Mein Server wurde gehackt, was soll ich tun ?

fehlt wasgeht sogutsehr guthat geholfen (No Ratings Yet)
Loading ... Loading ...
Werbung




Server gehackt, wie geht das?

Ein Server bietet bestimmte Dienste an. Wenn diese Dienste nur aus Mail oder ähnlichem bestehen, bei der die Software einen vorgegebenen Weg abläuft, ist dieser Server relativ sicher. Solche Software ist zumeist geprüft und Schwachstellen sind ausgemerzt. Hin und wieder treten allerdings auch hier Fehler auf (z.B. im Kernel), die einem Einbrecher dann doch root-Rechte geben können. Server, die Webdienste oder FTP-Dienste anbieten, jegliche Anwender also erstmal schon auf das System lassen, sind leichter zu hacken. Meist durch ungesicherte oder schlecht programmierte Scripts erlangen die Hacker die Kontrolle über das System. Jeder Server bedarf einer ständigen Überwachung.Auch wenn man eine Firewall laufen hat, heisst das nicht, dass ein selbstprogrammiertes Script oder ein Script-Paket, welches frei zum download ist, nicht für Hackangriffe benutzt werden können. Hier hilfe eine Firewall nämlich garnicht. Wie kommt der Hacker auf das System. Er bentutz solche gefährteten Scripte und läd meist ein eigenes Systemüberwachungsskript auf den Server. Mittels dieses Scriptes hat er dann Zugriff auf das Dateisystem, kann Daten herunterladen oder verändern, oder kann auch Systemeinstellungen verändern. Ein weiterer Weg sind auftretende Schwachstellen in Systemprogrammen. Ein FTP-Server, der mit einer veralteten Software läuft, kann mittels Speicherüberlastungen den FTP Dienst zum Absturz bringen und der Angreifer kann somit root-Rechte erlangen.

Server gehackt, wie merke ich das?

Eine tägliche Arbeit eines jeden Administrators ist das prüfen der Logfiles. Es gibt verschiedene Tools, die einen Server überwachen. Das Tool pflogsum scann die Mail-Logs und der Administrator kann sich eine zusammenfassende Statistik zuschicken lassen. Bemerkt man hier, dass das Mailaufkommen überdurchschnittlich gestiegen ist, kann man von einem Hackangriff ausgehen, bei dem der Server zum spammen missbraucht wird. Das Tool awstats oder webalizer scannt die Logfiles der Webserver und erstellt eine Statistik. Auch hier kann man z.B. erkennen, ob ein Zugriff auf bestimmte Skripte überdurchschnittlich erfolgt. Wenn ja, sollte man sich dieses Skript genauer ansehen, es könnte sein, dass es einen Backdoor aufweisst. So gibt es mehrere Tools, die auch die Logfiles von FTP oder ssh überwachen. Viele Provider bieten zusätzlich sogenannte Traffic-Logs an, mansche verschicken diese sogar täglich per email (Strato). Hier sollte der Traffic im Durchschnitt liegen. Auch ein Anzeichen für einen gehackten Server ist, wenn er nicht mehr das tut, was man von ihm erwartet.

Server gehackt, was soll ich nun tun?

Wenn der Server gehackt wurde, muss man zunächst sehen, dass keine weitere Komprommitierung möglich ist, bzw. die Aktionen, die der Server durch den Einbruch ausführt, nicht weiter abarbeitet.

Die meisten Provider bieten ein sogenanntes Rescue-System an. Dies ist eine Minimalkonfiguration, mit dem der Server gestartet werden kann und sämtliche Dienste deaktiviert sind. Meist läuft in diesem Fall auch kein Netzwerk und der Server ist von aussen nicht mehr erreichbar. Hier muss sich der Administrator dann per SSH-Konsole auf den Server aufschalten.

Nun folgt der wohl wichtigste Schritt: Spuren sichern, Logfiles prüfen Wenn die Logfiles nicht gelöscht wurden – was die meisten Hacker allerdings als erstes tuen – müssen diese gesichert werden, am besten auf den heimischen PC. Diese können später als Beweismittel bei der Polizei verwendet werden. Danach kann man sich noch die Daten ansehen, die auf dem Server liegen. Hier ist es wichtig, zu erkennen, welcher Art von kompromittierung der Server erlitten hat. Auch die veränderten Dateien können noch gesichert werden.

Den Server nun komplett herunterfahren – ein ausgeschalteter Server ist der sicherste Server. Er kann nicht weiter benutzt werden und es können auch keine Dateien gelöscht werden. Nun muss man sich an die Logfiles machen, sie müssen geprüft werden und Auffälligkeiten müssen herausgefiltert werden. Diese kann man dann separat ausdrucken oder in einer separaten Datei sichern.

Nun kommt der unangenehme Teil.Je nach Schwere der Serverübernahme kann man zur Polizei gehen und Anzeige erstatten. Falls IPs gefunden wurden, muss man den jeweiligen Provider verständigen. Am besten durch einen Telefonanruf und einem darauffolgendem Fax muss man den Provider darüber informieren, dass man Anzeige erstatten wird. Die Staatsanwaltschaft wird sich dann weiterhin die Logs des Providers vornehmen um den zu der IP passenden Benutzer ausfindig zu machen. Wichtig ist es auch, dass man seinen eigenen Provider verständigt. Es wäre sinnvoll, sich von der Festplatte des Servers eine Datesicherung auf CD machen zu lassen, die man dann der Polizei mit übergeben kann. Server gehackt, was passiert nun mit dem Server? Falls eine Datensicherung gemacht wurde und man diese in den Händen hält, gibt es eigentlich keinen Grund, den Server nicht wieder einzusetzen. Einzusetzen heisst in diesem Falle komplett neu aufsetzen – ein nagelneues Image aufspielen und sämtliche Updates durchführen. Auch sollten für sämtliche Dienste neue Passwörter vergeben werden. Die Schwachstelle, die beim Einbruch auf das System benutzt wurde, muss geschlossen werden. Gefährtete Scripts dürfen nicht wieder eingesetzt werden.

Falls durch den Servereinbruch eine zu grosse Trafficrechnung zu bezahlen ist, sollte man mit der Rechnungsstelle Rücksprache halten und diese darüber informieren, dass Anzeige erstattet wurde.

Zu Beachten ist aber immer: Der Administrator ist für seinen Server verantwortlich. Das heisst, dass Rechnungen, die durch die Kompromittierung entstehen, auch bezahlt werden müssen. Falls der Einbrecher ermittelt werden kann, kann man den entstandenen Schaden nur wieder einklagen.

bisherige Suchbegriffe:

  • server gehackt was tun
  • server gehackt linux
  • strato server gehäckt
  • Haftung Server gehackt
  • Kann ich Anzeige erstatten wenn mein Internet gehackt wird


Werbung


Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *


*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>