{"id":29054,"date":"2022-02-17T21:16:50","date_gmt":"2022-02-17T20:16:50","guid":{"rendered":"https:\/\/pi3g.com\/?p=29054"},"modified":"2022-02-17T21:16:50","modified_gmt":"2022-02-17T20:16:50","slug":"how-to-manage-a-security-breach-on-your-server","status":"publish","type":"post","link":"https:\/\/pi3g.com\/de\/how-to-manage-a-security-breach-on-your-server\/","title":{"rendered":"Wie Sie eine Sicherheitsverletzung auf Ihrem Server bew\u00e4ltigen"},"content":{"rendered":"<p>Auf modernen Servern l\u00e4uft h\u00e4ufig eine Vielzahl von Softwareanwendungen. <\/p>\n<p>In unserem Fall verwenden wir Docker auf dem Server, um mehrere Dienste auszuf\u00fchren. <\/p>\n<p>Einer dieser Dienste, Gitlab, hatte ein Sicherheitsproblem (genauer gesagt, Gitlab Workhorse). <\/p>\n<p>Das f\u00fchrte zu einer Trojaner-Infektion. (In unserem Fall hie\u00dfen die Bin\u00e4rdateien \"wate\", falls dies f\u00fcr jemanden von Bedeutung ist - obwohl es sich auch um rein zuf\u00e4llige Namen handeln k\u00f6nnte). <\/p>\n<p>Wir wurden darauf aufmerksam, weil unser Hoster, Hetzner, unsere IP abschaltete (und mehrere Warnmeldungen verschickte). Der Trojaner war als Teil eines DDoS-Angriffs auf eine chinesische IP verwendet worden und erzeugte verd\u00e4chtige Mengen an Paketen. <\/p>\n<p>Wir haben gehandelt, und aus dieser Situation sind einige n\u00fctzliche Erkenntnisse entstanden.<\/p>\n<p>Zum Gl\u00fcck war der Server \u00fcber eine andere IP erreichbar (\u00fcbrigens kann man bei Hetzner auch eine IP f\u00fcr 2 Stunden auf eine Whitelist setzen, so dass man auch mit einem Server mit nur einer IP arbeiten kann). <\/p>\n<h3>Hier sind einige wichtige Tipps zur Diagnose einer solchen Sicherheitsverletzung<\/h3>\n<ul>\n<li><strong>Keine Panik<\/strong>. Sichern Sie zun\u00e4chst die Dockerprotokolle (und erstellen Sie m\u00f6glicherweise ein Backup), bevor Sie den Server herunterfahren - Sie ben\u00f6tigen diese Protokolle m\u00f6glicherweise, um das Problem zu diagnostizieren. <\/li>\n<li>pr\u00fcfen, welche Benutzer zuletzt angemeldet waren \/ ob neue Konten erstellt wurden<\/li>\n<li>Verwenden Sie einen Virenscanner auf Ihrem Server (auf dem Host-Betriebssystem f\u00fcr Docker). Wir haben <a href=\"https:\/\/www.clamav.net\/\">clamav<\/a><strong> <\/strong>um die Trojaner zu finden.<\/li>\n<ul>\n<li>Hinweis: Wenn Sie auch einen Mailserver betreiben (wie wir), wird der Virenscanner wahrscheinlich auch viele verd\u00e4chtige Mails aufsp\u00fcren. <\/li>\n<\/ul>\n<li>Verwenden Sie einen Rootkit-Scanner - wir haben zwei verwendet, <a href=\"https:\/\/en.wikipedia.org\/wiki\/Rkhunter\">rkhunter<\/a> und <a href=\"https:\/\/en.wikipedia.org\/wiki\/Chkrootkit\">chkrootkit<\/a><\/li>\n<li>Verwenden Sie htop, um herauszufinden, welche Prozesse den Server belasten<\/li>\n<li>Verwenden Sie ein Dienstprogramm zur \u00dcberwachung des Netzwerkverkehrs <\/li>\n<li>die Ausgabe von ps -aux auf verd\u00e4chtige Prozesse zu \u00fcberpr\u00fcfen <\/li>\n<\/ul>\n<p><\/p>\n<p>Meine Empfehlung lautet, dass <strong>vor <\/strong>Wenn Sie den Container herunterfahren, erstellen Sie einen Dump von ps -aux | grep wate (in unserem Fall), um die laufenden Trojanerprozesse zu sehen, und dann nach dem Herunterfahren wieder. <\/p>\n<p>Auf diese Weise k\u00f6nnen Sie sich vergewissern, dass die Sicherheitsverletzung einged\u00e4mmt wurde und sich die Prozesse nicht au\u00dferhalb des Docker-Containers ausgebreitet haben. <\/p>\n<h3>WordPress-Leistungsprobleme<\/h3>\n<p>In dieser Situation traten auch einige WordPress-Performance-Probleme auf - w\u00e4hrend die Haupt-IP des Servers blockiert war. <\/p>\n<p>Nachdem Hetzner unsere IP freigeschaltet hatte, waren die Leistungsprobleme verschwunden. (Unser anf\u00e4nglicher Verdacht war, dass der Versto\u00df in einem WordPress-Container stattgefunden hatte).<\/p>\n<h3>Ma\u00dfnahmen, um die Situation in Zukunft zu vermeiden<\/h3>\n<ol>\n<li>Wir werden automatische Container-Updates einrichten. Der Freund meiner Schwester hat mir den Docker-Container \"Watchtower\" empfohlen. <\/li>\n<li>Es gibt ein Tool namens <a href=\"https:\/\/en.wikipedia.org\/wiki\/Lynis\">Lynis<\/a> ein Tool zur Sicherheits\u00fcberpr\u00fcfung, das wir uns ansehen werden<\/li>\n<li>Verwenden Sie die Authentifizierung mit \u00f6ffentlichen\/privaten Schl\u00fcsseln auf dem Server f\u00fcr SSH. Schr\u00e4nken Sie gezielt die Konten ein, die sich anmelden d\u00fcrfen<\/li>\n<li>Verwendung eines SaaS-\u00dcberpr\u00fcfungsdienstes\/Scanners - wir planen, dies regelm\u00e4\u00dfig durchzuf\u00fchren<\/li>\n<li>Beginnen Sie mit der Erstellung von rollenden Backups, falls Sie dies noch nicht getan haben - so k\u00f6nnen Sie zu einem vergangenen Datum zur\u00fcckkehren<\/li>\n<\/ol>\n<p>F\u00fcr Fehler muss man sich nicht sch\u00e4men - die moderne IT ist ein komplexes Unterfangen. Solange man aus den Situationen lernt und verschiedene Ans\u00e4tze f\u00fcr IT-Probleme (und das Leben im Allgemeinen) verwendet, gibt es Wachstum und Fortschritt. Das Leben.<\/p>\n<p>Gl\u00fccklicherweise k\u00f6nnen die meisten Situationen gemeistert und umgedreht werden. Wir hoffen, dass Sie \u00fcber Sicherungskopien verf\u00fcgen und sich von Ihrer Situation erholen k\u00f6nnen. <\/p>\n<p>Ich w\u00fcnsche Ihnen viel Gl\u00fcck und danke Ihnen f\u00fcr die Lekt\u00fcre. <\/p>","protected":false},"excerpt":{"rendered":"<p>Auf modernen Servern l\u00e4uft h\u00e4ufig eine Vielzahl von Softwareanwendungen. In unserem Fall verwenden wir Docker auf dem Server, um mehrere Dienste auszuf\u00fchren. Einer dieser Dienste, Gitlab, hatte ein Sicherheitsproblem (genauer gesagt Gitlab Workhorse). Dies f\u00fchrte zu einer Infektion mit einem Trojaner. (In unserem Fall hie\u00dfen die Bin\u00e4rdateien \"wate\", falls das jemanden interessiert...<\/p>","protected":false},"author":830,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_links_to":"","_links_to_target":""},"categories":[452],"tags":[988,708,328,987],"class_list":["post-29054","post","type-post","status-publish","format-standard","hentry","category-tips-tricks","tag-attack","tag-debug","tag-server","tag-trojan"],"_links":{"self":[{"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/posts\/29054","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/users\/830"}],"replies":[{"embeddable":true,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/comments?post=29054"}],"version-history":[{"count":1,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/posts\/29054\/revisions"}],"predecessor-version":[{"id":29055,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/posts\/29054\/revisions\/29055"}],"wp:attachment":[{"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/media?parent=29054"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/categories?post=29054"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pi3g.com\/de\/wp-json\/wp\/v2\/tags?post=29054"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}