Eines der besten Mittel zum Entdecken von Angriffen besteht darin, die Logs zu überwachen.
In der Regel speichern Server Spuren ihrer Aktivität - und vor allem aufgetretener Fehler - in bestimmten Dateien.
Bei einem Computerangriff ist es sehr selten, dass es dem Hacker bereits beim ersten Versuch gelingt, ein System zu kompromittieren. Meist geht er nach dem Trial-and-Error Prinzip vor und probiert verschiedene Anfragen.
So kann eine Überwachung der Logs verdächtige Aktivitäten aufdecken. Vor allem ist es wichtig, die Logs der Sicherheitsvorkehrungen zu verfolgen, da sie zum Ziel von Angriffen werden können, egal, wie gut sie konfiguriert sind.
Es ist in der Praxis nicht immer leicht, reale Warnungen von solchen zu unterscheiden, die automatisch von Würmern, Viren und Tools wie Schwachstellen-Analysatoren herausgegeben werden.
Die meisten Angriffe, die ein Server erleidet, sind Angriffe, die das System in keinster Weise kompromittieren können (zum Beispiel die Angriffe der Microsoft IIS Webserver gegen Server von Linux mit Apache).
Daraus entstehen unnötige Warnungen, die den sogenannten « Lärm », herforrufen, der verhindert, dass man sich auf die echten Warnungen konzentrieren kann.
Artikel verfasst am 22 Juli 2005, von Jean-François PILLOU.
