Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Untersuchen des Vorfalls

10.4. Untersuchen des Vorfalls

Das Untersuchen einer Computerverletzung ist wie das Untersuchen eines Tatortes. Kriminalbeamte sammeln Beweise, bemerken verd�chtige Hinweise und notieren Verluste und Sch�den. Eine Analyse einer Computerverletzung kann entweder noch w�hrend der Attacke geschehen oder post-mortem (nach dem Versto�).

Obwohl man System-Logdateien auf einem angegriffenen System nicht trauen kann, gibt es kriminaltechnische Utensilien, die Ihnen bei der Analyse helfen. Der Zweck und die Features dieser Tools variieren, aber allgemein erstellen diese Bit-Image-Kopien der Medien, fassen Ereignisse und Prozesse zusammen, zeigen detaillierte Dateisysteminformationen und stellen gel�schte Dateien wo m�glich wieder her.

Es ist auch ratsam, alle durchgef�hrten Untersuchungen auf einem kompromittierten System aufzuzeichnen, in dem Sie den Befehl script wie im folgenden Beispiel verwenden:

script -q <file-name>

Ersetzen Sie <file-name> mit dem Dateinamen f�r das script-Log. Speichern Sie die Log-Datei immer auf einem anderem Medium als die Festplatte des kompromittierten Systems — ein Diskette oder eine CD-ROM sind bew�hrte Medien f�r diesen Zweck.

Indem Sie Ihre Aktionen aufzeichnen, wird ein Audit-Trail erstellt, der wertvoll sein kann, falls der Angreifer gefasst wird.

10.4.1. Erstellen eines Images als Beweis

Das Erstellen einer Bit-Image Kopie der Medien ist ein sinnvoller erster Schritt. Wenn wir Daten untersuchen, ist dies eine Anforderung. Es wird empfohlen, zwei Kopien zu erstellen Eine f�r die Analyse und Untersuchung, und eine zweite Kopie, die zusammen mit dem Original gespeichert wird und als Beweismittel in jeglichen rechtlichen Verfahren gilt.

Sie k�nnen den Befehl dd, der Teil des coreutils-Pakets in Red Hat Enterprise Linux ist, verwenden, um ein monolithisches Abbild eines kompromittierten Systems zu erstellen und dies als Beweis in einer Untersuchung oder f�r den Vergleich mit vertrauensw�rdigen Images zu verwenden. Nehmen Sie an, es besteht eine einzelne Festplatte in einem System, von dem Sie ein Abbild machen m�chten. F�gen Sie diese Festplatte als Slave zu Ihrem System hinzu und verwenden Sie den Befehl dd, um eine Image-Datei zu erstellen:

dd if=/dev/hdd bs=1k conv=noerror,sync of=/home/evidence/image1

Dieser Befehl erstellt eine einzige Datei mit dem Namen image1 und verwendet einen 1K Block aus Geschwindigkeitsgr�nden. Die Option conv=noerror, sync zwingtdd dazu, mit dem Lesen und Ablegen von Daten fortzufahren, auch wenn defekte Sektoren auf dem verd�chtigen Laufwerk gefunden werden. Jetzt k�nnen Sie die resultierende Image-Datei studieren oder versuchen, gel�schte Dateien wiederherzustellen.

10.4.2. Post-Breach-Informationen sammeln

Das Thema digitale Untersuchungen und Analysen ist relativ breitgef�chert, dennoch sind die Tools ziemlich Architektur-spezifisch und k�nnen nicht allgemein angewendet werden. Vorfallsreaktion, Analyse und Wiederherstellung sind jedoch wichtige Themen. Mit dem richtigen Wissen und der Erfahrung wird Red Hat Enterprise Linux zu einer ausgezeichneten Plattform f�r solche Arten von Analysen, da es verschiedene Utilities f�r die R�ckantwort nach einem Versto� und f�r die Wiederherstellung bietet.

Tabelle 10-1 beschreibt im Detail einige Befehle f�r das Pr�fen und Verwalten von Dateien. Es werden au�erdem einige Beispiele aufgelistet, die Sie zum richtigen Identifizieren von Dateitypen und Dateiattributen (wie z.B. Berechtigungen und Zugangsdaten) ben�tigen, so dass Sie weitere Beweise f�r die Analyse sammeln k�nnen. Diese Tools, kombiniert mit Intrusion Detection Systemen, Firewalls, geh�rtete Services und andere Sicherheitsma�nahmen, k�nnen potentielle Sch�den bei einer Attacke reduzieren.

AnmerkungHinweis
 

Detaillierte Informationen �ber jedes Tool finden Sie auf den jeweiligen man-Seiten.

BefehlFunktionBeispiel
ddErstellt eine Bit-Image Kopie (oder disk dump) von Dateien und Partitionen. Kombiniert mit einer Pr�fung der md5sums von jedem Image k�nnen Administratoren ein Image der Partition oder der Datei vor dem Bruch mit einem Image, das nach dem Bruch erstellt wurde, vergleichen und pr�fen, ob die Pr�fsummen �bereinstimmen. dd if=/bin/ls of=ls.dd |md5sum ls.dd >ls-sum.txt
grepFindet n�tzliche (Text)-Informationen innerhalb von Dateien und Verzeichnissen wie zum Beispiel Berechtigungen, Dateiattribute, Skript�nderungen und vieles mehr. Wird haupts�chlich als Pipe-Befehl eines anderen Befehls wie ls, ps oder ifconfig verwendetps auxw |grep /bin
stringsDruckt Ketten druckbarer Zeichen in einer Datei aus. Dies ist sehr n�tzlich f�r das Pr�fen von ausf�hrbaren Dateien auf Anomalien wie z.B. mail-Befehle an unbekannte Adressen oder das Loggen in einer Nicht-Standard-Logdatei.strings /bin/ps |grep 'mail'
fileLegt die Charakteristiken von Dateien basierend auf Format, Kodierung, Bibliotheken die verkn�pft werden (falls vorhanden) und Dateityp (bin�r, Text, etc.) fest. Es ist n�tzlich f�r das Feststellen, ob eine ausf�hrbare Datei wie /bin/ls mittels statischen Bibliotheken ge�ndert wurde, was ein sicheres Zeichen daf�r ist, das die ausf�hrbare Datei durch eine von einem Benutzer mit b�swilliger Absicht installierte Datei ersetzt wurde.file /bin/ls
findDurchsucht Verzeichnisse auf bestimmte Dateien. Es ist ein n�tzliches Tool f�r das Durchsuchen der Verzeichnisstruktur nach Schl�sselw�rtern, Datum und Zeit des Zugangs, Berechtigungen, und so weiter. Dies ist n�tzlich f�r Administratoren, die allgemeine Systempr�fungen f�r Verzeichnisse oder Dateien durchf�hren. find -atime +12 -name *log* -perm u+rw
statZeigt verschiedene Informationen �ber eine Datei an, inklusive Zeitpunkt des letzten Zugriffs, Berechtigungen, UID und GID-Einstellungen und vieles mehr. Dies kann n�tzlich f�r das Pr�fen sein, wann eine ausf�hrbare Datei in einem betroffenen System zuletzt verwendet und/oder ver�ndert wurde.stat /bin/netstat
md5sumBerechnet die 128-Bit Pr�fsummen mit dem md5-Hash-Algorithmus. Sie k�nnen diesen Befehl verwenden, um eine Textdatei mit einer Liste aller wichtigen Executables, die bei einem Systemeinbruch ver�ndert oder ersetzt werden k�nnten, zu erstellen. Leiten Sie die Summen in eine Datei um, um eine einfache Datenbank mit Pr�fsummen zu erhalten, und kopieren Sie dann die Datei auf ein Medium nur mit Leseberechtigung, wie z.B. CD-ROM.md5sum /usr/bin/gdm >>md5sum.txt

Tabelle 10-1. Datei-Pr�f-Tools

 
 
  Published under the terms of the GNU General Public License Design by Interspire