Leider kommt es immer wieder vor, dass ein Server gehackt und mit Malware infiziert wird. Wie kann man sich dagegen Schützen und welche Maßnahmen sind in einem solchen Fall möglich? Diese Fragen sollen im Folgenden beantwortet werden.
Ursache – Warum wollen Hacker meinen Server übernehmen?
Je nachdem worauf Angreifer aus sind, können selbst unauffällige, kleine Server lohnende Ziele sein:
- Das Stehlen von Kundendaten ist oftmals lukrativ.
- Für den Aufbau von Botnetzen reichen auch viele Kleinstserver.
- Von einer noch ‚unbekannten‘ IP-Adresse können Blacklisten beim Versenden von Spam umgangen werden.
- Oft kann die Rechenleistung von Nutzen sein, z.B. beim Minen von Bitcoins
- Eher unbemerkt bleibt der SEO-Hack, bei dem unsichtabere Links auf den gehackten Webseiten plaziert werden. Die verlinkte Website wird von Suchmaschinen prominenter behandelt.
Folgende Einfallstore sind für Hacker Ausschlag gebend:
- Sicherheitslücken durch veraltete Software, bzw. nicht eingespielte Patches
- schwache, leicht zu knackende Passworte
- leichtfertiges herausgeben der eigenen Zugangsdaten und root-/Administratorrechten
- schlechte, bzw. nicht angepasste Sicherheitseinstellungen
- Herunterladen und Installieren von Software aus nicht vertrauenswürdigen Quellen
- Kompromittierung durch Spam
Bin ich gehackt worden?
Einen gehackten Server kann man an folgenden Punkten erkennen:
- Der Server versendet Spam
- Die angezeigten Inhalte entsprechen nicht den eingestellten
- Die Auslastung ist ungewöhnlich hoch
- Es finden sich unbekannte, ausführbare Dateien, deren Code nichts mit dem betriebenen Service zu tun hat.
- Einstellungen sind plötzlich deutlich verändert
- Zugangsdaten sind geändert
Einzelne Punkte dieser Liste sind nicht zwingend ein Beweis für einen Hack. Es kann auch passieren, dass ein legitimer Administrator neue Einstellungen ausprobiert oder Passworte ändert. Kenntnisse des Systems und der Möglichkeiten sind also eine elementare Voraussetzung um einen Hack zuverlässig zu erkennen.
Was tun?
Am besten ist natürlich immer der Fall, gar nicht erst gehackt zu werden. Wie man sein System sicher gestalten kann wird im nächsten Abschnitt behandelt. Im Falle einer Kompromittierung des Servers bleiben einem nur noch wenige Optionen, sofern man überhaupt noch Zugriff darauf hat:
- Zugangsdaten ändern
- Updates installieren
- Offensichtliche Skripte suchen und entfernen
- Viren- und Malwarescan
- Nutzeraccounts prüfen und suspekte entfernen
Es wird ausdrücklich darauf hingewiesen, dass diese Maßnahmen keine Garantie sind. Es ist nicht auszuschließen, dass die Kompromittierung nicht gelöst wird oder eine neuer Angriff abgewehrt wird.
Stattdessen sind regelmäßige Backups ein Garant für eine schnelle Lösung. Nach einer Neuinstallation kann mit Hilfe eines aktuellen Backups das nicht beeinträchtigt ist der Ursprungszustand wiederhergestellt werden. In solch einem Fall ist es ratsam die Passworte ebenfalls zu ändern, da es gut möglich ist, dass der Angreifer über diese verfügt.
In jedem Fall ist es unerlässlich schnell zu handeln. Je mehr Zeit verloren geht, desto besser können sich Angreifer und Schadsoftware Ihr System zu Eigen machen. Verschlüsselungstroyaner benötigen Zeit um alle Inhalte zu verschlüsseln. Meistens empfiehlt es sich den Server in ein Lifesystem zu booten.
Mit Hilfe eben eines solchen Lifesystems kann das System gefahrlos untersucht werden und bösartige Skripte gelöscht werden. Auch können Dateien und Ordner gesichert werden, wobei hier unbedingt darauf zu achten ist, dass diese sauber sind.
Wie kann ich mich dagegen schützen?
- Sämtliche eingesetzte Software sollte regelmäßig auf Updates geprüft werden. Veraltete WordPress-Themes, EOL (End Of Live) Software wie PHP 5.6 oder Ubuntu 14 werden nicht mehr zuverlässig mit Sicherheitsupdates gepatcht und bieten für Angreifer leichten Zugriff. Nicht jede Software informiert über mögliche Updates. Es muss folglich proaktiv geprüft werden ob Updates verfügbar sind.
- Ein starkes Passwort ist immer ein probates Mittel, zum Schutz gegen unautorisierten Zugriff. Sämtliche Zugänge zum Server, auch über Web-Panels o.ä., sollten mit zufällig generierten Passworten gesichert sein. Ein sicheres Passwort sollte sowohl Klein- wie auch Großbuchstaben enthalten, Zahlen und Sonderzeichen.
- Der Zugriff via SSH/RDP sollte soweit wie möglich eingeschränkt werden. Darunter fallen u.A. folgende Maßnahmen:
- Ändern des SSH/RDP ports
- Zwei-Faktor-Authentifizierung einführen, z.B. mittels Google Authenticator
- Nutzen von SSH-Keys anstelle von Passworten (Passwortauthentifizierung entsprechend deaktivieren)
- Deaktivieren des root-Logins
- Nutzer explizit whitelisten
- Mit Hilfe einer Anti-Brute-Force Software kann verhindert werden, dass über Brute-Force Angriffe das Passwort bekannt wird. Fail2ban ist einer der wichtigsten Vertreter und für zahlreiche Linuxsysteme sowie MacOS verfügbar. WHM/cPanel wird mit cPHulk Brute Force Protection ausgeliefert, welche nur aktiviert werden muss.
- Die Firewallregeln sollten so strikt wie möglich ausgearbeitet werden. Ausschließlich benötigte Ports sollten offen sein; Zugriff auf andere Ports ausgeschlossen.
- Um eine Infektion über Malware oder Viren zu vermeiden empfiehlt sich der Einsatz Antiviren- bzw. Antimalwareprogrammen:
- Blazescan stellt hier eine gute Möglichkeit für Linuxbasierte Betriebssysteme dar, ebenso wie Linux Malware Detect (kurz: LMD oder maldet).
- Backups schützen zwar nicht aktiv vor Angriffen, sind aber unerlässlich. Regelmäßige Backups vorausgesetzt, kann der Zustand vor einer Infektion problemlos wiederhergestellt werden.
Fazit
Ein Server, der nicht aktuell gehalten und gepflegt wird, ist für Angreifer ein leichtes Spiel. Einen Server zu betreiben/administrieren bringt auch automatisch die Verantwortung mit sich, diesen regelmäßig zu warten und für dessen Sicherheit zu sorgen.
Die beste Versicherung sind regelmäßige Backups. Falls der Server doch einmal infiziert sein sollte, kann nach einer Neuinstallation ein Backup das nicht infiziert ist eingespielt und der Ursprungszustand wieder hergestellt werden.
Zu versuchen einen kompromittierten Server von allem Schädlichen zu befreien gleicht einer Sisyphusarbeit und ist immer mit dem Risiko verbunden, dass doch etwas übersehen wurde. Von dieser Vorgehensweise wird abgeraten.