E-Mail wurde erfolgreich versandt.
FAQ #441
Artikel editieren
Artikel weiterleiten

So prüfen Sie die Sicherheit Ihres Linux- oder Windows-Servers

Server sind bevorzugte Ziele für Angreifer, da sie über genügend Rechenleistung verfügen, um im Verbund andere Ziele im Internet anzugreifen. Mit diesem Leitfaden können Sie prüfen, ob Ihr Server kompromittiert wurde. Regelmäßige Überprüfungen und die Umsetzung von Sicherheitstipps gewährleisten zusätzlichen Schutz. Es ist wichtig zu begreifen, dass keine Plattform vollständig immun ist – selbst für Linux, das oft als sicher erachtet wird, gab es Angriffe aufgrund von Sicherheitslücken.

Das regelmäßige Erstellen von Backups stellt sicher, dass Sie bei Bedarf schnell reagieren können. Nutzer von V-Servern können über den Server-Login unter Backup & Recovery > BackupControl ihre Backups steuern. Für dedizierte Server können Sie STRATO Managed Backup zur Planung Ihrer Sicherungen oder den optionalen FTP-Speicher zur Datensicherung nutzen.

✔️➖Dieser Artikel gilt für folgende Serverklassen +
VC, PA-C, VDSV, PA-SCP, PA-CPC, D, PA-D
Linux✔️✔️✔️✔️
Windows✔️✔️✔️✔️
ServerCloud✔️
Managed Server
Inhaltsverzeichnis Inhaltsverzeichnis

Verdächtige Prozesse prüfen

Ein erfolgreiches Eindringen ist nicht immer sofort sichtbar, da Angreifer oft versuchen, Prozesse fernzusteuern. Die Überprüfung der auf dem Server laufenden Prozesse kann daher hilfreiche Hinweise liefern.

Bei Linux-Servern

Rufen Sie auf Ihrem Linux-Server mit einer SSH-Verbindung die Prozessliste über das Kommando sudo ps aux auf. Der sudo-Befehl sollte verwendet werden, um alle Prozesse mit Administratorrechten anzeigen zu dürfen. Für eine gründliche Untersuchung leiten Sie die Ausgabe in eine Datei um, die Sie mit einem Textbetrachter wie less anzeigen können:

sudo ps aux > prozesse.txt
less prozesse.txt

Beachten Sie Programme, die aus ungewöhnlichen Verzeichnissen gestartet werden, wie z.B. /usr/local/bin, /var/www oder /tmp.

Bei Windows-Servern

Loggen Sie sich per RDP (Remote Desktop) in Ihren Server ein. Verwenden Sie den Server Manager, um laufende Dienste und Ereignisse zu überwachen. Für detaillierte Prozessinformationen empfiehlt sich der Process Explorer von Sysinternals (erhältlich im Microsoft Technet). Auf auffällige Prozesse kann per Rechtsklick und der Auswahl von Check VirusTotal ein Online-Check gestartet werden.

Monitoring als Frühwarnsystem

Nutzen Sie den im Server-Paket enthaltenen Monitoring-Service als Frühwarnsystem. Dieser meldet ungewöhnlich hohe Ressourcennutzung durch Dienste oder Prozesse.


Sie vermuten der Server ist kompromittiert?

Wenn Sie den Verdacht haben, dass Ihr Server kompromittiert wurde, führen Sie folgende Schritte aus:

Bei Linux-Servern

Installieren Sie den Open-Source-Virenscanner ClamAV (ist oft in den Software-Repositories verfügbar):

Für Debian/Ubuntu:

sudo apt-get update
sudo apt-get install clamav clamav-freshclam

Für AlmaLinux/RockyLinux:

sudo dnf install clamav clamav-update`

Führen Sie danach einen Scan der gesamten Festplatte durch:

clamscan -r /

Bei Windows-Servern

Nutzen Sie einen Online-Virenscanner wie F-Secure Online Scanner, um Ihre Maschine auf Schadsoftware zu überprüfen. Alternativ können Sie den kostenpflichtigen Avast Business Antivirus installieren, um kontinuierlichen Schutz zu gewährleisten.

Tools für den Notfall

Sollte Ihr Server befallen sein, können folgende Tools zur Bereinigung genutzt werden:

  1. Malicious Software Removal Tool von Microsoft
  2. Kaspersky Virus Removal Tool
  3. Bitdefender Rootkit Remover


Mögliche Sicherheitslücken

Server und Dienste (z.B. Apache, MySQL) müssen regelmäßig aktualisiert werden, um Sicherheitslücken zu schließen. Selbstverwaltete Aktualisierungen sind essentiell, auch wenn STRATO bei kritischen Lücken informiert.

Betriebssystem aktuell halten

Halten Sie Ihr Betriebssystem aktuell, um Sicherheitslücken zu vermeiden.

Für Debian/Ubuntu:

sudo apt-get update && sudo apt-get upgrade

Für AlmaLinux/RockyLinux:

sudo dnf update

Dienste auf Linux-Servern updaten

Überprüfen und aktualisieren Sie regelmäßig zentrale Dienste wie Apache oder PHP, um gegen Schwachstellen geschützt zu sein. Ziehen Sie alternative Paketquellen in Betracht, wenn offiziell angebotene Pakete nicht die neuesten Sicherheitsupdates enthalten.

Installierte Software checken

Halten Sie auch Softwarepakete wie Content-Management-Systeme (z.B. Wordpress) aktuell, da diese oft Ziel von Angriffen sind. Aktualisierungen können gewöhnlich über die Verwaltungsoberfläche der Software vorgenommen werden.

Offene Ports prüfen

Verwenden Sie NMAP oder Zenmap auf einem anderen Rechner, um von außen auf offene Ports Ihres Servers zu scannen. Führen Sie den Scan vom Internet aus durch, um den tatsächlichen Angriffsvektor zu erkennen.

Kurze Profi-Tipps für noch mehr Sicherheit

  1. Passwörter:
    Nutzen Sie lange Passwörter (z.B. Sätze). Sie sind sicherer als kurze, komplizierte Kombinationen.

  2. SSH-Zugang nur per Key:
    Wechseln Sie zu SSH-Schlüsseln statt Passwörtern, um die Sicherheit zu erhöhen.

  3. Angriffsversuche erkennen:
    Tools wie psad können helfen, Angriffe durch verdächtige Zugriffsmuster zu identifizieren.

  4. Manipulierte Dateien erkennen:
    Nutzen Sie tripwire, um Änderungen in kritischen Verzeichnissen zu überwachen.

  5. IP-Anfragenrate begrenzen (Windows-Server):
    Modul für IIS zur Begrenzung der Anfragenanzahl pro IP verwenden.

  6. Administrator-Benutzername ändern (Windows-Server):
    Ändern Sie den Standard-Benutzernamen "Administrator", um den Zugang zu erschweren.

War dieser Text hilfreich für Sie?
Info: 136e5c7343206472d41918c051a8606f43c77c2a