[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Frage zu AIDE



Hallo ihr,

Marc Haber schrieb am Dienstag, den 19.08.2008 um 19:28:
...
> AIDE schützt nur gegen ahnungslose skriptkids und
> abhängig von deren Werkzeugen nichtmal vor diesen.
...
> AIDE kann seine Referenzdatenbank IIRC auch per HTTP von irgendwo
> anders ziehen, das schützt Dich aber nicht gegen ein lügendes
> AIDE-Binary.
> 
> Einzige Abhilfe: Kiste regelmäßig von einem bekannt sauberen
> read-only-Medium booten und gegen eine bekannt saubere
> Referenzdatenbank checken.
...

Die hier von Marc vorgeschlagene Taktik, ein System mit einem nicht
kompromitierten Medium neu zu starten und dann forensisch auf 
Manipulationen zu untersuchen, ist nicht geeignet, um Manipulationen
nachzuweisen, die ein Eindringling nur im Speicher vorgenommen hat.
Es ist denkbar, dass ein Eindringling ein kompromitiertes System
nur durch Installation eines ladbares Kernel-Modules verfälscht,
dessen Spuren durch einen Neustart automatisch verwischt werden.

Wo wir gerade beim Thema IDS (Intrusion Detection System) sind:  
Gibt es hier auf der Liste Leute, die Samhain 
http://packages.debian.org/etch/samhain
(und Yule?) einsetzen und bereit sind, darüber zu berichten? 

Wie beurteilt ihr eine Konfiguration, in der ein separater ansonsten 
schwer erreichbarer Rechner als Empfänger für die Alarm-Meldungen dient?

Habt ihr bestimmte Vorschläge, wie ihr mit der Datenflut von oftmals 
(bzw. hoffentlich!) falschen Alarm-Meldungen umgeht?

Mit freundlichen Grüßen,
Peter Funk
-- 
Peter Funk, Oldenburger Str.86, D-27777 Ganderkesee, Germany; office: 
ArtCom GmbH, Lise-Meitner-Str. 5, D-28359 Bremen, Germany, tel: +49-421-20419-0
<http://www.artcom-gmbh.de/>


Reply to: