Wie kann ich als Linux-Admin herausfinden ob meine Konfigurationsdateien gehackt/manipuliert worden sind?

Der Administrator hat den Verdacht, dass am Tag zuvor ein Hackerangriff auf die Konfigurationsdateien stattgefunden hat. Wie kann er feststellen, ob die Konfigurationsdateien manipuliert worden sind?

3 Antworten

Linuxhase

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Linux

14.12.2015, 21:51

Hallo

Der Administrator hat den Verdacht, dass am Tag zuvor ein Hackerangriff auf die Konfigurationsdateien stattgefunden hat. Wie kann er feststellen, ob die Konfigurationsdateien manipuliert worden sind?

Die Formulierung klingt wie eine Aufgabe aus einem Lehrbuch, ist das so?

Wenn er den Verdacht hat, dann gibt es verschiedene Wege die einzeln oder zusammen einen Aufschluss geben können. Falls es sich bewahrheitet sollte ein verantwortungsbewusster Systemadministrator sowieso das System auf einen sicheren Punkt zurücksetzen oder gleich neu aufsetzen.

Die Wahrscheinlichkeit das man jede manipulierte Datei erkennt/findet ist recht klein und kann so pauschal auch nicht gesagt werden.

Ein täglicher (oder noch öfter) Vergleich der Prüfsummen der entsprechenden Dateien wäre hier nur eine Möglichkeit.

Linuxhase

Woher ich das weiß:eigene Erfahrung – Ich benutze seit 2007 Linux und habe LPIC101 und LPIC102

guenterhalt

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Linux

15.12.2015, 09:35

Linux verfügt zwar über eine Menge an loggin-Informationen, ein Hacker kennt das natürlich auch und weiß auch, wie man die manipuliert.
Sicheres Zeichen kann das Fehlen der History-Datei von root , Lücken in der Datei /var/log/massages oder zeitnahe Modifikationszeitpunkte der gehäckten Dateien sein. Letzteres lässt sich aber auch manipulieren.

Ein gute Admin hat immer Backup-Dateien auf externen Datenträgern, auf die Häcker keinen Zugriff haben. Ein Vergleich der Zeitstempel und/oder der Inhalte bringt schon solche Erkenntnisse. Es genügt auch nicht nur immer ein aktuelles Backup zu haben, denn auch das kann schon verseucht sein.
Wir hatten tägliche, wöchentliche und monatliche Backups. Mehr aber, um eigene Fehler wieder rückgängig zu machen.

Die ganze Sache ist aber doch sehr aufwändig, denn muss man sich merken, was man selbst wann gemacht hat. Häcker arbeiten nicht wie Diebe in der Nacht, so dass man Probleme hat, eigene von fremden Änderungen zu erkennen.

Woher ich das weiß:Berufserfahrung – openSuSE seit 1995

ciubacka

14.12.2015, 19:41

Logfiles prüfen.

Linuxhase

14.12.2015, 21:24

@ciubacka

Logfiles prüfen.

Wenn ich ein System "hacken" würde, dann würde ich selbstverständlich auch meine Spuren, also auch Logfile-Einträge löschen.

Linuxhase

Wie kann ich als Linux-Admin herausfinden ob meine Konfigurationsdateien gehackt/manipuliert worden sind?

3 Antworten

(Wie) kann ich feststellen, ob mein Computer gehackt wurde?

Administratorrechte als lokaler Benutzer?

Administrator Passwort herausfinden oder ändern?

Muss ich jetzt mit einem Hackerangriff rechnen?

WLAN gehackt. Kann ich den Nutzer der MAC Adresse herausfinden?

Verdacht auf Betriebsmail-Hacking?

Hackerangriff: Fritz Box wurde gehackt , richtig?

wenn hacker einmal zugriff zum PC hatten können die dann durchgehend alles ausspähen und was für Möglichkeiten hat die Polizei diese zurückzuverfolgen?

Windows Adminrechte weg gehackt?

Meine System Festplatte (C:) verweigert mir den Zugriff was soll ich machen?

Wurde mein PC gehackt?

Hackerangriff Telekom mail?

Avast Free Antivirus - Zugriff verweigert?

Habt ihr schonmal was mit euern Dienst Computer/Laptop/Tablet/... was angestellt, wobei ihr awischt worden seit?