2017-02-08 von Mario
Wenn ein Linux-System gehackt wird, entstehen zahlreiche Spuren in Log-Files. Im folgenden wird erläutert, wie als Angreifer Spuren auf einem kompromittiertem System vermieden werden können.
Histsize
Nachdem es gelungen ist, eine Shell zu erlangen, werden normalerweise alle eingegeben Befehle im jeweiligen Homeverzeichnis in der Historie der Bash gespeichert.
Eine Möglichkeit, die Spuren zu verwischen, ist die manuelle Löschung der eingegebenen Befehle. Eine elegantere Methode ist, die Umgebungsvariable “Histsize” zu begrenzen. Mit dem Befehl “echo” kann angezeigt werden, wie viele der letzten eingegebenen Befehle in der Historie (bash_history) gespeichert werden.
Setzt man den Wert mit dem Kommando “export” auf Null, so speichert die Shell keine Eingaben in die Historie.
Falls schon mehrere Befehle eingeben wurden, dann einfach Ab- und Anmelden, um den Verlauf zu löschen, nachdem die HISTSIZE auf Null gesetzt wurde.
Shred
Falls die Zeit knapp sein sollte, kann der Befehl “shred” verwendet werden, um die History-Datei zu löschen. Mit diesem Kommando können Dateien überschrieben werden.
1 | shred -zu root/.bash_history
|
Der Parameter “z” überschreibt die Datei mit Nullen und der Parameter “u” löscht die Datei, nachdem diese überschrieben ist.
2017-02-04 von Mario
Nachdem im Beitrag “Linux Log Files – Wo sind diese zu finden?” die Verortung von Log Files beschrieben wurde, geht es hier um die Befehle oder deren Kombinationen, welche beim Auslesen hilfreich sein können.
tail
Der Befehl “tail” zeigt die letzten Zeilen einer Datei an. Mit einigen Parametern lässt sich die Ausgabe etwas verfeinern.
1 | tail -n20 /var/log/kern.log
|
Mit dem Parameter “-n20” werden ausschließlich die letzten 20 Einträge im Logfile angezeigt.
1 | tail -f /var/log/kern.log
|
Mit dem Parameter “-f”werden die letzten Einträge im Logfile automatisch dargestellt.
head
Der Befehl “head” zeigt die ersten Zeilen einer Datei an und ist das Gegenstück zum Befehl “tail”.
1 | head -n20 /var/log/kern.log
|
Mit dem Parameter “-n20” werden ausschließlich die ersten 20 Einträge im Logfile angezeigt.
cat, grep & more
Mit dem Befehl “cat” wird der Inhalt einer Datei angezeigt.
Falls die Datei größer ist, kann die Ausgabe mit der Kombination aus dem Befehl “cat” und “grep” nach bestimmten Wörtern/Zeichen eingegrenzt werden.
1 | cat /var/log/kern.log | grep "audit"
|
Es werden alle Zeilen der Logdatei angezeigt, die das Wort “audit” beinhalten.
1 | cat /var/log/kern.log | grep "audit" | more
|
Mit der Verwendung von „more“ wird die Ausgabe jeder der oben genannten Befehle seitenweise ausgegeben.
2017-02-01 von Mario
Eine Logdatei ist ein Ereignisprotokoll, d.h., es werden automatisch bestimmte Aktionen protokolliert. Unter Linux sind die Logdateien (Protokolldateien) in dem Verzeichnis “/var/log” zu finden.
Je nachdem welche Anwendungen auf einem System installiert sind, existieren in diesem Verzeichnis die entsprechenden Log-Dateien dafür. Auch weitere Unterverzeichnisse für verschiedene Anwendungen sind möglich. Die folgende Aufstellung zeigt häufige Log-Dateien auf:
| Log-Datei |
Beschreibung |
| /var/log/alternatives.log |
In der Logdatei befinden sich Angaben über die Update-Alternativen. |
| /var/log/apport.log |
Beim Abstürzen von Programmen werden die Informationen hierüber in diese Logdatei abgelegt. |
| /var/log/auth.log |
Es werden alle Anmeldeversuche am System protokolliert. |
| /var/log/boot.log |
In der Logdatei befinden sich Informationen, die während des Bootvorgangs protokolliert werden. |
| /var/log/btmp |
Diese Datei enthält Informationen zu fehlgeschlagenen Anmeldeversuchen. |
| /var/log/cron.log |
Wenn der Cron-Daemon einen Cron-Job startet, werden die Informationen über den Cron-Job in dieser Datei protokolliert. |
| /var/log/cups |
In der Datei werden alle Druckerbenachrichtigungen/-Meldungen abgelegt. |
| /var/log/dmesg |
In der Logdatei befinden sich die letzten Meldungen des Kernels. Die Informationen stammen aus einem Ringpuffer, alte Meldungen werden überschrieben. |
| /var/log/dpkg.log |
Wenn Pakte über apt oder dpkg installiert, aktualisiert oder gelöscht werden, so ist das Protokoll hier zu finden. |
| /var/log/faillog |
Enthält fehlgeschlagene Anmeldeversuche. |
| /var/log/kern.log |
Die Log-Datei beinhaltet Informationen, die vom Kernel protokolliert werden. |
/var/log/lastlog
/var/log/utmp
/var/log/wtmp |
Zeigt die letzten Anmeldeinformationen für alle Benutzer an. Auf die Datei kann über den Befahl “lastlog” zugegriffen werden. |
| /var/log/mail.log |
Ist ein Mailserver im System installiert, so werden hier die Protokolle abgelegt. |
| /var/log/samba/ |
Enthält von “samba” gespeicherte Protokollinformationen. |
| /var/log/secure |
Enthält Informationen zu Authentifizierungs- und Berechtigungsrechten. SSHd protokolliert beispielsweise alle Nachrichten, einschließlich erfolgloser Anmeldungen. |
| /var/log/syslog |
Das System loggt alle Systeminformationen in diese Datei. |
| /var/log/Xorg.x.log |
Log-Meldungen des Windowmanagers |
Im eigenen Home Verzeichnis können sich ebenfalls Logdateien befinden.
| Log-Datei |
Beschreibung |
| ~/.xsession-errors |
Protokolldatei für Meldungen von grafischen Programmen. |
