Wurde ich gehackt?
Es ist nicht immer einfach herauszufinden, ob Ihr Server gehackt wurde. Hacker geben sich große Mühe, ihre Malware oder andere bösartige Software und die damit verbundenen Aktivitäten so weit wie möglich zu verbergen. Dennoch gibt es einige Anzeichen dafür, wie man einen gehackten Server erkennen kann.
Hier sind ein paar Beispiele:
- der angezeigte Inhalt stimmt nicht mit dem hochgeladenen überein
- der Server versendet Spam
- die Auslastung ist außergewöhnlich hoch
- es finden sich unbekannte, ausführbare Dateien, die nichts mit den laufenden Diensten zu tun haben
- Einstellungen werden plötzlich geändert
- Anmeldedaten werden geändert
Einzelne Punkte sind nicht unbedingt ein Beweis für einen Hack. Es kann auch passieren, dass ein legitimer Administrator neue Einstellungen ausprobiert oder Passwörter ändert. Kenntnisse über das System und die Möglichkeiten sind daher eine Grundvoraussetzung, um einen Hacking-Vorfall zuverlässig zu erkennen.
Warum wollen Hacker meinen Server hacken?
Wenn Sie den Verdacht haben, dass Ihr Server gehackt wurde, fragen Sie sich oft, warum es Hacker auf Ihren Server abgesehen haben. Aber auch wenn Sie als Privatperson nur einen relativ unauffälligen oder kleinen Server mit wenig Inhalt betreiben, kann es sich für die Hacker lohnen, Ihren Server zu übernehmen. Hier ein paar Beispiele:
- Daten können gegen Lösegeld verschlüsselt werden
- Der Diebstahl von Kundendaten erweist sich oft als lukrativ
- für den Einsatz in einem Bot-Netz ist eine große Anzahl kleiner Server höchst effektiv
- die Verwendung „unbekannter“ IP-Adressen ist ein guter Weg, um beim Spam-Versand Blocklisten zu umgehen
- die Rechenleistung kann nützlich sein, z.B. zum Mining von Bitcoin
- ein SEO-Hack, bei dem versteckte Links auf die gehackte Website gesetzt werden, wird nur selten entdeckt. Die verlinkte Website wird für Suchmaschinen wichtiger sein.
Welche Gründe gibt es, dass mein Server gehackt wurde?
- schwache Passwörter / fehlende SSH-Schlüssel
- veraltete und nicht gepatchte Software ist eine große Sicherheitslücke
- unvorsichtige Weitergabe der eigenen Zugangsdaten und Root/Administrator-Rechte
- falsche Sicherheitseinstellungen
- Herunterladen und Installieren von Software aus nicht vertrauenswürdigen Quellen
- Kompromittierung durch bösartige Links in Emails
Wie kann ich mich vor einem Angriff schützen?
- Alle Programme sollten regelmäßig auf Aktualisierungen überprüft werden. Veraltete WordPress-Themes, EOL-Software (End of Life) wie PHP 5.6 oder Ubuntu 14 werden nicht mehr mit Sicherheitsupdates versorgt und bieten ein leichtes Ziel. Nicht jede Software benachrichtigt Sie über Updates. Sie müssen proaktiv nach Updates suchen.
- Ein starkes Passwort ist immer eine gute Option gegen unbefugten Zugriff. Alle Zugangspunkte Ihres Servers, einschließlich der (Web-)Panels, sollten durch ein zufällig generiertes Passwort gesichert sein. Ein sicheres Passwort sollte Klein- und Großbuchstaben, Zahlen und Sonderzeichen enthalten.
Der SSH/RDP-Zugang sollte so weit wie möglich eingeschränkt werden. Dazu gehören die folgenden Maßnahmen:
-Änderung der SSH/RDP-Ports
-Verwendung einer Zwei-Faktor-Authentifizierung, z. B. über Google Authenicator
-Verwendung von SSH-Schlüsseln anstelle von Passwörtern (die Passwort-Authentifizierungen sollten entsprechend deaktiviert werden)
-Deaktivierung des Root-Logins
-Benutzer explizit zulassen
- Der Einsatz einer entsprechenden Anti-Brute-Force-Software kann verhindern, dass Ihr Passwort bekannt wird. Fail2ban ist ein wichtiger Vertreter und sowohl für zahlreiche Linux-Systeme als auch für MacOS verfügbar. WHM/cPanel wird mit dem Brute-Force-Schutz cPHulk ausgeliefert, der nur noch aktiviert werden muss.
- Die Firewall-Regeln sollten so streng wie möglich sein. Ausschließlich benötigte Ports sollten geöffnet und der Zugang zu anderen Ports gesperrt sein.
- Obwohl Backups keinen aktiven Schutz vor Angriffen bieten, sind sie unverzichtbar. Wenn regelmäßige Backups durchgeführt werden, kann der Zustand vor der Infektion leicht wiederhergestellt werden.
Fazit
Zusammenfassend lässt sich sagen, dass die Serversicherheit ein entscheidender Aspekt für die Sicherung Ihrer digitalen Werte und den Schutz Ihrer geschäftlichen oder persönlichen Daten vor möglichen Cyberangriffen ist. Obwohl der Vorfall, dass ein Server gehackt wurde, alarmierend sein kann, ist es wichtig, Ruhe zu bewahren und sofortige Maßnahmen zu ergreifen. Wenn Sie die in diesem Artikel beschriebenen Schritte befolgen, können Sie die Folgen eines Server-Hacks effektiv bewältigen.