Ein eigener Server bringt viele Möglichkeiten, aber auch eine gewisse Verantwortung mit sich. Dieser Artikel beantwortet einige Fragen zum Thema Serversicherheit, Angriffe und Missbrauchsmöglichkeiten durch Dritte und was man dagegen tun kann.
Wann ist ein Server "sicher"? Und wovor überhaupt?
- Sicherheit bedeutet, dass nur befugte Personen die Dienste eines Servers nutzen können und schädliches Verhalten unterbunden wird.
Was kann ein Server Schädliches anrichten?
- Ein Server kann, in den falschen Händen, für viele unangenehme Dinge missbraucht werden. Denkbar sind z.B. (und umgekehrt: solches Verhalten impliziert Missbrauch):
- Der Versand von unerwünschten E-Mails (SPAM).
- Angriffsversuche auf andere Rechner (Flooding, Versuche für die Übernahme weiterer Server (Passwörter erraten)).
- Anbieten von illegalen Inhalten (Musik, Filme, Software, anderes urheberrechtliche geschütztes Material ("Warez"))
Aber ich bin doch ein völlig unattraktives Ziel und habe keine geheimen Daten. Warum sollte man gerade MEINEN Server angreifen wollen?
- Für die o.g. Missbrauchsmöglichkeiten spielt es eigentlich keine Rolle, wessen Server missbraucht wird. Die Resource "Server im Internet" ist an sich wertwoll. Da diese Aktivitäten dann von Ihrem Server ausgehen, besteht die Gefahr, dass dieser Missbrauch auf Sie zurück fällt. Angriffe werden nicht in den meisten Fällen durchgeführt, weil auf dem angegriffenen Server für den Angreifer interessante Daten liegen.
Was sind Anzeichen dafür, dass etwas mit dem Server nicht stimmt? Wie erkenne ich eine mögliche Kompromittierung?
- Es gibt eine Reihe von Punkten, die man hier beachten sollte:
- Sie erhalten Beschwerden von Dritten, die Ihnen unerwünschte Zugriffe durch Ihren Server vorwerfen.
- Es entsteht plötzlich unerwartet viel Traffic.
- Der Server reagiert langsamer als sonst.
- Es tauchen Prozesse auf, deren Herkunft Ihnen unklar ist ("ps auxw", "top").
- Es existieren (möglicherweise versteckte) Dateien, die nicht von Ihnen stammen, oft in Verzeichnissen, auf die der Webserver Zugriff hat wie /tmp. ("find /tmp").
- Ein rootkit-Scanner (chkrootkit, rkhunter) meldet Unregelmäßigkeiten.
- Ein Virenscanner meldet infizierte Dateien.
- Es gibt Beschwerden über unerwünschten Mailversand oder Sie bemerken ein ungewöhnlich hohes Mailaufkommen ("mailq", "qmail-qstat").
Wie kann es sein, dass IHR Server bei IHNEN gehackt wird? Sind Sie nicht für die Sicherheit verantwortlich, wenn ich ein Produkt bei Ihnen miete?
- Dies ist nicht der Fall. Bei Produkten, bei denen Sie root- oder Administrator-Zugriff haben, liegen nicht nur die Möglichkeiten, die Ihnen diese Rechte bieten, sondern auch die Pflichten, die sich daraus ergeben bei Ihnen. Dies umfasst die Notwendigkeit, die Software (System und selbst installierte Erweiterungen) selbst zu pflegen und auf dem aktuellen Stand zu halten, sowie regelmäßige Backups zu erstellen.
Was kann ich tun, damit mein Server sicher ist und bleibt?
- Diese Frage läßt sich nicht pauschal beantworten. Wichtig ist im Allgemeinen: Updates und Patches der verwendeten Softwarepakete und Webanwendungen regelmäßig einspielen, sichere Passwörter verwenden, ggf. eine Firewall nutzen. Unserer Erfahrung nach sind unsichere Skripte im Webspace (z.B. Forensoftware, CMS, Mailformulare) in der überragenden Anzahl von Problemfällen die Ursache. Auch die Nutzung von strengen PHP-Sicherheitseinstellungen (safe_mode on, register_globals off, restriktives open_basedir um nur einige zu nennen) bzw. der Verzicht auf Nutzung von Skripten, dir nur mit unsicheren Einstellungen funktionieren, sind hilfreich.
Welche Maßnahmen helfen nicht die Sicherheit des Servers zu erhöhen?
- Hier möchten wir Ihnen einige Beispiele Auflisten, die die Sicherheit des Servers nicht erhöhen:
- Deaktivierung des SMTP-Ports (Port: 25)
Das Kind ist schon in den Brunnen gefallen und der Server scheint gehackt. Was kann ich tun?
- Wenn Sie nicht sicher genug im Aufspüren der Schwachstelle sind, sollten Sie dies über uns beauftragen. Der Aufwand wird mit 25 EUR/15 Minuten berechnet. Die Dauer kann vorher nicht genau angegeben werden. Manchmal reichen 15 Minuten aus, manchmal findet man auch nach mehreren Stunden nicht die Ursache. Gerade bei nur vermutetem Missbrauch, aber auch sonst, können wir nicht garantieren, dass wir überhaupt in der Lage sind, Spuren zu finden. Dies liegt auch daran, dass ein Angreifer (ja nach erlangten Rechten) die Möglichkeit hat, eigene Spuren zu verwischen. Bitte geben Sie daher in Auftrag einen maximalen Zeitrahmen für die Suche an.
Was kann ich tun, wenn meine Domain gehackt wurde?
- Wenn Ihre Domain gehackt wurde, reicht es leider nicht aus die kompromittierten Dateien zu entfernen. Da diese Dateien über eine Schwachstelle/Sicherheitslücke, i.d.R. durch ein veraltetes CMS (Joomla, Wordpress, etc.), kompromittiert werden, ist vorerst das entsprechende CMS auf aktuelle Updates/Patches zu prüfen. Jedoch ist es nicht garantiert, dass damit die Schadinhalte vollumfänglich entfernt wurden, da Angreifer sich Hintertüren einbauen könnten, um eine erneute Kompromittierung vornehmen zu können. Bitte ändern Sie daher die Zugangsdaten zur Domain, löschen Sie alle Inhalte und zugehörigen Datenbanken und spielen Sie neue, sichere Inhalte ein.
Ich möchte zunächst selbst suchen. Wo fange ich an?
- Gute Anfänge sind:
- Gibt es auffällige Prozesse (ps faux) oder Netzwerkverbindungen zu anderen Servern (netstat -plant)?
/var/log/apache2/error_log
: Dort tauchen ggf. Fehlermeldungen boshafter Skripte oder Downloadanzeichen von Malware auf./tmp/
,/var/tmp/
: Da häufig dieses Verzeichnis allgemein schreibbar ist, installieren Angreifer gerne hier zuerst Malware. Ein find/tmp
(find /var/tmp
) fördert oft (versteckte) Dateien zutage.- Habe ich unsichere PHP-Parameter eingestellt (safe_mode off)? Domains, bei denen das der Fall ist sollten zuerst geprüft werden.
- Nutzen Sie oder einer Ihrer User unsichere Passwörter (User "test", Passwort "12345")?
- Mit Programmen wie "chkrootkit" können Sie prüfen, ob bekannte Root-Kits installiert sind ("aptitude install chkrootkit").
Wie kann ich den Täter dingfest machen?
- Leider führt eine Suche zwar oft zu einer Erkenntnis, wie der Angriff möglich war, den Urheber kann man aber nur selten ermitteln. Dies liegt daran, dass Angreifer oft selbst wiederum kompromittiere Systeme als Ausgangspunkt für Angriffe verwenden oder anders anonym vorgehen.
Natürlich können Sie Anzeige bei den Behörden erstatten. Bitte haben Sie aber Verständnis dafür, dass wir nicht rechtsberatend tätig werden können.
Warum "sogenannte Hacker" und nicht "Hacker"?
- Die Definition des Begriffes ist nicht einheitlich, eine gute Quelle aber z.B. http://koeln.ccc.de/archiv/drt/hacker-howto-esr.html.