Linux-Sicherheit - Angriffe entdecken

Logfiles anpassen

Eine Auswertung der ersten 10 Einträge von Kernel-Meldungen kann dann wie folgt aussehen; wobei hier nur Fehlermeldungen zu erkennen sind und keine Spuren eines Einbruchs:

~# head -n10 /var/log/kern.log

Dec 6 10:03:15 powermashine kernel: [ 2497.368513] npviewer.bin[4319]: segfault at 70747468 ip 00000000f618f279 sp 00000000ff979f60 error 4 in libflashplayer.so[f5f64000+990000]
Dec 6 10:21:03 powermashine kernel: [ 3565.435003] npviewer.bin[5171]: segfault at ff99cd48 ip 00000000ff99cd48 sp 00000000ffcc09ac error 14
Dec 6 10:28:14 powermashine kernel: [ 3996.974532] npviewer.bin[5532]: segfault at 3c ip 00000000f61f20da sp 00000000ffb5d2e0 error 4 in libflashplayer.so[f5fa9000+990000]
Dec 6 10:35:28 powermashine kernel: [ 4429.988149] npviewer.bin[5706]: segfault at 3c ip 00000000f615c0da sp 00000000ffdae940 error 4 in libflashplayer.so[f5f13000+990000]
Dec 6 10:41:51 powermashine kernel: [ 4813.309128] npviewer.bin[5913]: segfault at 3c ip 00000000f61210da sp 00000000ff883750 error 4 in libflashplayer.so[f5ed8000+990000]
Dec 6 10:48:24 powermashine kernel: [ 5206.967219] npviewer.bin[6103]: segfault at ff99cd48 ip 00000000ff99cd48 sp 00000000ffe64d2c error 14
Dec 6 11:00:02 powermashine kernel: [ 5904.368094] npviewer.bin[6230]: segfault at ff99cd48 ip 00000000ff99cd48 sp 00000000ffcdec6c error 14
Dec 6 11:08:32 powermashine kernel: [ 6414.450034] CE: hpet increasing min_delta_ns to 15000 nsec
Dec 6 11:33:45 powermashine kernel: [ 7927.649155] npviewer.bin[6482]: segfault at ff99cd48 ip 00000000ff99cd48 sp 00000000ff98682c error 14
Dec 6 11:34:06 powermashine kernel: [ 7948.680729] npviewer.bin[7133]: segfault at ff99cd48 ip 00000000ff99cd48 sp 00000000ff85a2ac error 14

Für das Schreiben der Logfiles ist syslogd als Daemon zuständig, der seine Konfiguration aus der syslog.conf-Datei holt. Diese kann man nach seinen individuellen Bedürfnissen anpassen. Wie unter Linux üblich, werden nicht benötigte Zeilen mit dem # - Zeichen auskommentiert.

# /etc/syslog.conf Configuration file for syslogd.
#
# For more information see syslog.conf(5)
# manpage.
#
# First some standard logfiles. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
#lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log