Hetzner - DokuWiki

Leitfaden bei Serversperrung

Inhaltsverzeichnis

Ist mein Server gesperrt?

Falls Ihr Server gesperrt wird, werden Sie in der Regel über die Sperrung per E-Mail informiert.

Darüber hinaus haben Sie die Möglichkeit, selbst zu prüfen, ob Ihr Server von einer Sperrung betroffen ist.

Eine Möglichkeit ist einen Traceroute zu Ihrem Server durchzuführen.

Unter Windows ist Traceroute als tracert.exe aufrufbar. Bei Linux hingegen können Sie mit dem Befehl traceroute die gewünschte Diagnose starten.

Sollte Ihr Server tatsächlich gesperrt worden sein, erhalten Sie eine der Abbildung ähnlichen Ausgabe:

[root@www ~]# traceroute 213.239.XXX.XXX
traceroute to 213.239.XXX.XXX (213.239.XXX.XXX), 30 hops max, 38 byte  packets
1  192.168.0.1 (192.168.0.1)  3.416 ms  2.870 ms  1.964 ms
2  BBRAS-SR-ERX2-DEFAULT.nefkom.de (212.114.214.8)  25.070 ms  15.886  ms  17.453 ms
3  gi1-9.r2.nue2.m-online.net (212.18.6.237)  13.509 ms  13.117 ms   21.906 ms
4  gi3-17.r1.nue1.m-online.net (212.18.6.77)  13.822 ms  12.883 ms  13.028 ms
5  nix-gw.hetzner.de (195.85.217.16)  13.680 ms  13.333 ms   13.045 ms

Der Traceroute endet in diesem Fall nicht an Ihrem Server, sondern am ersten Router der Hetzner Online AG. Die Bezeichnung des Routers ist abhängig vom Uplink, über den Ihre Internetverbindung zum Netzwerk der Hetzner Online AG geroutet wird. Im Regelfall ist die Bezeichnung wie folgt aufgebaut:

(uplink)-gw.hetzner.de

Beispiele für die am häufigsten verwendeten Uplinks lauten:

dtag-gw.hetzner.de
noris-gw.hetzner.de
decix-gw.hetzner.de
nix-gw.hetzner.de

Alternativ zum Traceroute können Sie auch gerne eine Support-Anfrage aus Ihrer Administrationsoberfläche Robot im Menüpunkt Support; Anfragen heraus stellen.

Warum wurde mein Server gesperrt?

Die häufigsten Ursachen für die Sperrung eines Servers sind:

  • Attacken von/auf Ihrem/n Server
  • Beeinträchtigung des Netzwerks durch Portscans
  • Fehlerhafte Netzwerkkonfiguration

Die Sperrungen werden zum einen aus Gründen der Netzwerkstabilität durchgeführt, zum anderen um den Serverinhaber zu schützen.

Durch die Sperrung des Servers wird beispielsweise vermieden, dass ungewollter Traffic generiert wird, der dem Kunden berechnet werden müsste. Des Weiteren besteht durch einen kompromittierten Server die Gefahr, dass darüber illegale Handlungen durchgeführt werden, die Schadensersatzforderungen nach sich ziehen können.

Die Sperrung eines Servers dient somit zum Schutz unserer Kunden vor derartigen Gefahren.

Um die Ursachenanalyse der Sperrung fuer den Kunden zu erleichtern, wird in der entsprechenden Informationsmail ein Logfile angefuegt, welches über die genaueren Gründe der Sperrung informiert.

Dabei gibt es im Wesentlichen 3 Unterschiede.

Information über Port/Netscans

###################################################################
#          Netscan detected from host   x.x.x.x                   #
###################################################################

time                       src_ip         	dest_ip:dest_port
-------------------------------------------------------------------
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.0:   22
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.1:   22
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.2:   22
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.3:   22
.....

Bei diesem Log werden nur die ausgehenden Verbindungen angezeigt und genauer beschrieben, zu welcher Ziel-IP bzw. Ziel-Port die Verbindungen gehen. So lässt sich die Ursache leichter ermitteln.

Zusammenfassende Meldung ueber Paketlimitüberschreitungen

Direction OUT
Internal x.x.x.x
Sum                     62.790 packets/s , 14 MBit/s
External 125.162.12.67, 62.770 packets/s , 13 MBit/s
External 72.14.220.136,      3 packets/s ,  0 MBit/s
External 66.249.72.235       3 packets/s ,  0 MBit/s

In diesem Log wird nicht jede Verbindung einzeln aufgeführt, sondern eine Zusammenfassung des Traffics pro Ziel-IP erstellt. Dabei kann man den verursachten Traffic, die Anzahl der Verbindungen und die dabei auftretenden Paketraten einsehen. Dadurch lässt sich das Ziel einer Attacke erkennen und somit die verursachende Anwendung leichter eingrenzen. Auch in diesem Fall werden nur die ausgehenden Verbindungen erfasst.

Detaillierter Trafficdump

21:44:53.145756 IP x.x.x.x.55008 > 76.9.23.182.29615: UDP, length 9216
21:44:53.145883 IP x.x.x.x.55030 > 76.9.23.182.45527: UDP, length 9216
21:44:53.146007 IP x.x.x.x.55046 > 76.9.23.182.1826: UDP, length 9216
21:44:53.146126 IP x.x.x.x.55064 > 76.9.23.182.34940: UDP, length 9216
21:44:53.146249 IP x.x.x.x.55080 > 76.9.23.182.20559: UDP, length 9216
21:44:53.146371 IP x.x.x.x.55093 > 76.9.23.182.31488: UDP, length 9216
21:44:53.146493 IP x.x.x.x.55112 > 76.9.23.182.56406: UDP, length 9216
21:44:53.146616 IP x.x.x.x.55132 > 76.9.23.182.43714: UDP, length 9216
21:44:53.146741 IP x.x.x.x.55147 > 76.9.23.182.64613: UDP, length 9216
....

Hierbei wird ein detaillierter Trafficdump erstellt, welcher alle (eingehende und ausgehende) Verbindungen enthält. Dabei lassen sich sowohl Verbindungsdaten (Ziel-IP, Ziel-Port), als auch Größe und Art der Pakete einsehen. Da jedes Paket angezeigt wird, ist aufgrund der hohen Menge an Daten nur ein kleiner Teil des Traffics erfasst. Anhand dieser Daten lassen sich Muster erkennen und zur weiteren Analyse nutzen.

Sollten Sie weitere Unterstützung bei der Auswertung der Logfiles benötigen, stehen wir Ihnen gerne zur Verfügung.

Wann wird mein Server freigeschaltet?

Bevor der Server freigeschaltet werden kann, muss die Ursache für die Sperrung behoben sein. Darüber hinaus benötigen wir von Ihnen eine schriftliche Stellungnahme über die Ursache des Fehlverhaltens Ihres Servers sowie Angaben zur Problembehebung und dauerhaften Vorsorge. Dafür steht Ihnen ein Formblatt zum Download bereit.

Um die Ursache für die Sperrung zu beheben, bieten wir Ihnen über Ihre Administrationsoberfläche Robot im Menüpunkt Hauptfunktionen; Server (Schaltfläche "Serversperrung") die Möglichkeit eine IP-Adresse bei uns zu hinterlegen (z. B. die IP-Adresse, die Sie von Ihrem DSL-Provider zugewiesen bekommen haben) von der aus ein Zugriff auf den gesperrten Server gewährt wird. Dies ist allerdings nur möglich, wenn einer der folgenden Sperrgründe vorliegt:

  • Server hat Angriff ausgeführt
  • Server hat Netzwerk gescannt
  • Abuse

In allen anderen Fällen stellen wir Ihnen eine Fernwartungskonsole (LARA) zur Verfügung, mit der Sie Ursachenforschung und Fehlerbehebung betreiben können.

Erst wenn absolut sichergestellt ist, dass das Problem behoben wurde, können wir den Server wieder freischalten. Eine direkte Freischaltung des Server hätte zur Folge, dass die Beeinträchtigung des Netzwerks unverändert fortgeführt wird.

Um eine Fernwartungskonsole zu beantragen, eröffnen Sie bitte ein Support-Ticket über Ihre Administrationsoberfläche Robot im Menüpunkt Support; Anfragen.

Wie kann ich meinen Server auf Sicherheitslücken untersuchen?

Zuerst sollten die Log-Dateien des Servers untersucht werden. Oftmals lassen sich dort Hinweise finden, wie die Schadsoftware in das System eingedrungen ist. Log-Dateien können einem jedoch keine absolute Gewissheit geben, da diese häufig von der Schadsoftware entsprechend verändert oder gelöscht wurden.

Unter http://www.rootkit.nl/ und http://www.chkrootkit.org/ finden Sie Programme, welche Sie bei der Suche nach Schadsoftware unterstützen können.

Um eine Auflistung aller laufenden Prozesse auf dem System zu erhalten, können Sie das Kommando „ps auxf“ verwenden. Eine weitere Möglichkeit sich über Prozesse auf dem System zu informieren, bietet das Programm „top“. Mit diesem Tool erhält man beispielsweise Informationen über die benötigte CPU-Zeit und Speicherverbrauch eines Prozesses.

Sollte Ihnen dabei ein Prozess verdächtig vorkommen, so können Sie diesen mit dem Befehl „lsof“ näher untersuchen. „lsof“ zeigt geöffnete Dateien, Verzeichnisse, Unixsockets, IP-Sockets und Pipes an. Mit den passenden Optionen aufgerufen, zeigt es z.B.

  • alle Dateien und Netzverbindungen, die ein bestimmter Prozess geöffnet hat,
  • alle Prozesse, die eine bestimmte Datei oder Netzverbindung geöffnet haben oder
  • die Namen aller Prozesse, die auf eine Netzverbindung warten.

Um eine detaillierte Auflistung aller geöffneten Dateien und Netzwerkverbindungen eines Prozesses zu bekommen, verwenden Sie das Kommando „lsof -p Prozessnummer“.

Nachdem ein Einbruch in das System festgestellt wurde, sollten folgende Fragen geprüft werden:

  • Werden regelmäßig Sicherheitsupdates für das System durchgeführt?
  • Wurde vor kurzem eine Sicherheitslücke bei einer Software festgestellt, welche auf dem Server zum Einsatz kommt?
  • Kommen unsichere Passwörter zum Einsatz?

Wenn die Ursache für den Einbruch analysiert wurde, stellt sich die Frage nach dem weiteren Vorgehen.

Der sicherste Weg zu einem reibungslosen Betrieb des Server ist eine vollständige Neuinstallation des Betriebssystems. Die Fortführung des Server mit dem kompromittierten Betriebssystem birgt große Gefahren, denn man kann sich zu keinem Zeitpunkt sicher sein, ob wirklich jegliche Schadsoftware gefunden und vollständig entfernt wurde.

Eine Neuinstallation macht jedoch nur dann Sinn, wenn die Ursache für den Einbruch eindeutig identifiziert werden konnte. Eine Neuinstallation ohne die Schließung der Sicherheitslücke wäre nutzlos, da das System über den identischen Weg wieder kompromittiert werden könnte.

Nachdem das Betriebssystem neu installiert wurde, werden meist Backups vom vorherigen System eingespielt. Auch hier ist Vorsicht geboten, da sich unter Umständen die Schadsoftware bereits in den Backups befinden könnte.



© 2019. Hetzner Online GmbH. Alle Rechte vorbehalten.