestellt.

head

Der Befehl “head” zeigt die ersten Zeilen einer Datei an und ist das Gegenstück zum Befehl “tail”.

head -n20 /var/log/kern.log

Mit dem Parameter “-n20” werden ausschließlich die ersten 20 Einträge im Logfile angezeigt.

cat, grep & more

Mit dem Befehl “cat” wird der Inhalt einer Datei angezeigt.

cat /var/log/kern.log

Falls die Datei größer ist, kann die Ausgabe mit der Kombination aus dem Befehl “cat” und “grep” nach bestimmten Wörtern/Zeichen eingegrenzt werden.

cat /var/log/kern.log | grep "audit"

Es werden alle Zeilen der Logdatei angezeigt, die das Wort “audit” beinhalten.

cat /var/log/kern.log | grep "audit" | more

Mit der Verwendung von „more“ wird die Ausgabe jeder der oben genannten Befehle seitenweise ausgegeben.

Kategorie: IT Schlagwörter: , , ,

Linux Log Files – Wo sind diese zu finden?

2017-02-01 von Mario

Eine Logdatei ist ein Ereignisprotokoll, d.h., es werden automatisch bestimmte Aktionen protokolliert. Unter Linux sind die Logdateien (Protokolldateien) in dem Verzeichnis “/var/log” zu finden.

 

 

Je nachdem welche Anwendungen auf einem System installiert sind, existieren in diesem Verzeichnis die entsprechenden Log-Dateien dafür. Auch weitere Unterverzeichnisse für verschiedene Anwendungen sind möglich. Die folgende Aufstellung zeigt häufige Log-Dateien auf:

 

Log-Datei Beschreibung
/var/log/alternatives.log In der Logdatei befinden sich Angaben über die Update-Alternativen.
/var/log/apport.log Beim Abstürzen von Programmen werden die Informationen hierüber in diese Logdatei abgelegt.
/var/log/auth.log Es werden alle Anmeldeversuche am System protokolliert.
/var/log/boot.log In der Logdatei befinden sich Informationen, die während des Bootvorgangs protokolliert werden.
/var/log/btmp Diese Datei enthält Informationen zu fehlgeschlagenen Anmeldeversuchen.
/var/log/cron.log Wenn der Cron-Daemon einen Cron-Job startet, werden die Informationen über den Cron-Job in dieser Datei protokolliert.
/var/log/cups In der Datei werden alle Druckerbenachrichtigungen/-Meldungen abgelegt.
/var/log/dmesg In der Logdatei befinden sich die letzten Meldungen des Kernels. Die Informationen stammen aus einem Ringpuffer, alte Meldungen werden überschrieben.
/var/log/dpkg.log Wenn Pakte über apt oder dpkg installiert, aktualisiert oder gelöscht werden, so ist das Protokoll hier zu finden.
/var/log/faillog Enthält fehlgeschlagene Anmeldeversuche.
/var/log/kern.log Die Log-Datei beinhaltet Informationen, die vom Kernel protokolliert werden.
/var/log/lastlog
/var/log/utmp
/var/log/wtmp		 Zeigt die letzten Anmeldeinformationen für alle Benutzer an. Auf die Datei kann über den Befahl “lastlog” zugegriffen werden.
/var/log/mail.log Ist ein Mailserver im System installiert, so werden hier die Protokolle abgelegt.
/var/log/samba/ Enthält von “samba” gespeicherte Protokollinformationen.
/var/log/secure Enthält Informationen zu Authentifizierungs- und Berechtigungsrechten. SSHd protokolliert beispielsweise alle Nachrichten, einschließlich erfolgloser Anmeldungen.
/var/log/syslog Das System loggt alle Systeminformationen in diese Datei.
/var/log/Xorg.x.log Log-Meldungen des Windowmanagers

 

Im eigenen Home Verzeichnis können sich ebenfalls Logdateien befinden.

Log-Datei Beschreibung
~/.xsession-errors Protokolldatei für Meldungen von grafischen Programmen.
Kategorie: IT Schlagwörter: , , ,