Tripwire getrickst ...
Tripwire ist ein Open Source Tool zur Überwachung von Dateiänderungen, das nahezu jeder Linux-Distribution beiliegt.
Man sollte sich nicht ausschliesslich auf Tripwire verlassen, um Manipulationen am zu überwachenden System festzustellen.
Eine der Stärken von Tripwire ist die Überwachung sämtlicher Dateiattribute bis hinunter auf Dateisystemebene.
Man nehme sich also als potentieller Angreifer eine Konfigurationsdatei und verschiebe diese mittels mv. Dabei bleiben sämtliche Dateiattribute erhalten.
Dann erzeugt man eine neue Konfigurationsdatei, die genauso heißt wie die Ursprungsdatei und schreibt in sie das hinein, was man als Angreifer braucht.
Danach zwingt man den Serverdienst, die Konfigurationsdatei neu zu laden.
Anschliessend wird die gerade erstellte Konfigurationsdatei gelöscht und die ursprüngliche Konfigurationsdatei wieder an ihren Platz verschoben. Somit wird der nächste Kontrollauf von Tripwire keine geänderten Dateien finden.
Der Server läuft aber mit einer anderen Konfiguration.
Das "Neuladen der Konfiguration" sollte man im Syslog auf einer anderen Maschine genauso mitprotokollieren und auswerten, wie das Einloggen eines root-Users oder das Wechseln mittels su auf root.
Das Einloggen oder Wechseln auf root kann im Tagesbetrieb untergehen, das Neuladen der Konfigurationsdaten sollte man in jedem Fall hinterfragen.
Man sollte sich nicht ausschliesslich auf Tripwire verlassen, um Manipulationen am zu überwachenden System festzustellen.
Eine der Stärken von Tripwire ist die Überwachung sämtlicher Dateiattribute bis hinunter auf Dateisystemebene.
Man nehme sich also als potentieller Angreifer eine Konfigurationsdatei und verschiebe diese mittels mv. Dabei bleiben sämtliche Dateiattribute erhalten.
Dann erzeugt man eine neue Konfigurationsdatei, die genauso heißt wie die Ursprungsdatei und schreibt in sie das hinein, was man als Angreifer braucht.
Danach zwingt man den Serverdienst, die Konfigurationsdatei neu zu laden.
Anschliessend wird die gerade erstellte Konfigurationsdatei gelöscht und die ursprüngliche Konfigurationsdatei wieder an ihren Platz verschoben. Somit wird der nächste Kontrollauf von Tripwire keine geänderten Dateien finden.
Der Server läuft aber mit einer anderen Konfiguration.
Das "Neuladen der Konfiguration" sollte man im Syslog auf einer anderen Maschine genauso mitprotokollieren und auswerten, wie das Einloggen eines root-Users oder das Wechseln mittels su auf root.
Das Einloggen oder Wechseln auf root kann im Tagesbetrieb untergehen, das Neuladen der Konfigurationsdaten sollte man in jedem Fall hinterfragen.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Marc 'Zugschlus' Haber am :
Dirk Deimeke am :
Mir ist allerdings schleierhaft, mit welchem Mechanismus diese Veränderung bemerkt werden könnte.