Ist es einem Eindringling möglich, einen Linux-Server aus der Ferne (ohne internen Zugriff) neu zu starten?

Question 1

Generell gilt: ja: Wenn Sie über einen Fehler verfügen, der zur Remotecodeausführung mit Root-Zugriff führt, können Sie dies tun.

Tatsächlich ist es möglich, dass ein bestimmter Fehler zwar nicht zur Remotecodeausführung, aber dennoch zu einem Kernel-Panic und einem Neustart des Servers führt.

Angesichts der Art und Weise, wie Sie Ihre Frage formuliert haben, bezweifle ich jedoch, dass Sie über die erforderlichen Kenntnisse verfügen, um eine Obduktion eines Systems durchzuführen und diese Art von Angriff zu erkennen. Wenn Sie das System wirklich untersuchen lassen möchten, würde ich Ihnen empfehlen, einen Sicherheitsexperten zu beauftragen.

Answer

Generell gilt: ja: Wenn Sie über einen Fehler verfügen, der zur Remotecodeausführung mit Root-Zugriff führt, können Sie dies tun.

Tatsächlich ist es möglich, dass ein bestimmter Fehler zwar nicht zur Remotecodeausführung, aber dennoch zu einem Kernel-Panic und einem Neustart des Servers führt.

Angesichts der Art und Weise, wie Sie Ihre Frage formuliert haben, bezweifle ich jedoch, dass Sie über die erforderlichen Kenntnisse verfügen, um eine Obduktion eines Systems durchzuführen und diese Art von Angriff zu erkennen. Wenn Sie das System wirklich untersuchen lassen möchten, würde ich Ihnen empfehlen, einen Sicherheitsexperten zu beauftragen.

Question 2

Sie benötigen Root-Zugriff, um einen Linux-Server neu zu starten. Wenn Ihr Root-Konto kompromittiert wurde und Sie SSH aktiviert haben, ist es durchaus möglich, dass jemand Ihren Server aus der Ferne neu startet. Gemessen an der Qualität dieser Frage empfehle ich Ihnen dringend, einen Berater mit Erfahrung in der Aufklärung von Problemen zu engagieren, wenn dies Auswirkungen auf Produktionssysteme hat.

Answer

Sie benötigen Root-Zugriff, um einen Linux-Server neu zu starten. Wenn Ihr Root-Konto kompromittiert wurde und Sie SSH aktiviert haben, ist es durchaus möglich, dass jemand Ihren Server aus der Ferne neu startet. Gemessen an der Qualität dieser Frage empfehle ich Ihnen dringend, einen Berater mit Erfahrung in der Aufklärung von Problemen zu engagieren, wenn dies Auswirkungen auf Produktionssysteme hat.

Question 3

Ja, aber ich würde vorschlagen, dass Sie das noch nicht in Betracht ziehen.

Die meisten Angreifer dringen aus folgenden Gründen in die Server ein:

Führen Sie DOS-Angriffe oder C&C-Angriffe auf andere kompromittierte Server durch.
Hosten Sie urheberrechtsverletzende Inhalte.
Geben Sie durch die Verunstaltung von Websites politische oder gesellschaftliche Statements ab.
Führen Sie zusätzliche Angriffe auf Remoteservern und Clients durch.

Für die meisten Angreifer bringt es keinen wirklichen Vorteil, in den Server einzubrechen, nur um ihn neu zu starten. Obwohl es möglich ist, ist es angesichts der Motive der meisten Eindringlinge mehrwahrscheinlichdas Problem liegt woanders - entweder an Wartungsarbeiten durch den Hosting-Anbieter, an einem Ausfall oder, im schlimmsten Fall, daran, dass jemand die Maschine versehentlich neu gestartet hat, ohne es zuzugeben. :)

Answer

Ja, aber ich würde vorschlagen, dass Sie das noch nicht in Betracht ziehen.

Die meisten Angreifer dringen aus folgenden Gründen in die Server ein:

Führen Sie DOS-Angriffe oder C&C-Angriffe auf andere kompromittierte Server durch.
Hosten Sie urheberrechtsverletzende Inhalte.
Geben Sie durch die Verunstaltung von Websites politische oder gesellschaftliche Statements ab.
Führen Sie zusätzliche Angriffe auf Remoteservern und Clients durch.

Für die meisten Angreifer bringt es keinen wirklichen Vorteil, in den Server einzubrechen, nur um ihn neu zu starten. Obwohl es möglich ist, ist es angesichts der Motive der meisten Eindringlinge mehrwahrscheinlichdas Problem liegt woanders - entweder an Wartungsarbeiten durch den Hosting-Anbieter, an einem Ausfall oder, im schlimmsten Fall, daran, dass jemand die Maschine versehentlich neu gestartet hat, ohne es zuzugeben. :)

Question 4

Natürlich ist das möglich. Überprüfen Sie /var/log/auth.logalle verdächtigen Protokolle.

Answer

Natürlich ist das möglich. Überprüfen Sie /var/log/auth.logalle verdächtigen Protokolle.

Ist es einem Eindringling möglich, einen Linux-Server aus der Ferne (ohne internen Zugriff) neu zu starten?

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen