So stellen Sie einen gehackten Server wieder her

Was brauche ich?

  • Jeder dedizierte oder virtuelle Server
  • CentOS
  • Kitt

Was ist ein kompromittierter Server?

Normalerweise stellen Sie fest, dass Ihr Server gehackt wurde, weil Ihr Rechenzentrum oder Provider Ihr Netzwerk eingeschränkt hat. Oder vielleicht finden Sie es heraus, weil Dienste ausgefallen sind oder Websites unkenntlich gemacht wurden, auf denen Malware zu sehen ist. Es ist eine beängstigende Situation, da man nicht weiß, was los ist, und die unmittelbare Reaktion Panik ist. Am ärgerlichsten ist, dass es immer zum ungünstigsten Zeitpunkt zu passieren scheint. Wenn Sie mehrere Websites und Plattformen für externe Kunden hosten, stellen Sie möglicherweise fest, dass es die unsicheren Praktiken Ihrer Kunden sind, die zu dieser katastrophalen Kompromittierung Ihrer Systeme geführt haben. Bei der Bewältigung dieser Situation gibt es eine Reihe möglicher Möglichkeiten, das Problem zu beheben.

 

  1.  
    Lösen Sie das Problem
    1. Es ist von größter Bedeutung, dass Sie herausfinden, was gehackt oder kompromittiert wird. Dies wird Ihnen eine Reihe von Fragen aufwerfen:
      • Handelt es sich um einen Inbound-Angriff?
      • Handelt es sich um einen Outbound-Angriff?
      • Handelt es sich um Malware, eine entstellte Website oder veränderte/gestohlene Daten?
      • Wie viel Zugriff haben sich die Hacker/böswilligen Akteure in Ihr System verschafft?
      • Hintertür/Skript, das ein Benutzerverzeichnis ausführt?
      • Kompromittierung des Eindringens auf Root-Ebene?
      • Hat Ihr Webhost oder Ihr Rechenzentrum Ihre Netzwerkverbindungen oder Bandbreite eingeschränkt?
      • Verfügen Sie über einen Abhilfeplan für die Wiederherstellung Ihrer kritischen Kundenstandorte?
    2. In einigen Fällen, wenn Ihre Server und Systeme stark kompromittiert wurden, ist es oft schneller, Ihren Server aus einem Image neu zu erstellen. Dies spart Zeit beim Versuch, die Quelle der Kompromittierung vollständig zu lokalisieren und alle beschädigten Dienste und Konfigurationsdateien auf dem Server zu reparieren. Persönlich ist dies keine empfohlene Vorgehensweise, da Sie dadurch nie erfahren, woher die Kompromittierung stammt.
    3. Viele Leute werden faul und versuchen, „einfache“ Hacks zu beheben, indem sie ein früheres oder älteres Backup wiederherstellen. Dies kann funktionieren, wenn sich die Daten nicht wesentlich geändert haben. Allerdings kann die bloße Wiederherstellung eines Backups auch dazu führen, dass Sie nur die Grundlagen der ursprünglichen Kompromittierung wiederherstellen, insbesondere da statistisch gesehen die meisten Kompromittierungen erst lange nach der eigentlichen ursprünglichen Kompromittierungsinjektion erkannt werden.
  1.  
    Erholen Sie sich von eingehenden Angriffen
    1. Ein eingehender Angriff liegt vor, wenn externe Maschinen/Server Ihren Server angreifen. Einige dieser Angriffe versuchen tatsächlich, in Ihren Server einzudringen, andere zielen lediglich darauf ab, Dienste zu stören, indem sie Ihren Server oder Ihr Netzwerk überlasten. Unabhängig von ihrer Absicht verbrauchen alle diese Angriffe Ihre Serverressourcen und machen es dadurch unmöglich, Ihre Website für echte Website-Besucher zu laden.
    2. Verschiedene Arten eingehender Angriffe:
      • Brute Force – mehrere Versuche in schneller Folge, Ihre Admin-Passwörter zu erraten und sich über Ihre Anmeldeseiten oder andere Verbindungsprotokolle Zugang zu verschaffen; zum Beispiel XML-RPC für WordPress, Joomla oder Drupal.
      • Flood-Angriffe – Denial of Service (DOS), der noch stärkere Distributed Denial of Service (DDOS) oder SYNFLOOD-Angriffe. Diese zielen gezielt auf den Server auf verschiedenen Ports und Protokollen ab und fordern viele offene Verbindungen an, die über die Grenzen des Servers hinausgehen. Es ist das Äquivalent dazu, die Telefonleitung einer Person massenhaft anzurufen, um sie für andere Anrufer nicht mehr verfügbar zu machen.
    3. Eingehende Angriffe erkennen
      • Der Server geht zur Neige – das ist ein offensichtliches Zeichen dafür, dass Sie möglicherweise gehackt werden; Vor allem, wenn Sie sonst nichts an der Website geändert haben und der Traffic immer noch derselbe ist.
      • Prüfen Sie, ob die Serverauslastung (CPU) zu hoch ist. Alles, was der Anzahl Ihrer CPU-Kerne entspricht oder darüber liegt, gilt als hoch. zum Beispiel eine Last von „5“, wenn Sie nur 4 Kerne haben. Eine hohe CPU-Auslastung bedeutet normalerweise einen Angriff auf Netzwerkebene, bei dem Dienste bombardiert werden.
        grep-Prozessor /proc/cpuinfo ¦ wc -l
        

        So stellen Sie einen gehackten Server wieder her

      • Überprüfen Sie, ob die Speicherauslastung hoch ist – Hohe Swap-Meldungen in Ihrem Control Panel in zufälligen Abständen sind ebenfalls ein offensichtlicher Indikator. Manchmal erfolgt der Angriff unregelmäßig und sporadisch und Sie müssen nur diese Protokolldateien scannen. Hoher Arbeitsspeicher bedeutet normalerweise einen Angriff auf Softwareebene, bei dem PHP-Skripte bombardiert werden.
        cat /proc/meminfo oder top
        

        So stellen Sie einen gehackten Server wieder her

Abschluss

Bei einer Server- oder Systemkompromittierung ist es wichtig, so ruhig und geduldig wie möglich zu bleiben. Nehmen Sie sich am besten Zeit und versuchen Sie, das Rätsel zu lösen. Auch wenn ein Kompromiss schlecht ist, ist er eine großartige Gelegenheit, herauszufinden, was der Angriffsvektor des böswilligen Akteurs war, und neue Strategien zu dessen Korrektur und Schutz zu entwickeln. Halten Sie Ausschau nach weiteren Anleitungen zum Härten und Reparieren Ihrer Server. demnächst.

  • Möchten Sie Probleme beim Shared Hosting vermeiden? Klicken Sie hier und erfahren Sie mehr über das beste Hosting für dedizierte Server .