Eindringlingsalarm bei Linux

Der Test auf offene Dateien.

Weg und dennoch da Ein weiterer wichtiger Datei Audit ist der Test auf offene Dateien Unter Unix Systemen ist es möglich Dateien zu öffnen und sie anschlie end im Dateibaum zu löschen Obwohl diese Dateien aus der Sicht des Dateisystems nicht mehr existieren können diese dennoch gelesen und geschrieben werden solange sie noch geöffnet sind Ein kleines Beispiel für diesen Effekt sehen Sie im Kasten Nachrichten ins Nirwana So verblüffend dieser Effekt auch ist so beliebt ist er auch bei Hackern Eingeschleuste Software wie Trojanische Pferde und Sniffer müssen häufiger Daten zwischenspeichern Damit dies nicht auffällt öffnen Sie selbst neu angelegte Dateien und löschen diese anschlie end im Dateisystem Rein oberflächlich betrachtet erweckt dies keinen Verdacht mehr Sie können also davon ausgehen dass eine gelöschte offene Datei die Sie keinem Prozess wie httpd zuordnen können durchaus Ihren Ursprung in einer Intrusion hat Deshalb sollten Sie solche Dateien im Auge behalten Der Befehl lsof list open files bietet Ihnen die Möglichkeiten offene Dateien anzuzeigen siehe auch Kasten lsof nicht per Standard im System Wenn Sie diesem die Option L mit auf den Weg geben zeigt er Ihnen alle offenen Dateien mit einem Link Count kleiner eins an Der Link Count sagt aus wie viele Einträge zum Beispiel weitere Links im Dateisystem im Dateisystem auf diese offene Datei verweisen Ist dieser Zähler null so gibt es keinen Eintrag im Dateibaum auf diese Datei Die Datei ist also gelöscht und genau diese Dateien wollen Sie ja aufspüren Ein typisches Programm das grundsätzlich solche Dateien ohne bösartige Absichten verwendet ist Apache Diese offenen gelöschten Dateien dürfen Sie nicht beunruhigen Einen Filter der Ihnen die Tabellentitelzeile COMMAND PID entfernt und alle offenen Dateien von Apache herausfiltert können Sie leicht mit awk anlegen Wenn Sie das Kommando lsof L awk \ if NR amp amp httpd print eingeben erhalten Sie nur die offenen gelöschten Dateien die nicht vom Webserver verwendet werden Diese Audit Zeile ist wieder ein Kandidat für die crontab

P
Computerwissen komplett aus einer Hand

Dies ist eine Nickles-Premium Seite

Der Inhalt dieser Seite ist nur Nickles Mitgliedern zugänglich. Bitte melden Sie sich mit Ihrem Premium-Account an, um diese Seite lesen zu können.

Sollten Sie bisher noch nicht über einen Account verfügen, so können Sie sich hier einen erstellen und erhalten damit Zugriff auf das gesammelte Computerwissen, alle Artikel, Tipps und vieles mehr. Zusätzlich sehen Premium-Mitglieder Nickles werbefrei.

  • Probleme mit Hard und Software müssen nicht mehr sein
  • Nickles liefert seit über 15 Jahren geballtes Wissen
  • Unverzichtbare Artikel, verständlich für alle
  • Wertvolle Tipps die bares Geld sparen
  • Schluss mit Suchen - alles hier aus einer Hand
  • Zuverlässige Profi-Informationen statt Blabla
  • Hier gibt es Zugriff auf über 2 Millionen Webseiten geballtes Computerwissen zum Schnäppchenpreis
Computerwissen komplett aus einer Hand (Angebot 1)

UNABHÄNGIG, EHRLICH, VERSTÄNDLICH

Drei Worte. Die schreiben wir nicht nur, das meinen wir auch so! Nickles-Artikel liefern konkrete unbestechliche Informationen. Egal ob für PC-Laie oder PC-Profi: auf Nickles-Infos ist Verlass! Bereits ein einziger Nickles-Artikel kann helfen, viel Zeit und Geld zu sparen!

  • Probleme mit Hard und Software müssen nicht mehr sein
  • Nickles liefert seit über 15 Jahren geballtes Wissen
  • Unverzichtbare Artikel, verständlich für alle
  • Schluss mit Suchen - alles hier aus einer Hand
  • Zuverlässige Profi-Informationen statt Blabla
  • Hier gibt es Zugriff auf über 2 Millionen Webseiten geballtes Computerwissen zum Schnäppchenpreis

Allgemeine Geschäftsbedingungen

Wir hassen lange AGB mit fiesem Kleingedrucktem. Drum sind unsere kurz und einfach - bitte sorgfältig durchlesen:
AGB - Allgemeine Geschäftsbedingungen

Bestellformular ausfüllen

Die Abrechnung der 59,95 Euro für 12 Monate erfolgt einfach per Rechnung auf dem Postweg. Dazu benötigen wir die Anschrift. Bitte alle Felder ausfüllen!

Mit * markierte Felder werden für die Bearbeitung der Bestellung benötigt und müssen ausgefüllt werden.
Hinweis: Nickles.de gibt Daten niemals weiter! Sie dienen nur für unsere interne Abwicklung der Mitgliedschaft.

Gesamtpreis: 59,95 Euro für 12 Monate
(inklusive 7 Prozent MwSt, 3,92 Euro auf 56,03 Euro)
Vereinbarungen: Widerrufsrecht: Diese Bestellung kann gemäß AGB innerhalb von zwei Wochen widerrufen werden.

Mindestlaufzeit: 12 Monate

Verlängerung: Wird nicht spätestens drei Monate vor Ablauf der Abrechnungsperiode gekündigt, verlängert sich die Premiummitgliedschaft um 12 Monate zum Preis von 59,95 Euro.
Abrechnungsperiode dann alle 12 Monate.