Frage von iAm2Smart4U, 63

Wie kann ich als Linux-Admin herausfinden ob meine Konfigurationsdateien gehackt/manipuliert worden sind?

Der Administrator hat den Verdacht, dass am Tag zuvor ein Hackerangriff auf die Konfigurationsdateien stattgefunden hat. Wie kann er feststellen, ob die Konfigurationsdateien manipuliert worden sind?

Antwort
von MrImo20, 45

Bitte warte bis deine anderen Fragen beantwortet sind. Du kannst nicht 6 Fragen innerhalb von 1h stellen. Sonst wird das als Troll interpretiert und die Fragen werden gelöscht oder der  Account gesperrt.

Expertenantwort
von guenterhalt, Community-Experte für Linux, 36

Linux verfügt zwar über eine Menge an loggin-Informationen, ein Hacker kennt das natürlich auch und weiß auch, wie man die manipuliert.
Sicheres Zeichen kann das Fehlen der History-Datei von root , Lücken in der Datei /var/log/massages oder zeitnahe Modifikationszeitpunkte der gehäckten  Dateien  sein. Letzteres lässt sich aber auch manipulieren. 

Ein gute Admin hat immer Backup-Dateien auf externen Datenträgern, auf die Häcker keinen Zugriff haben. Ein Vergleich der Zeitstempel und/oder der Inhalte bringt schon solche Erkenntnisse. Es genügt auch nicht nur immer ein aktuelles Backup zu haben, denn auch das kann schon verseucht sein.
Wir hatten tägliche, wöchentliche und monatliche Backups. Mehr aber, um eigene Fehler wieder rückgängig zu machen.

Die ganze Sache ist aber doch sehr aufwändig, denn muss man sich merken, was man selbst wann gemacht hat. Häcker arbeiten nicht wie Diebe in der Nacht, so dass man Probleme hat, eigene von fremden Änderungen zu erkennen.

Antwort
von Linuxhase, 38

Hallo

Der Administrator hat den Verdacht, dass am Tag zuvor ein Hackerangriff auf die Konfigurationsdateien stattgefunden hat. Wie kann er feststellen, ob die Konfigurationsdateien manipuliert worden sind?

Die Formulierung klingt wie eine Aufgabe aus einem Lehrbuch, ist das so?

Wenn er den Verdacht hat, dann gibt es verschiedene Wege die einzeln oder zusammen einen Aufschluss geben können. Falls es sich bewahrheitet sollte ein verantwortungsbewusster Systemadministrator sowieso das System auf einen sicheren Punkt zurücksetzen oder gleich neu aufsetzen.

Die Wahrscheinlichkeit das man jede manipulierte Datei erkennt/findet ist recht klein und kann so pauschal auch nicht gesagt werden.

Ein täglicher (oder noch öfter) Vergleich der Prüfsummen der entsprechenden Dateien wäre hier nur eine Möglichkeit.

Linuxhase

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten