Mein Root-Server wurde gehackt! Was nun?: Unterschied zwischen den Versionen

Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(6 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
[[category:FAQ-Server]][[category:FAQ-Colocation]][[category:ueberarbeiten]]
[[category:FAQ-Server/Colocation]][[category:fertig]]
Frage: Mein Root-Server wurde gehackt! Was nun?
In diesem Fall muss auf jeden Fall beurteilt werden, wie weit der Angreifer ins System eindringen konnte. Für den Fall, dass er root-Zugriff erlangen konnte, bleibt Ihnen leider nur den Server neuzuinstallieren, da jemand mit root-Zugriff sehr gut verschleiern kann, was er wirklich getan hat bzw. noch tut.<br>
Daher ist ohne eine Neuinstallation nicht auszuschließen, dass er nicht noch Möglichkeiten eingerichtet hat, um auch nach einer gründlichen Säuberung wieder ins System eindringen zu können.


kurze Antwort: Die nun durchzuführenden Maßnahmen sind davon abhängig wie weit der Angreifer ins System eindringen konnte.
Um weitere Sicherheitszwischenfälle zu vermeiden, sollte insbesondere nach einem Eindringen in ein System eine Sicherheitsanalyse vorgenommen werden, bei der vorhandene Sicherheitslücken gefunden und geschlossen werden sollten.<br>
 
Weiterhin sollte auch das Sicherheitskonzept überprüft werden, falls bspw. die Login-Daten eines Mitarbeiters gephisht wurden. Es sollte allgemein nach dem "Zero-Trust-Prinzip" gearbeitet werden, nach dem nur diejenigen Personen nur diejenigen Rechte haben, die für Sie unabdingbar sind. So können im Ernstfall Schäden minimiert und die eigene Infrastruktur schon präventiv geschützt werden.
lange Antwort: In diesem Fall muss auf jeden Fall beurteilt werden, wie weit der Angreifer ins System eindringen konnte. Für den Fall, dass er root-Zugriff erlangen konnte, bleibt Ihnen leider nur den Server neuzuinstallieren, da jemand mit root-Zugriff sehr gut verschleiern kann, was er wirklich getan hat bzw. noch tut.
Daher ist ohne eine Neuinstallation nicht auszuschließen, dass er nicht noch Möglichkeiten eingerichtet hat, um auch nach einer gründlichen Säuberung wieder ins System eindringen zu können.

Aktuelle Version vom 19. August 2024, 10:18 Uhr

In diesem Fall muss auf jeden Fall beurteilt werden, wie weit der Angreifer ins System eindringen konnte. Für den Fall, dass er root-Zugriff erlangen konnte, bleibt Ihnen leider nur den Server neuzuinstallieren, da jemand mit root-Zugriff sehr gut verschleiern kann, was er wirklich getan hat bzw. noch tut.
Daher ist ohne eine Neuinstallation nicht auszuschließen, dass er nicht noch Möglichkeiten eingerichtet hat, um auch nach einer gründlichen Säuberung wieder ins System eindringen zu können.

Um weitere Sicherheitszwischenfälle zu vermeiden, sollte insbesondere nach einem Eindringen in ein System eine Sicherheitsanalyse vorgenommen werden, bei der vorhandene Sicherheitslücken gefunden und geschlossen werden sollten.
Weiterhin sollte auch das Sicherheitskonzept überprüft werden, falls bspw. die Login-Daten eines Mitarbeiters gephisht wurden. Es sollte allgemein nach dem "Zero-Trust-Prinzip" gearbeitet werden, nach dem nur diejenigen Personen nur diejenigen Rechte haben, die für Sie unabdingbar sind. So können im Ernstfall Schäden minimiert und die eigene Infrastruktur schon präventiv geschützt werden.