Tiger – Intrusion Detection und Audit Reporter

am 13. Mrz 2009 von griesgram geschrieben unter Linux, Security

Hallo lieber Leser! Danke für deinen Besuch, wenn du Updates zu diesem Thema erhalten willst, abonniere unseren RSS Feed.

Tiger ist ein Intrusion Detection und Audit Reporter Tool, welches einem Hilft, Sicherheitslöcher und sonstige System-Fehler einem Linux System aufzudecken.

Wer selber gerne Tiger installieren und ein paar Sample Alerts anschauen möchte, liest am besten weiter.

Installieren

Das Tool kann man unter Debian mit aptitude oder apt installieren.

aptitude update aptitude install tiger

Tiger sollte nun installiert sein.

Konfigurieren

Jetzt können wir mit dem Konfigurieren beginnen. Konfiguration öffnen

vim /etc/tiger/tigerrc

Sucht nach “Mail_RCPT” und ändert die Mailaddresse, sofern die Audit Mails an eine andere Domain weitergeleitet werden soll. z.Bsp: audit@yourdomain.de

Tiger_Mail_RCPT="audit@yourdomain.de"

Den rest lassen wir mal auf Standard Werten. Das wäre es schon. Tiger macht nun jede Stunde ein Audit und meldet es via Email sobald er etwas verdächtiges festgestellt hat.

Sample Alert 1

Betreff: Tiger Auditing Report for lilith.hack2learn.org Von: "Tiger automatic auditor at lilith.hack2learn.org" Datum: Fr, 13.03.2009, 04:00 An: noc@hack2learn.org Priorität: Normal

# Checking listening processes OLD: --WARN-- [lin003w] The process `(squid)' is listening on socket 25125 (UDP on every interface) is run by proxy. NEW: --WARN-- [lin003w] The process `(squid)' is listening on socket 23237 (UDP on every interface) is run by proxy.

Diese Meldung besagt, das ein Dienst gestartet wurde, in diesem Fall ist es Squid, welcher auf den UDP Ports 25125 und 23237 horcht und der Prozesseigentümer Proxy ist. Dies Meldung tritt auf sobald ein Dienst neugestartet, reloaded oder gestart wird.

Sample Alert 2

Betreff: Tiger Auditing Report for lilith.hack2learn.org Von: "Tiger automatic auditor at lilith.hack2learn.org" Datum: Mo, 9.03.2009, 03:00 An: noc@hack2learn.org Priorität: Normal

# Performing check of `cron' entries... NEW: --WARN-- [cron001w] cron entry for root does not use full pathname (nmap): # Performing check of anonymous FTP... # Checking printer configuration files...

Diese Meldung besteht aus mehreren durchgeführten System Checks. Hier überprüft Tiger die Cron Einträge (Scheduler unter Linux). Tiger hat festgestellt, dass der Cron Eintrag für nmap falsch ist! Es sollte der ganze Pfad zum Nmap Programm angegeben werden anstatt nur “nmap”.

Hier ein Beispiel wie es sein sollte:

#Nmap scan 5 11 * * sun /usr/bin/nmap --append_output -sU -sT lilith.hack2learn.org

Die anderen Meldungen zeigen nur was Tiger überprüft hat.

Hoffe dies hilft jemanden

Das könnte dich auch interessieren:

:alert, audit, cron, debian, email, installieren, intrusion detection, Linux, meldungen, report

Copyright © www.hack2learn.org
Dieser Beitrag ist für den persönlichen, nicht-kommerziellen Gebrauch bestimmt. Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung ausserhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers.
(Digital Fingerprint: d3d3LmhhY2sybGVhcm4ub3Jn)

Pingback: Server Support Forum

Kommentar RSS Feed abonnieren TrackBack URI

Hy, Willkommen auf hack2learn!
Danke das du vorbei schaust! Du kannst gerne einen Kommentar schreiben, wenn du Fragen hast oder du kannst unseren RSS Feed abonnieren.

Du kannst den RSS Feed auch abonnieren, indem du deine E-Mail in das Eingabefeld eingibst:
Blog durchsuchen
Folge uns
Partner
Wichtige Mitteilung
Wir haben ein Member System aktiviert.
Gewisse Anleitungen, Beiträge und News sind nur noch für hack2learn Member zugänglich.

Bitte beachtet:
Sämtliche Anleitungen, Beiträge und News sowie deren Texte, Bilder & Videos sind, sofern nichts anderes angegeben wurde, Geistiges Eigentum von hack2learn.org und durch die Creative Common Lizenz und das Urheberrecht geschützt.

Sollten wir andere Webseiten dabei erwischen, Beiträge von hack2learn.org als ihre eigenen auszugeben, werden wir die entsprechenden Webseiten Betreiber, unter Vorbehalt von weiteren rechtlicher Schritte, per Unterlassungsklage abmahnen.

Einige von Euch erwähnten bereits, dass es auch schon solche Leute unter den hack2learn Membern geben könnte:
Zuerst möchten wir hier erwähnen, dass wir bisher niemanden verdächtigen - sollten wir aber herausfinden, dass es solche Leute unter den hack2learn Membern gibt, werden wir auch diejenigen ausfindig machen und, unter Vorbehalt von rechtlicher Schritte, per sofort von hack2learn.org verbannen.

Das hack2learn Team.
Letzte Artikel
Neueste Kommentare
iOS Firmware
AppleTV3,1_5.0_9B206f_Restore.ipsw
iOS: 5.0 iDevice: Apple TV 3 Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
AppleTV2,1_5.0_9B206f_Restore.ipsw
iOS: 5.0 iDevice: Apple TV 2 Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
iPhone2,1_5.1.1_9B206_Restore.ipsw
iOS: 5.1.1 iDevice: iPhone 3GS Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
iPhone3,1_5.1.1_9B206_Restore.ipsw
iOS: 5.1.1 iDevice: iPhone 4 Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
iPhone3,3_5.1.1_9B206_Restore.ipsw
iOS: 5.1.1 iDevice: iPhone 4 - Verizon Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
iPhone4,1_5.1.1_9B206_Restore.ipsw
iOS: 5.1.1 iDevice: iPhone 4S Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
iPod3,1_5.1.1_9B206_Restore.ipsw
iOS: 5.1.1 iDevice: iPod Touch 3G Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
iPod4,1_5.1.1_9B206_Restore.ipsw
iOS: 5.1.1 iDevice: iPod Touch 4G Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
iPad1,1_5.1.1_9B206_Restore.ipsw
iOS: 5.1.1 iDevice: iPad Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
iPad2,1_5.1.1_9B206_Restore.ipsw
iOS: 5.1.1 iDevice: iPad 2 - WiFi Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
iPad2,2_5.1.1_9B206_Restore.ipsw
iOS: 5.1.1 iDevice: iPad 2 - GSM Link Status: OK
Jailbreak Tool: Noch kein Jailbreak!
Jailbreak und Helfer Tools
Redsn0w (0.9.11b4) - Windows
iOS: 5.0, 5.0.1, 5.1, 5.1.1
iDevice: Alle iPad, iPhone und iPod Touch
Version: 0.9.11b4
Description: Jailbreak Tool fuer Windows
Kategorie: Jailbreak Tools - Windows

Redsn0w (0.9.11b4) - MacOSX
iOS: 5.0, 5.0.1, 5.1, 5.1.1
iDevice: Alle iPad, iPhone und iPod Touch
Version: 0.9.11b4
Description: Jailbreak Tool fuer MacOSX
Kategorie: Jailbreak Tools - MacOSX

Redsn0w (0.9.11b3) - Windows
iOS: 5.0, 5.0.1, 5.1, 5.1.1
iDevice: Alle iPad, iPhone und iPod Touch
Version: 0.9.11b3
Description: Jailbreak Tool fuer Windows
Kategorie: Jailbreak Tools - Windows

Redsn0w (0.9.11b3) - MacOSX
iOS: 5.0, 5.0.1, 5.1, 5.1.1
iDevice: Alle iPad, iPhone und iPod Touch
Version: 0.9.11b3
Description: Jailbreak Tool fuer MacOSX
Kategorie: Jailbreak Tools - MacOSX

TinyUmbrella (5.11.00b) - MacOSX
iOS: Alle iOS inkl. iOS 5.1.1
iDevice: Alle Apple TV, iPad, iPhone und iPod Touch
Version: 5.11.00b
Description: SHSH Tool fuer MacOSX
Kategorie: SHSH Tools - MacOSX

TinyUmbrella (5.11.00b) - Windows
iOS: Alle iOS inkl. iOS 5.1.1
iDevice: Alle Apple TV, iPad, iPhone, iPod Touch
Version: 5.11.00b
Description: SHSH Tool fuer Windows
Kategorie: SHSH Tools - Windows
Helfer Tools
- Jailbreak & Unlock Wizard
- Download iOS
Zitate von Steve Jobs

Remembering that you are going to die is the best way to avoid the trap of thinking you have something to lose. You are already naked. There is no reason not to follow your heart. (Steve Jobs, 1955-2011)