Hackerangriffe unter Linux entdecken

Log-Files auf Remote-Host

Auf einem Linux-Rechner protokolliert der syslogd-Daemon alle Meldungen in den Log-Files. Diese liegen in der Regel im Verzeichnis "/var/log" auf dem System selbst. Ein Angreifer muss sich also in der Regel nur um die Dateien in diesem Verzeichnis kümmern.

Der Hacker steht jedoch vor einem Problem, wenn die Log-Files nicht mehr lokal auf dem System liegen. Die aufgezeichneten Informationen lassen sich nur mit großem Aufwand oder gar nicht mehr modifizieren, wenn sie auf einem anderen Rechner liegen. Der Eindringling müsste dann erst noch diesen anderen Host kapern.

In der Konfigurationsdatei "/etc/syslog.conf" steht, wo syslogd die Meldungen speichert. Normalerweise sind für die entsprechenden Meldungsarten Dateien angegeben, in denen die Protokollierung erfolgen soll. So bewirkt beispielsweise das Kommando kern.* -/var/log/kern.log, dass alle Kernelmeldungen in der Datei "/var/log/kern.log" landen.

Um alle Meldungen auf einem anderen Host zu protokollieren, geben Sie in dieser Datei die Zeile *.* @host an. "host" steht hierbei für den Netzwerknamen des Computers, auf dem die Meldungen protokolliert werden sollen. Auf diesem Host muss allerdings ebenfalls ein syslogd laufen.

Der Remote-Host protokolliert die Meldungen nun in seinen Log-Files mit. Bedenken Sie, dass es sinnvoll ist, die Log-Files durch die standardmäßig angegeben Aktionszeilen in "/etc/syslog.conf" zusätzlich auch lokal zu halten. Damit hat der Hacker dann immerhin eine Spielwiese und er merkt vielleicht nicht sofort, dass die Aufzeichnung seiner Aktivitäten auch remote erfolgt.

Außerdem bietet dieses redundante Führen von Log-Files einen weiteren Vorteil: Programme können die Meldungen vergleichen und somit Modifikationen erkennen. Allerdings benötigt man hierfür ein relativ intelligentes Programm, da die Zeiteinträge zwischen den jeweiligen Log-Files zumindest im Sekundenbereich differieren können.

Leider hat die Remote-Protokollierung einen kleinen Haken: Kommt beim syslogd eine wahre Flut von Meldungen an, findet die Protokollierung nicht mehr korrekt statt.