Taugt chkrootkit wirklich etwas gegen rootkits, und macht der regemlmäßige Einsatz auf einem Root Server Sinn?
Welche anderen Überwachungsmaßnahmen verwendet ihr um zu sehen, ob der Server kompromittiert wurde?
chkrootkit
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: chkrootkit
Chkrootkit und Co helfen nicht gegen RootKits, sie können aber beim Aufspüren von bereits installierten, älteren, bekannten RootKits helfen. Dies aber auch nur dann, wenn diese Tools von einem sauberen Rescuesystem aus ausgeführt werden. Im laufenden Betrieb sind diese Tools problemlos auszutricksen und bei neueren oder gar unbekannten RootKits ohnehin blind.
Persönlich nutze ich diese Tools nicht, sondern verlasse mich auf meine Erfahrung und Brain. Sobald mir etwas komisch vorkommt, sichere ich die Nutzdaten, lege ein Systemimage zur Offline-Diagnose an und setze das System neu auf. Wenn die Offline-Diagnose keine Kompromittierung zu Tage fördert, habe ich halt etwas Zeit verschwendet, andererseits habe ich so wieder ein saubereres System, da ich gleich von vornherein auf unnötige Software verzichten kann. Sollte die Diagnose etwas finden, dann passe ich mein Sicherheitkonzept an und habe wieder etwas dazugelernt. Diese Vorgehensweise ist für mich privat tragbar, im geschäftlichen Umfeld ist sie so aus unterschiedlichen Gründen nicht immer möglich.
Persönlich nutze ich diese Tools nicht, sondern verlasse mich auf meine Erfahrung und Brain. Sobald mir etwas komisch vorkommt, sichere ich die Nutzdaten, lege ein Systemimage zur Offline-Diagnose an und setze das System neu auf. Wenn die Offline-Diagnose keine Kompromittierung zu Tage fördert, habe ich halt etwas Zeit verschwendet, andererseits habe ich so wieder ein saubereres System, da ich gleich von vornherein auf unnötige Software verzichten kann. Sollte die Diagnose etwas finden, dann passe ich mein Sicherheitkonzept an und habe wieder etwas dazugelernt. Diese Vorgehensweise ist für mich privat tragbar, im geschäftlichen Umfeld ist sie so aus unterschiedlichen Gründen nicht immer möglich.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
native
- Posts: 119
- Joined: 2003-11-18 10:38
Re: chkrootkit
Ok, vielen Dank.
Welche anderen Maßnahmen kann man dann ergreifen um einen evtl. Einbruch zeitnah mitzubekommen? Die Möglichkeit Rettungssystem läuft in meinem Fall nicht, da auf den Servern ein 24h-Dienst läuft -- würde also nur im Recherchefall Sinn machen, wenn das Kind bereits in den Brunnen gefallen ist.
- Kann man chkrootkit von extern laufen lassen, z.B. über einen SSH-Tunnel?
- Wie sieht es mit file integrity checkern aus, Samhain z.B., oder anderen IDS wie Snort -- habt ihr damit Erfahrungen und/oder Tipps?
- Ganz andere Ideen?
Welche anderen Maßnahmen kann man dann ergreifen um einen evtl. Einbruch zeitnah mitzubekommen? Die Möglichkeit Rettungssystem läuft in meinem Fall nicht, da auf den Servern ein 24h-Dienst läuft -- würde also nur im Recherchefall Sinn machen, wenn das Kind bereits in den Brunnen gefallen ist.
- Kann man chkrootkit von extern laufen lassen, z.B. über einen SSH-Tunnel?
- Wie sieht es mit file integrity checkern aus, Samhain z.B., oder anderen IDS wie Snort -- habt ihr damit Erfahrungen und/oder Tipps?
- Ganz andere Ideen?
-
native
- Posts: 119
- Joined: 2003-11-18 10:38
Re: chkrootkit
Vielen Dank. Ein paar der Bücher klingen interessant, da werde ich mich reinlesen.
Konkrete Frage zu fail2ban: funktioniert das auch mit einer bestehenden (iptables) Firewall, oder gäbe es damit Probleme?
Konkrete Frage zu fail2ban: funktioniert das auch mit einer bestehenden (iptables) Firewall, oder gäbe es damit Probleme?
-
native
- Posts: 119
- Joined: 2003-11-18 10:38
Re: chkrootkit
Wie würde das mit Rootservern funktionieren?matzewe01 wrote:Der einzig erreichbare Host ist die Firewall / Proxy und reicht die Anfragen weiter.
Der / die dahinter liegende Hosts dürfen nicht nach extern sprechen bzw. sind nicht von extern erreichbar. Ist mit Rootservern eher etwas schwieriger zu realisieren geht aber ggf. auch.
Mit einem Monitoringsstem wird übrwacht, wie sich das System verhält, ob es auffälligkeiten gibt. Abweichungen davon muss man kritisch überprüfen. Auch ganz ohne in Panik zu verfallen.
Und kannst Du näher erläutern, wie das Monitoringsystem aussieht/welche Software sich dafür anbietet?
Ich habe mir noch 2 IDS angesehen, Samhain und Snort. Hat jmd Erfahrung mit den beiden Systemen? Bei Samhain scheint die Funktion eines externen Log-Hosts sehr hilfreich, allerdings scheint das Lesen dieser Logfiles doch ein erheblicher Aufwand zu sein.
Und vll ein paar Tipps zum Einsatz von Snort auf Rootservern?
Vielen Dank.
-
native
- Posts: 119
- Joined: 2003-11-18 10:38
Re: chkrootkit
Das bedeutet aber, dass ich zumindest 2 Server benötige, verstehe ich das richtig? 1 "vorgelagerter", auf dem ein Proxy läuft, und der eigentliche Applikationsserver dahinter?matzewe01 wrote:Im wesentlichen mit dem aufseitzen eines VLAN Virtuelles LAN.
Diese wird von einigen Provider angeboten und über eine 2.tes Ntzwerkinterface angebunden.
Danach werden die öffentlichen Konfiguration ( Konfig des 1. Netzwerkinterfaces ) gelöscht. Das Routing umgesetzt und als default Gateway der davor liegende Host eingetragen. Im Falle eines Swiches, / Ausfalles muss natürlich die Route angepasst werden.
Gibt es eine sinnvolle Lösung, wenn man nur einen Server betreibt?