Hetzner - DokuWiki

Tips zur Vorgehensweise bei gehacktem Server

Vorbemerkung:

Die einzig sichere Möglichkeit, einen gehackten Server zu säubern, ist nach wie vor die Neuinstallation. Um den Server danach jedoch entsprechend abzusichern, sollte man vor dem Neuaufsetzen versuchen, herauszufinden, wie der Server gehackt wurde.

Ansatzmöglichkeiten:

1.) Logfiles

oftmals kann man hierüber Informationen bekommen, wie der Hacker eingedrungen ist Wenn man offsite Backups hat. Ansonsten ist diesen logs nicht zu trauen, wenn sie denn ueberhaupt noch existieren.

2.) Hilfs-Programme

Tools wie z.B. chkrootkit unterstützen einen bei der Suche nach dem Eindringling Auch erwaehnenswert sind tiger u. tripwire.

3.) Software-Updates

Wie aktuell ist das System? Hat man regelmäßig alle Updates eingespielt? Hm, unter Debian zumindest gibt es apticron u. rc-alert(devscripts package).

4.) Sicherheitslücken

benutzt man Software, die bekannt für Schwachstellen ist? Ein Beispiel hierfür wären z.B. php-Anwendungen. Sind gerade Sicherheitslücken bekannt geworden? Gibt es Patches, die noch nicht ins System eingespielt wurden? Unter Debian die harden Pakete installieren.

5.) unbekannte Dateien

sind auf dem Server Dateien zu finden, deren Ursprung unbekannt sind? changetrack, tripwire ...

6.) Ports

welche Ports sind offen? Dies kann man sehr gut auch von extern testen, in dem man ein Programm wie nmap gegen seinen eigenen(!) Server laufen lässt. Auch kennen sollte man lsof, fuser u. netstat. Mit netstat mal als root netstat -anptlu aufrufen.

Auch wenn eine Neuinstallation viel Aufwand bedeutet, sollte man diese unbedingt durchführen. Ist ein Server einmal gehackt worden, kann man im Grunde keiner Anwendung mehr trauen. Jede installierte Software könnte vom Angreifer verändert oder ausgetauscht worden sein.