Integrität von Logdateien

Lesenswerte Artikel, Anleitungen und Diskussionen
steffz
Posts: 84
Joined: 2003-04-13 13:07
Location: Hamburg

Integrität von Logdateien

Post by steffz » 2004-02-10 18:19

Da Logdateien nach erfolgreichen Hacks gerne verändert oder gelöscht werden, liegt es nahe, nach einer Lösung zu suchen, die Ermittlungen dennoch ermöglicht.

Externe Log-Server liegen nahe, aber ich kann wohl davon ausgehen, dass der 08/15-RS-Betreiber keine zur Verfügung hat und dass sie die Anschaffung für ihn ferner nicht lohnt.

Ich habe eine Lösung in Form eines Shellscripts implementiert, das wichtige Logdateien in einer Schleife alle 30 Sekunden in die Walachei kopiert. Dabei kann jede Datei unter einem beliebigen Namen in einen beliebigen Ordner kopiert werden. Die Dateinamen tragen eine laufende Nummer, damit der Sinn des Scripts erhalten bleibt.
Diese Lösung schmeckt mir aber aus zwei, eigentlich drei Gründen nicht. Zunächst steigt natürlich der Load, wenn auch nicht gerade erheblich. Aber diese Lösung ist nicht gerade sicher. Spätestens wenn der Eindring weiß, dass ein solches System läuft, wird er Himmel und Hölle in Bewegung setzen, um die Kopien zu finden. Dazu muss er im Grunde nur den Prozess ausmachen - und das ist nicht wirklich schwer. Man kann ihn tarnen, z.B. durch Umbenennen, meinetwegen in mysqld, aber das wird auch nicht viel bringen. Das dritte Problem ist, dass der Log-Ordner sehr schnell sehr groß wird. Aber das ist ein Problem der Implementierung, nicht des Ansatzes.

Die Hoffnung besteht darin, dass der Angreifer vielleicht gar nicht mit den Kopien rechnet. Also sucht er auch nicht und man kann ihn verfolgen.
Die Frage ist nur: wie groß ist die Wahrscheinlichkeit?

Und vor allem: wie sehen die Alternativen aus? Man könnte sich die Logs zumailen lassen. Aber abhängig von den Intervallen kann das enorm auf den Traffic schlagen.

Oder wie ich hier schon gelesen habe, soll es Rootkits geben, die sich unsichtbar im Kernel verbergen können. Wieso sollte man das nicht auch mit so einem Kopier-Programm machen?

Wie geht ihr denn mit dieser Problemtik um? Logt ihr tatsächlich auf andere Systeme oder habt ihr so viel Gottvertrauen, dass ihr euch um die Logs nicht weiter kümmert? Oder verfolgt ihr einen ganz anderen Ansatz? Wenn ja, welchen?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Integrität von Logdateien

Post by captaincrunch » 2004-02-10 18:26

Die Hoffnung besteht darin, dass der Angreifer vielleicht gar nicht mit den Kopien rechnet. Also sucht er auch nicht und man kann ihn verfolgen.
Die Frage ist nur: wie groß ist die Wahrscheinlichkeit?
Von "Wahrscheinlichkeit" kannst du in einem solchen Fall nicht mehr sprechen. Sofern du die Kiste so gut gesichert hast, dass wenigstens die Scriptkiddies draußen bleiben, kannst du der Kiste eigentlich gar nicht mehr trauen.
Oder wie ich hier schon gelesen habe, soll es Rootkits geben, die sich unsichtbar im Kernel verbergen können. Wieso sollte man das nicht auch mit so einem Kopier-Programm machen?
Machbar wäre das sicherlich, es lohnt den Aufwand aber wirklich nicht.
Wie geht ihr denn mit dieser Problemtik um? Logt ihr tatsächlich auf andere Systeme oder habt ihr so viel Gottvertrauen, dass ihr euch um die Logs nicht weiter kümmert? Oder verfolgt ihr einen ganz anderen Ansatz? Wenn ja, welchen?
Mit "Gottvertrauen" hat das ganze herzlich wenig zu tun. Eine sichere Konfiguration des Rechners sowie ein externer Logserver (ein vServer reicht ja vollkommen aus und kostet fast nichts) sind sicherer als sämtliche anderen (obskuren) Lösungen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Integrität von Logdateien

Post by dea » 2004-02-11 11:27

CaptainCrunch wrote:Sofern du die Kiste so gut gesichert hast, dass wenigstens die Scriptkiddies draußen bleiben, kannst du der Kiste eigentlich gar nicht mehr trauen.
CC, den verstehe ich jetzt wirklich nicht. Wenn ich meine Kiste (hinreichend?) gut sichere dann kann ich ihr garnicht mehr trauen? Tippfehler oder bin ich zu doof? ;)

Steffz, warum sicherst Du die kompletten Logs? Schau Dir mal logcheck an, das verwendet ein Tool (name vergessen, deshalb "Schau Dir mal logcheck an" ;) ) welches in der Lage ist, sich Verabreitungsstände von Textdateien zu "merken". Du könntest das also gewissermaßen inkrementell machen.

Dann wäre es vll. auch noch sinnvoll, Prüfsummen der zu sichernden und der gesicherten Files zu generieren und diese ebenfalls zu sichern.

Aber warum verwendest Du nicht einfach ein hinreichend leistungsfähiges HIDS dem Du entsprechende Direktiven ("darf nur wachsen, nicht schrumpfen") mitgeben kannst? Dann müsstest Du Dir zumindest darum keinen Bart wachsen lassen.

Und um ggf. ansatzweise nachvollziehen zu können, wie die Logs aussahen bevor ein Eindringling sie änderte könntest Du die inkrementelle Sicherung verwenden. Das wiederum wäre, wie so vieles andere auch ;) , bei der Verwendung eines externen Logservers unnötig.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Integrität von Logdateien

Post by captaincrunch » 2004-02-11 11:51

Ups, hast Recht, der Satz ist wohl ziemlich daneben gegangen. Kernaussage sollte gewesen sein:

Sofern du die Kiste sicher genug konfiguriert hast, dass sich Scriptkiddies die Zähne an ihr ausgebissen haben, und du es mit jemandem zu tun hast, der sein Handwerk versteht (und daraufhin den "Einbruch" geschafft hat) kannst du der Kiste nicht mehr trauen.

Besser? ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Integrität von Logdateien

Post by dea » 2004-02-13 10:45

:-D Jau

Allerdings wage ich zu bezweifeln, dass ein derariger (qualittiv hochwertiger) Einbruch überhaupt zeitnah zu erkennen ist, sofern der Eindringling keine relevanten Dateien geändert hat bzw. diese Ã?nderungen qualitativ minderwertig waren.

Die Einbrüche in die Debian-Server wären, wenn überhaupt, wesentlich später erkannt worden, hätte/n der/die Eindringling/e nach dem erfolgreichen Einbruch nicht dermaßen stümperhaft agiert ... :(

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Integrität von Logdateien

Post by oxygen » 2004-02-13 11:31

Hm also ich denke ein externe Log Host ist das einzig ware. Reicht ja ein kleiner VServer, der kann dann gleich noch Secondary DNS Server und Backup MX sein. Prüfsummen etc sind zwar schön, aber wenn die Logs gelöscht wurden wenig hilfreich.

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: Integrität von Logdateien

Post by rootmaster » 2004-02-13 14:53

Steffz wrote: Und vor allem: wie sehen die Alternativen aus? Man könnte sich die Logs zumailen lassen. Aber abhängig von den Intervallen kann das enorm auf den Traffic schlagen.
zb. logging nach PEO-1 resp. L-PEO

siehe
http://www1.corest.com/corelabs/freesoft/index.php

und allgemein

http://www.netzmafia.de/rfc/internet-dr ... rot-04.txt

"back to the roots"