Böse Sachen finden ...

Twitter Updates

Neu im Blog: Musik aus dem (W)LAN http://bit.ly/dsVT1G 2 hours ago
Eben auf der #Cebit abgekommen, erste Entäuschung der Dell Stand, viele Leute aber keiner hat Ahnung von der ausgestellten Technik ^MP 6 days ago
linux for billionaire http://bit.ly/cm1Qs7 #oss #kernel ^MP 1 week ago
free ssl certificates, valid for one year -> https://www.startssl.com ^MP 1 week ago
Don't mess with the sysadmin: http://xkcd.com/705/ #funny ^MP :-D 2 weeks ago
Command and Conquer classics free download: http://bit.ly/a7GnZs #game #c&c ^MP 3 weeks ago
Heute Logitech Harmony One gekauft: http://bit.ly/5hYTk6, bin restlos begeistert #1337-TV ^MP 3 weeks ago
Neu im Blog: Apple Magic-Mouse leider ohne Magie http://bit.ly/98z894 1 month ago
Debian GNU/Linux 5.0 updated - http://bit.ly/9tEpwJ ^RK 1 month ago
RT @slith76: End of an era. www.sun.com is no more. /via @unixtippse - ein wenig Wehmut habe ich da schon ;( 1 month ago
Neu im Blog: Gängige Browser in der V8 Benchmark Suite - Version 5 http://bit.ly/a95ENX 1 month ago
RT @djesse: Der V8 Benchmark http://is.gd/7dzxV bestätigt in harten Fakten die Performanceschwäche des FF 3.6 gegenüber Safari & Chrome 4. 1 month ago
Neu im Blog: Erste Gedanken zum neuen iPad von Apple http://bit.ly/dhw7Vi 1 month ago
RT @ronnybrendel: http://bit.ly/cQDDJi I'd love apple for doing this. ^MP 1 month ago
RT @golem_de: Kostenlose Webseminare von der Linux Foundation http://bit.ly/ayQGaM 1 month ago
Neu im Blog: [Tipps und Tricks] Passwort-Richtlinien unter Mac OS X konfigurieren http://bit.ly/cnx63Y 1 month ago
Mac OS X Security Configuration Guides: http://bit.ly/8M6bDB #Security #OSX ^MP 1 month ago
RT @FlashMueller: Apple Tablet Event: Live Stream und Liveticker-Übersicht http://goo.gl/fb/fOZW 1 month ago
Chrome 4 ist fertig, vorerst allerdings nur für Windows - http://www.google.de/chrome ^RK 1 month ago
Das Vortragsprogramm der Chemnitzer Linux Tage ist Online: http://bit.ly/4yKxTl #CLT #Linux ^MP 1 month ago
Endlich, Notfall-Patch für den IE 8 erschienen: http://bit.ly/7W86GQ ^RK 1 month ago
RT @firefox: The new Firefox 3.6 has arrived: http://bit.ly/blogfx36 Enjoy & spread the word! #firefox #fx36 1 month ago
Sicherheitsupdate-Update 2010-001 für OSX (Leopard und Snow Leopard) via Updatefunktion zum DL verfügbar. Details hier: http://bit.ly/77x5Hu 1 month ago
Neu im Blog: IPv4 Restlaufanzeige - langsam wird's eng http://bit.ly/6qPves 1 month ago
User von D-Link Routern aufgepasst, wichtiges Sicherheitsupdate erschienen: http://bit.ly/8s88t1 ^RK 1 month ago

< Grafisch einwandfrei ... | Die Brasilianer wieder ... >

Sunday, 11. December 2005

Da besonders Shared-Webserver mit Perl/PHP gern das Ziel diverser Hackversuche sind, müssen diese natürlich besonders überwacht werden. Zur Unterstützung stetigen manuellen Prüfung auf der Konsole und zusätzlichen Nagios-Überwachung habe ich noch ein kleines Perlscript geschrieben, welches mehrmals täglich via Cron aufgerufen wird. Dabei wird die Ausgabe von "netstat" analysiert. Sollten über die Whiltelist von Ports/Diensten hinaus Aktivitäten stattfinden, wird eine simple Mail generiert und an den Admin gesendet. Natürlich ist dies kein wirklicher Schutz vor Rootkits etc, manche tollen Prozesse zum Portscan ("r0nin" und co.) wurden dadurch aber bereits frühzeitig entdeckt und konnten gleich eliminiert werden ... eine regelmäßige Analyse der Systeme von Hand ist dennoch zu empfehlen. Besonderes Augenmerk sollte dabei auch die Temp-Verzeichnisse (/tmp, /var/tmp etc.) gerichtet sein. Da tummelt sich gern allerhand Komisches, zumal dort i.d.R. ja jeder Schreib- und Ausführungsrechte hat. Auf Systemen mit grsecurity und ACL's haben derartige Geschichten natürlich fast keine Chance, aber das hat ja nicht jeder Server ...

Das Perl-Script findet der interessierte User hier im Sourcecode! Das Script ist nur unter Linux getestet und wird wohl auch auf keinem anderen OS ohne Anpassungen laufen. Anregungen sind natürlich willkommen!

Geschrieben von Rob in Security um 13:37 | Kommentare (6) | Trackback (1)

Trackbacks

Trackback-URL für diesen Eintrag

UnerwÃ¼nschtes Zeug finden.....
Nettes kleines Skript, um vergessene Dienste bzw. unerwÃ¼nschte Dienste schnell mitzubekommen. Am besten packt an das gleich in cron.hourly rein.BÃ¶se Sachen finden... bei Adminstrator's Blog

Weblog: vmk's blog
Aufgenommen: Feb 28, 23:37

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Super Idee, werd ich doch gleich mal ausprobieren das Script.

#1 Anonym am 11.12.2005 22:38 (Antwort)

Um meine Server gegen Rootkits zu sichern verwende ich gerne Tripwire für die Integritätschecks sowie rootkithunter einmal nächtlich für die automatisierte Suche nach eben solchen.

Das einzige Problem bei Tripwire ist natürlich, dass das System nur so gut ist, wie die Regeln, die man selbst anlegt. Sprich: Vergißt man ein wichtiges Verzeichnis zu monitoren oder man monitored darin enthaltene Dateien nicht ausreichend vollständig (z.B. kein Inode-Check oder ähnliches), greift die zusätzliche Sicherheit nicht.

#2 schoeppchen am 13.12.2005 21:14 (Antwort)

Nettes Skript hab es mal angepasst und teste es mal. Gute Arbeit.

#3 exe (Homepage) am 30.12.2005 12:06 (Antwort)

Danke für das Skript, ich werde es auch einmal testen.. Nagios setze ich schon länger ein.

#4 Olli (Homepage) am 10.01.2006 19:09 (Antwort)

Schönes Script, besten Dank

#5 M.C.S. am 10.01.2006 23:22 (Antwort)

Nettes Skript

Ich habe bei mir aus
$A = 'netstat -nlp';
folgendes gemacht
$A = 'LC_ALL=C netstat -nlp';

Damit klappt es dann auch etwas besser.

Danke für das Skript!

#6 vmk (Homepage) am 19.02.2006 14:05 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. BBCode-Formatierung erlaubt
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen