Hackerangriffe unter Linux entdecken

Spuren im Logfile

Hacker können Sie im Wesentlichen auf zwei Arten entdecken:

  • In flagranti zum Zeitpunkt des Einbruchs, sei es durch ein Intrusion Detection System (IDS) oder manuell.

  • Durch Spuren in den Log-Files. Letzteres ist jedoch nicht mehr ganz so glücklich, da der Hacker dann in den meisten Fällen bereits aus dem System geflüchtet ist.

Die Protokollierungen in den Log-Files sollten Sie immer lesen. Selbst wenn Sie ein noch so ausgereiftes IDS installiert haben, sollten Sie diese Aufgabe nicht vernachlässigen. Die Log-Files können Sie wie die Spuren am Tatort eines Verbrechens auffassen. Anhand dieser Dateien ist es möglich, den Hacker-Angriff zu rekonstruieren und gegebenenfalls den Täter zu überführen.

Wie im wirklichen Leben wird der Eindringling versuchen, seine Spuren zu verwischen. Die erste Hacker-Regel nach dem Einbruch in ein System ist das Bereinigen der Log-Files. Wenn Sie einen Hacker also dingfest machen und wissen wollen, was er überhaupt auf Ihrem System angestellt hat, müssen Sie auf Ihrem System für die Sicherung der Hinweise sorgen.

Konkret heißt das, dass Sie sich überlegen müssen, wie Sie die Log-Files gegen Änderungen absichern, respektive Modifikationen innerhalb kürzester Zeit erkennen. Sie können die Log-Files hierzu auf einem anderen Host unterbringen oder durch kryptographische Methoden schützen. Ein Hacker wird sich an diesen Maßnahmen in aller Regel die Zähne ausbeißen, so dass Sie ihn entdecken können.