Was soll denn gesagt werden. Es bestand vermutlich der Verdacht, dass Systeme kompromittiert sein könnten, evtl. wurde auch gar nichts konkretes entdeckt, sondern nur eine Lücke die ein Eindringen ermöglichen könnte. Somit *könnten* auch Pakete bzw. Repositorien manipuliert sein, aber solange man das nicht weiß, nimmt man erstmal alles vom Netz und empfiehlt den Anwendern nix zu installieren bevor nicht sichergestellt ist, dass eben keine der Eventualitäten zutreffend ist/war.
Erfahrungsberichte gibt es massig, Google hilft da meistens :). Ansonsten lassen sich die meisten Einbrueche recht einfach erkennen wenn man so ein bisschen weiss was dort passiert. Am hilfreichsten ist eine kleine Tools Sammlung (ps, find, ls, ...) die statisch gelinket auf einem Readonly Medium rumliegen. Das sollten einem dann schon mal einen Anhaltspunkt geben ob irgendwelche komischen Prozesse auf dem System sind. Man kann das ganze dann noch in ein paar Skripte packen die einen regelmaessigen Scan machen und dann an ein separates Audit System reporten. Gerne genommen ist auch ein modifizierter Syslog (config Datei an anderer Stelle) der an ein Remote Syslog reported. Damit bekommt man 99,99% der Rootkits mit, das einzige wogegen man aktuell nicht viel machen kann sind Attacken vom Stile Blue Pill, die sind aber noch nicht in freier Wildbahn beobachtet worden.
Enen Einbruch entdecken ist meistens relativ leicht, wenn man damit rechnet. Ich nutze z.B. diverse eigene Scriptchen, die bei Ungereimtheiten Alarm schlagen.
Was wirklich problematisch ist, wenn ein Angreifer den Login eines "trusted" Users kapert und dann etwas anstellt, z.B. könnte der Account eines Entwicklers gekapert worden sein und mit diesem Account Modifizierungen an Quellen vorgenommen werden, das fällt dann nicht sofort auf, es sei denn jede Änderung erfordert es, dass mindestens zwei Augen es abzeichnen, wie es z.B. beim Linuxkernel praktiziert wird.
logcheck, rkhunter und postfix z.Bsp. - die logcheck-Ergebnisse werden sofort versendet.
Außerdem kann man mit Open-DNS schauen, wohin der ausgehende Traffic so geht, wen es welchen gibt. Das hilft aber nur was, wenn nicht mit IP-Adressen gearbeitet wird. Nepenthes auf einer Kiste im Netz ist zudem ein guter Indikator für Bot-Befall. Die Logs sollten immer leer sein....
Am besten geht man bei seinen Erwägungen zum Aufbau von Server-Infrastruktur aber sowieso immer davon aus, dass ein oder mehrere Geräte im eigenen Netz unter Fremdkontrolle sind - ich erlaube z.Bsp. keine Zugriffe auf Geräte im Server-LAN aus dem ServerLAN, um einen Durchbruch auf weitere Geräte zu erschweren.
Also auch wenn es nur ein Verdacht ist sollte man schon sagen worum es geht, statt nur zu empfehlen nichts zu installieren.
Somit *könnten* auch Pakete bzw. Repositorien manipuliert sein, aber solange man das nicht weiß, nimmt man erstmal alles vom Netz und empfiehlt den Anwendern nix zu installieren bevor nicht sichergestellt ist, dass eben keine der Eventualitäten zutreffend ist/war.
Trotz alledem bleibe ich viel doch lieber bei Linux. Das ist einfach das kleinere Übel ... würde ich sagen.
Oder haben die Sys-Admins den ganzen Tag nichts anderes zu tun, als Log-Files durchzustöbern und evtuellen Auffälligkeiten nachzugehen?
Würde mich mal interessieren, wie die Admins in der Praxis sowas machen?!
Aide, snort, chkrootkit
Heise-Scripte :-)
http://tinyurl.com/6ln2cm
Davon ab, ein Erfahrungsbericht aus dem Leben eines Admins der mit sowas umgeht würde mich auch interessieren.
MfG =HAL-9000=
nanana - sind das keine Hackertools?
Was wirklich problematisch ist, wenn ein Angreifer den Login eines "trusted" Users kapert und dann etwas anstellt, z.B. könnte der Account eines Entwicklers gekapert worden sein und mit diesem Account Modifizierungen an Quellen vorgenommen werden, das fällt dann nicht sofort auf, es sei denn jede Änderung erfordert es, dass mindestens zwei Augen es abzeichnen, wie es z.B. beim Linuxkernel praktiziert wird.
Sind die Kernelentwickler alle einäugig?
LOL
Außerdem kann man mit Open-DNS schauen, wohin der ausgehende Traffic so geht, wen es welchen gibt. Das hilft aber nur was, wenn nicht mit IP-Adressen gearbeitet wird. Nepenthes auf einer Kiste im Netz ist zudem ein guter Indikator für Bot-Befall. Die Logs sollten immer leer sein....
Am besten geht man bei seinen Erwägungen zum Aufbau von Server-Infrastruktur aber sowieso immer davon aus, dass ein oder mehrere Geräte im eigenen Netz unter Fremdkontrolle sind - ich erlaube z.Bsp. keine Zugriffe auf Geräte im Server-LAN aus dem ServerLAN, um einen Durchbruch auf weitere Geräte zu erschweren.