3
Server Abuse, Sicherheitsmassnahmen und Sicherheitslücken schliessen
Hallo Admins,
folgende Frage:
Wir haben seit etwa 12 tagen das Problem, dass unser Managed Webserver irgendwo eine Sicherheitslücke aufweist und wohl schon gehackt wurde. Ich habe dazu immer Abusemeldungen von Strato erhalten und habe erstmal jeden Schadcode manuell bereinigt, was aber anscheinend nicht reicht.
Ich habe jetzt ein Firma ins Boot geholt, die sich den Server ansieht und das Ding saubermacht und die Lücken schliesst. Die fangen ab Donnerstag an.
Jetzt würde mich persönlich interessieren, was man jetzt schon mal zusätzlich als Massnahmen ergreifen könnte. Abgesehen davon, alle Passwörter zu änder, was schon passiert ist.
Könnt Ihr mir Tipps geben, was man in so einem Fall als erstes mal machen, bzw, prüfen sollte und mit welchen Tools oder Befehlen?
Danke schonmal.
Greetz
folgende Frage:
Wir haben seit etwa 12 tagen das Problem, dass unser Managed Webserver irgendwo eine Sicherheitslücke aufweist und wohl schon gehackt wurde. Ich habe dazu immer Abusemeldungen von Strato erhalten und habe erstmal jeden Schadcode manuell bereinigt, was aber anscheinend nicht reicht.
Ich habe jetzt ein Firma ins Boot geholt, die sich den Server ansieht und das Ding saubermacht und die Lücken schliesst. Die fangen ab Donnerstag an.
Jetzt würde mich persönlich interessieren, was man jetzt schon mal zusätzlich als Massnahmen ergreifen könnte. Abgesehen davon, alle Passwörter zu änder, was schon passiert ist.
Könnt Ihr mir Tipps geben, was man in so einem Fall als erstes mal machen, bzw, prüfen sollte und mit welchen Tools oder Befehlen?
Danke schonmal.
Greetz
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 302271
Url: https://administrator.de/contentid/302271
Printed on: April 18, 2024 at 02:04 o'clock
3 Comments
Latest comment
Hallo,
NurTCP Port 80 und TCP Port 443 geöffnet oder was alles soll dieser managed Server anbieten? Welche möglichkeiten gibt es dort auf dein Server zuzugreifen?
Gruß,
Peter
NurTCP Port 80 und TCP Port 443 geöffnet oder was alles soll dieser managed Server anbieten? Welche möglichkeiten gibt es dort auf dein Server zuzugreifen?
Gruß,
Peter
Moin,
In dem anderen Thread wurde Dir schon gesagt, daß das "Reparieren" vermutlich ein hoffnungsloses Unterfange ist.
Mach ein Image von der Kiste, mach sie platt und setz alles frisch auf. Dann analysierts Du in Ruhe das Image ohen den rest der Welt zu gefährden.
lks
In dem anderen Thread wurde Dir schon gesagt, daß das "Reparieren" vermutlich ein hoffnungsloses Unterfange ist.
Mach ein Image von der Kiste, mach sie platt und setz alles frisch auf. Dann analysierts Du in Ruhe das Image ohen den rest der Welt zu gefährden.
lks
Hallo,
wenns die selber geschriebene Software ist dann hilft nur von Anfang an sauber programieren!
Man kann seines Systeme selber mit OPENVAS auf bekannte Schwachstellen absuchen.
Ansonsten von entsprechenden Firmen regelmäßig sicherheitsautis machen lassen, quasi ein eigenes Bughuntingprogramm betreiben.
Gegen Schwachstellen in Distributionsprogramen hilft nur immer alle Updates einspielen und mit einer Firewall das System ggf extrem abschotten.
Es ist die Frage wie weit man das betreiben will und kann.
Es ist z.B. möglich die Webserver aus dem Internet für alle IP unerreichbar zu machen und dafür zu sorgen, das die server selber auch keine Verbindung ins Internet aufbauen können.
Einzige Ausnahmen sind die eigene BüroIP, die offiziellen Repositorys und ein vorgeschalteter Reverseproxy/Loadbalancer.
Der vorgeschaltte Rechner nimmt alle http/https Anfragen entgegen und gibt sie an die Webserver weiter, diese antworten dem vorgeschalteten Rechner und der leitet dann zum Besucher die antwort weiter.
So besteht keine direckte Verbindung zwischen Besucher und dem Webserver selber.
Gruß
Chonta
irgendwo eine Sicherheitslücke
wenns die selber geschriebene Software ist dann hilft nur von Anfang an sauber programieren!
Man kann seines Systeme selber mit OPENVAS auf bekannte Schwachstellen absuchen.
Ansonsten von entsprechenden Firmen regelmäßig sicherheitsautis machen lassen, quasi ein eigenes Bughuntingprogramm betreiben.
Gegen Schwachstellen in Distributionsprogramen hilft nur immer alle Updates einspielen und mit einer Firewall das System ggf extrem abschotten.
Es ist die Frage wie weit man das betreiben will und kann.
Es ist z.B. möglich die Webserver aus dem Internet für alle IP unerreichbar zu machen und dafür zu sorgen, das die server selber auch keine Verbindung ins Internet aufbauen können.
Einzige Ausnahmen sind die eigene BüroIP, die offiziellen Repositorys und ein vorgeschalteter Reverseproxy/Loadbalancer.
Der vorgeschaltte Rechner nimmt alle http/https Anfragen entgegen und gibt sie an die Webserver weiter, diese antworten dem vorgeschalteten Rechner und der leitet dann zum Besucher die antwort weiter.
So besteht keine direckte Verbindung zwischen Besucher und dem Webserver selber.
Gruß
Chonta
