wescraven07
Goto Top

Server Abuse, Sicherheitsmassnahmen und Sicherheitslücken schliessen

Hallo Admins,
folgende Frage:
Wir haben seit etwa 12 tagen das Problem, dass unser Managed Webserver irgendwo eine Sicherheitslücke aufweist und wohl schon gehackt wurde. Ich habe dazu immer Abusemeldungen von Strato erhalten und habe erstmal jeden Schadcode manuell bereinigt, was aber anscheinend nicht reicht.
Ich habe jetzt ein Firma ins Boot geholt, die sich den Server ansieht und das Ding saubermacht und die Lücken schliesst. Die fangen ab Donnerstag an.

Jetzt würde mich persönlich interessieren, was man jetzt schon mal zusätzlich als Massnahmen ergreifen könnte. Abgesehen davon, alle Passwörter zu änder, was schon passiert ist.

Könnt Ihr mir Tipps geben, was man in so einem Fall als erstes mal machen, bzw, prüfen sollte und mit welchen Tools oder Befehlen?

Danke schonmal.

Greetz

Content-ID: 302271

Url: https://administrator.de/forum/server-abuse-sicherheitsmassnahmen-und-sicherheitsluecken-schliessen-302271.html

Ausgedruckt am: 26.12.2024 um 06:12 Uhr

Pjordorf
Pjordorf 19.04.2016 um 17:34:36 Uhr
Goto Top
Hallo,

Zitat von @wescraven07:
dass unser Managed Webserver irgendwo
NurTCP Port 80 und TCP Port 443 geöffnet oder was alles soll dieser managed Server anbieten? Welche möglichkeiten gibt es dort auf dein Server zuzugreifen?

Gruß,
Peter
Lochkartenstanzer
Lochkartenstanzer 19.04.2016 um 19:16:40 Uhr
Goto Top
Moin,

In dem anderen Thread wurde Dir schon gesagt, daß das "Reparieren" vermutlich ein hoffnungsloses Unterfange ist.

Mach ein Image von der Kiste, mach sie platt und setz alles frisch auf. Dann analysierts Du in Ruhe das Image ohen den rest der Welt zu gefährden.

lks
Chonta
Chonta 20.04.2016 um 08:29:47 Uhr
Goto Top
Hallo,

irgendwo eine Sicherheitslücke

wenns die selber geschriebene Software ist dann hilft nur von Anfang an sauber programieren!
Man kann seines Systeme selber mit OPENVAS auf bekannte Schwachstellen absuchen.
Ansonsten von entsprechenden Firmen regelmäßig sicherheitsautis machen lassen, quasi ein eigenes Bughuntingprogramm betreiben.

Gegen Schwachstellen in Distributionsprogramen hilft nur immer alle Updates einspielen und mit einer Firewall das System ggf extrem abschotten.

Es ist die Frage wie weit man das betreiben will und kann.
Es ist z.B. möglich die Webserver aus dem Internet für alle IP unerreichbar zu machen und dafür zu sorgen, das die server selber auch keine Verbindung ins Internet aufbauen können.
Einzige Ausnahmen sind die eigene BüroIP, die offiziellen Repositorys und ein vorgeschalteter Reverseproxy/Loadbalancer.
Der vorgeschaltte Rechner nimmt alle http/https Anfragen entgegen und gibt sie an die Webserver weiter, diese antworten dem vorgeschalteten Rechner und der leitet dann zum Besucher die antwort weiter.
So besteht keine direckte Verbindung zwischen Besucher und dem Webserver selber.

Gruß

Chonta