Ich habe von meinem ISP eine E-Mail erhalten, dass mein Server mehrmals versucht hat, per SSH auf einen anderen Server zuzugreifen. Ich habe mehrere Scans auf der gesamten Maschine ausgeführt, aber es hat nichts ergeben.
Irgendeine Idee, wie ich die Malware entfernen und das Sicherheitsproblem beheben kann?
Antwort1
Als IT-Sicherheitsexperte lautet die richtige Reaktion auf jedes Sicherheitsrisiko einer kompromittierten Maschine:Deaktivieren Sie die betroffenen Systeme (schalten Sie sie vollständig aus oder trennen Sie sie sofort vom Netzwerk und isolieren Sie sie, wenn Sie das System und die Sicherheitslücke analysieren möchten) und säubern Sie sie aus dem Orbit. Säubern Sie sie, stellen Sie wichtige Daten aus sauberen Backups wieder her und installieren Sie das saubere Betriebssystem neu.
Sobald dies erledigt ist, müssen Sie sicherstellen, dass alle Anwendungen auf diesem System gehärtet und gesperrt werden. Wenn Sie eine Webanwendung wie Wordpress oder ähnliches ausführen, müssen Sie diese wahrscheinlich ständig mit Patches versorgen. Wenn Sie Ihrem fail2banSystem eine Lösung hinzufügen und diese für Ihre verschiedenen Anwendungen aktivieren, können Sie verhindern, dass Dinge, die ausgelöst werden, aufgrund anhaltender Angriffsversuche für einen bestimmten Zeitraum an der Firewall blockiert werden.
(Die ordnungsgemäße Absicherung Ihres Systems und der Anwendungen ist eine sehr UMFASSENDE Angelegenheit, die zu umfangreich für diesen einzelnen Beitrag ist. Sie muss immer von Fall zu Fall analysiert bzw. auf der Grundlage einer Kosten-Risiko-Analyse durchgeführt werden. Wir können Ihnen daher nicht wirklich die beste Methode zur ordnungsgemäßen Absicherung aller Systeme zeigen.)
Wenn duWirklichMöchten Sie herausfinden, was los ist? Installieren Sie es net-toolsauf der betroffenen Maschine und trennen Sie es anschließend vom Netzwerk.
sudo apt install net-tools
Sobald dies erledigt ist, führen Sie es aus sudo netstat -atupenund suchen Sie nach ausgehenden Verbindungen zu Port 22 auf Ihrem System, und sehen Sie, welcher Prozess die ausgehenden Verbindungen zu Port 22 auslöst. Behalten Sie dies ebenfalls im Auge und führen Sie es auch mehrmals aus, wenn Sie sicherstellen müssen, dass es angezeigt wird, denn ohne Netzwerk wird es wahrscheinlich versuchen und sofort fehlschlagen, sodass es möglicherweise erforderlich ist, dies einige Male auszuführen.
Jedoch,Sie sind besser dran, wenn Sie alles auf dem System löschen und von Grund auf neu aufbauenund führen Sie bessere Sicherungskopien Ihrer Daten durch, die NICHT von Malware befallen sind.
Außerdem sollten Sie wegen dieser Art von Problemen keinen Server usw. in Ihrem eigenen Netzwerk hosten, es sei denn, Sie wissen, was Sie tun. Ihre eigenen Systeme können gefährdet sein, wenn auch nur ein System in Ihrem Heimnetzwerk gehackt wird.
Um meinen letzten Punkt dort ins rechte Licht zu rücken:
Trotz meiner Erfahrung sind alle Server in meinem Netzwerk, die mit dem Internet verbunden sind, so geschützt, dass sie von anderen Servern nicht erreicht werden. Da mein Netzwerk als Enterprise-Netzwerk mit verwalteter Firewall, verwalteten Switches usw. aufgebaut ist, sind meine mit dem Internet verbundenen Server in entsprechenden DMZs isoliert und können den Rest meines Netzwerks, in dem wichtigere Daten vorhanden sind, nicht erreichen. Eine Netzwerkisolierung und -absicherung dieser Größenordnung erfordert weitaus mehr als das, was Sie mit den verfügbaren Geräten für den „Wohnbereich“ und „Verbraucherbereich“ erhalten. Es erfordert viel zusätzliche Zeit, Mühe und Wissen, um mit dem Internet verbundene Systeme wirklich zu isolieren und größere Verstöße zu verhindern, sowie um Net Flow Logging für verschiedene Netzwerkverhalten zu erhalten und aktive Intel-Listen zu filtern, um die bekannten Übel zu blockieren. Es ist nichts für schwache Nerven und erfordert auch eine MENGE Aufwand, um es betriebsbereit zu halten.
Zwei meiner Server, die ich in meinen DMZs für Kunden betreibe, sind kürzlich aufgrund nicht richtig gepatchter Wordpress-Instanzen abgestürzt. GLÜCKLICHERWEISE bewahre ich Backups für sie auf, also haben wir die betroffenen Instanzen gelöscht, aus sauberen Backups wiederhergestellt und dann habe ich prompt sechs Stunden damit verbracht, sie auf jeder Maschine zu patchen und neu zu härten. Eine einzige ungepatchte Wordpress-Instanz auf jedem dieser Server führte dazu, dass diese Server gehackt wurden und versuchten, Malware zu verbreiten, was mein IDS/IPS erkannte – auch dies ist eine Netzwerkkonfiguration der Enterprise-Klasse, sodass ich die Zeit, die Infrastruktur und das Geld habe, um alle Schutzmaßnahmen zu ergreifen. So etwas wird Ihnen bei einer durchschnittlichen Server- oder Heimnetzwerkkonfiguration nicht passieren.