Twitter Updates
- RT @Der_Dee: LOL! RT @LohukiDD: Adminwitz des Tages: "Deine Mutter arbeitet bei PING als Zeitüberschreitung" 1 week ago
- Netzneutralität - von Alexander Endl "GANZ GANZ EINFACH ERKLÄRT FÜR JEDERMANN" http://bit.ly/a5fGCW 2 weeks ago
- Intel CEO: ?We need antivirus, can someone buy me McAfee?? Few hours later: ?Done.? ?Great, which version?? ?Version ? ?? (via diverse) 2 weeks ago
- OSX: Snow Leopard Grafik-Update verfügbar: http://bit.ly/ayIcRb ^RK 2 weeks ago
- Ubuntu 10.04.1 LTS released - http://bit.ly/bqxvu9 2 weeks ago
- Schon bei Debian GNU/Linux bedankt? :-) http://thank.debian.net/ 2 weeks ago
- RT @alextgordon: On reconsideration, GIMP beats Filezilla for "Worst UI in existence" 2 weeks ago
- RT @ChrisZwitschert: #Debian wird heute 17 Jahre alt! Herzlichen Glückwunsch! 2 weeks ago
- Nerd-Shirts bei SPON vorgestellt: http://bit.ly/anlChx ^RK 2 weeks ago
- RT "@heiseonline: Oracle kehrt OpenSolaris den Rücken http://bit.ly/dq12Vy" aber bitte lasst #ZFS am leben! ^MP 2 weeks ago
- 1Password Beta für Windows erhältlich - bestes Passwort-Tool ever! http://bit.ly/92fHU1 ^RK 3 weeks ago
- RT @comex: Source now available for anyone interested: http://github.com/comex/star #iPhone #ios #jailbreak 3 weeks ago
- [...]derzeit würden die Menschen alle zwei Tage so viele Daten generieren, wie die die gesamte Menschheit bis 2003 erzeugt habe[...] #wow 3 weeks ago
- Herzliche Glückwünsche: Lisa Simpson hat heute geheiratet :D S06E19 "Lisas future" #The #Simpsons #010810 ^MP 1 month ago
- Happy SysAdmin-Day allen Admins da draußen!!! Auf das wir heute unsere verdiente Anerkennung bekommen :-) #sysadminday #2010 ^MP 1 month ago
- Für alle Konsoleros: Mortal Kombat double feature auf Kabel1 #games ^MP #finish #him :D 1 month ago
- für alle die noch ne "kleine" Nebeneinkunft suchen, sollte ja in ner Woche erledigt sein: http://bit.ly/bZiEdo :-D ^MP 1 month ago
- "InnoDB is now the default storage engine, rather than MyISAM, in the regular and enterprise versions of MySQL. " #mysql ^RK 1 month ago
- RT @FlashMueller: Live-TV auf dem iPad / iPhone erneut möglich: ARD, ZDF, RTL und Co als Live-Stream auch für? http://goo.gl/fb/0Xpji 1 month ago
- RT @jonoberheide: rm -rf ~/.cache; ln -s /etc/shadow ~/.cache; ssh localhost (trigger pam_motd by re-logging in and you'll own /etc/shadow) 1 month ago
- Neu im Blog: Spam mal anders: via Twitter oder Facebook auf SPON und anderen Newsseiten spammen http://bit.ly/ae2RMC 2 months ago
- Glückwunsch! Der @parkrocker hat unser Belkin KFZ-Set von T-Mobile auf dem Blog gewonnen :) http://bit.ly/cisky2 2 months ago
- für alle Java Fans da draußen: http://bit.ly/cNvWi0 #lol :D ^MP 2 months ago
- RT @iphone_dev: ultrasn0w 0.93 released! Cydia repo is repo666.ultrasn0w.com. Works with basebands 04.26.08 thru 05.13.04 2 months ago
- RT @zwanzigtausend: IOS 4 Release ist derselbe build wie iOS 4 Golden Master (8A293) 2 months ago
Sunday, 11. December 2005
Böse Sachen finden ...
Da besonders Shared-Webserver mit Perl/PHP gern das Ziel diverser Hackversuche sind, müssen diese natürlich besonders überwacht werden. Zur Unterstützung stetigen manuellen Prüfung auf der Konsole und zusätzlichen Nagios-Überwachung habe ich noch ein kleines Perlscript geschrieben, welches mehrmals täglich via Cron aufgerufen wird. Dabei wird die Ausgabe von "netstat" analysiert. Sollten über die Whiltelist von Ports/Diensten hinaus Aktivitäten stattfinden, wird eine simple Mail generiert und an den Admin gesendet. Natürlich ist dies kein wirklicher Schutz vor Rootkits etc, manche tollen Prozesse zum Portscan ("r0nin" und co.) wurden dadurch aber bereits frühzeitig entdeckt und konnten gleich eliminiert werden ... eine regelmäßige Analyse der Systeme von Hand ist dennoch zu empfehlen. Besonderes Augenmerk sollte dabei auch die Temp-Verzeichnisse (/tmp, /var/tmp etc.) gerichtet sein. Da tummelt sich gern allerhand Komisches, zumal dort i.d.R. ja jeder Schreib- und Ausführungsrechte hat. Auf Systemen mit grsecurity und ACL's haben derartige Geschichten natürlich fast keine Chance, aber das hat ja nicht jeder Server ...
Das Perl-Script findet der interessierte User hier im Sourcecode! Das Script ist nur unter Linux getestet und wird wohl auch auf keinem anderen OS ohne Anpassungen laufen. Anregungen sind natürlich willkommen!
Das Perl-Script findet der interessierte User hier im Sourcecode! Das Script ist nur unter Linux getestet und wird wohl auch auf keinem anderen OS ohne Anpassungen laufen. Anregungen sind natürlich willkommen!
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Um meine Server gegen Rootkits zu sichern verwende ich gerne Tripwire für die Integritätschecks sowie rootkithunter einmal nächtlich für die automatisierte Suche nach eben solchen.
Das einzige Problem bei Tripwire ist natürlich, dass das System nur so gut ist, wie die Regeln, die man selbst anlegt. Sprich: Vergißt man ein wichtiges Verzeichnis zu monitoren oder man monitored darin enthaltene Dateien nicht ausreichend vollständig (z.B. kein Inode-Check oder ähnliches), greift die zusätzliche Sicherheit nicht.
Das einzige Problem bei Tripwire ist natürlich, dass das System nur so gut ist, wie die Regeln, die man selbst anlegt. Sprich: Vergißt man ein wichtiges Verzeichnis zu monitoren oder man monitored darin enthaltene Dateien nicht ausreichend vollständig (z.B. kein Inode-Check oder ähnliches), greift die zusätzliche Sicherheit nicht.
Nettes Skript hab es mal angepasst und teste es mal. Gute Arbeit.
Danke für das Skript, ich werde es auch einmal testen.. Nagios setze ich schon länger ein.
Nettes Skript 
Ich habe bei mir aus
$A = 'netstat -nlp';
folgendes gemacht
$A = 'LC_ALL=C netstat -nlp';
Damit klappt es dann auch etwas besser.
Danke für das Skript!
Ich habe bei mir aus
$A = 'netstat -nlp';
folgendes gemacht
$A = 'LC_ALL=C netstat -nlp';
Damit klappt es dann auch etwas besser.
Danke für das Skript!
powered by
Suche
Kommentare
19.08.10 08:36
Mit Time Machine unter Snow Leopard auf Netz [...]
04.08.10 13:13
ha!
da sucht man sich für seinen macbook pr [...]
31.07.10 08:33
Hallo ihr, der Trick bei meinem LED Cinema D [...]
28.07.10 10:04
Super Skript! Klasse!
Vielen Dank!
23.07.10 15:03
Hat mich schon zur WM genervt. Unter #wm gab [...]
22.07.10 20:50
Kennst Du Flagfox? Damit kann man sich den S [...]
22.07.10 16:51
Hetzner hat gute Rootserver Angebote, auch f [...]
20.07.10 15:33
Netter Link. Aber doch, Memcached ist imho s [...]
20.07.10 15:31
NoSQL = (semi-)persistente Speicher, da gehö [...]
Nettes kleines Skript, um vergessene Dienste bzw. unerwünschte Dienste schnell mitzubekommen. Am besten packt an das gleich in cron.hourly rein.Böse Sachen finden... bei Adminstrator's Blog
Aufgenommen: Feb 28, 23:37