Server Abuse, Sicherheitsmassnahmen und Sicherheitslücken schliessen
Hallo Admins,
folgende Frage:
Wir haben seit etwa 12 tagen das Problem, dass unser Managed Webserver irgendwo eine Sicherheitslücke aufweist und wohl schon gehackt wurde. Ich habe dazu immer Abusemeldungen von Strato erhalten und habe erstmal jeden Schadcode manuell bereinigt, was aber anscheinend nicht reicht.
Ich habe jetzt ein Firma ins Boot geholt, die sich den Server ansieht und das Ding saubermacht und die Lücken schliesst. Die fangen ab Donnerstag an.
Jetzt würde mich persönlich interessieren, was man jetzt schon mal zusätzlich als Massnahmen ergreifen könnte. Abgesehen davon, alle Passwörter zu änder, was schon passiert ist.
Könnt Ihr mir Tipps geben, was man in so einem Fall als erstes mal machen, bzw, prüfen sollte und mit welchen Tools oder Befehlen?
Danke schonmal.
Greetz
folgende Frage:
Wir haben seit etwa 12 tagen das Problem, dass unser Managed Webserver irgendwo eine Sicherheitslücke aufweist und wohl schon gehackt wurde. Ich habe dazu immer Abusemeldungen von Strato erhalten und habe erstmal jeden Schadcode manuell bereinigt, was aber anscheinend nicht reicht.
Ich habe jetzt ein Firma ins Boot geholt, die sich den Server ansieht und das Ding saubermacht und die Lücken schliesst. Die fangen ab Donnerstag an.
Jetzt würde mich persönlich interessieren, was man jetzt schon mal zusätzlich als Massnahmen ergreifen könnte. Abgesehen davon, alle Passwörter zu änder, was schon passiert ist.
Könnt Ihr mir Tipps geben, was man in so einem Fall als erstes mal machen, bzw, prüfen sollte und mit welchen Tools oder Befehlen?
Danke schonmal.
Greetz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 302271
Url: https://administrator.de/forum/server-abuse-sicherheitsmassnahmen-und-sicherheitsluecken-schliessen-302271.html
Ausgedruckt am: 26.12.2024 um 06:12 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
NurTCP Port 80 und TCP Port 443 geöffnet oder was alles soll dieser managed Server anbieten? Welche möglichkeiten gibt es dort auf dein Server zuzugreifen?
Gruß,
Peter
NurTCP Port 80 und TCP Port 443 geöffnet oder was alles soll dieser managed Server anbieten? Welche möglichkeiten gibt es dort auf dein Server zuzugreifen?
Gruß,
Peter
Hallo,
wenns die selber geschriebene Software ist dann hilft nur von Anfang an sauber programieren!
Man kann seines Systeme selber mit OPENVAS auf bekannte Schwachstellen absuchen.
Ansonsten von entsprechenden Firmen regelmäßig sicherheitsautis machen lassen, quasi ein eigenes Bughuntingprogramm betreiben.
Gegen Schwachstellen in Distributionsprogramen hilft nur immer alle Updates einspielen und mit einer Firewall das System ggf extrem abschotten.
Es ist die Frage wie weit man das betreiben will und kann.
Es ist z.B. möglich die Webserver aus dem Internet für alle IP unerreichbar zu machen und dafür zu sorgen, das die server selber auch keine Verbindung ins Internet aufbauen können.
Einzige Ausnahmen sind die eigene BüroIP, die offiziellen Repositorys und ein vorgeschalteter Reverseproxy/Loadbalancer.
Der vorgeschaltte Rechner nimmt alle http/https Anfragen entgegen und gibt sie an die Webserver weiter, diese antworten dem vorgeschalteten Rechner und der leitet dann zum Besucher die antwort weiter.
So besteht keine direckte Verbindung zwischen Besucher und dem Webserver selber.
Gruß
Chonta
irgendwo eine Sicherheitslücke
wenns die selber geschriebene Software ist dann hilft nur von Anfang an sauber programieren!
Man kann seines Systeme selber mit OPENVAS auf bekannte Schwachstellen absuchen.
Ansonsten von entsprechenden Firmen regelmäßig sicherheitsautis machen lassen, quasi ein eigenes Bughuntingprogramm betreiben.
Gegen Schwachstellen in Distributionsprogramen hilft nur immer alle Updates einspielen und mit einer Firewall das System ggf extrem abschotten.
Es ist die Frage wie weit man das betreiben will und kann.
Es ist z.B. möglich die Webserver aus dem Internet für alle IP unerreichbar zu machen und dafür zu sorgen, das die server selber auch keine Verbindung ins Internet aufbauen können.
Einzige Ausnahmen sind die eigene BüroIP, die offiziellen Repositorys und ein vorgeschalteter Reverseproxy/Loadbalancer.
Der vorgeschaltte Rechner nimmt alle http/https Anfragen entgegen und gibt sie an die Webserver weiter, diese antworten dem vorgeschalteten Rechner und der leitet dann zum Besucher die antwort weiter.
So besteht keine direckte Verbindung zwischen Besucher und dem Webserver selber.
Gruß
Chonta