Webspace/Server überwachen und schützen

Apr 20 2011 Published by under Security, Technical, Tips and Tricks

Um Hacks zu entgehen und ein wenig Überwachung & Schutz für den Webspace oder Server zu haben gibt es derzeit mehrere empfehlenswerte Lösungen. Voraussetzung für die Überwachung ist, dass Sie Ihren Webspace oder Server neu aufgesetzt bzw. sehr akribisch bereinigt haben.

1. Den Webspace überwachen mit „HackDetect“
Mit dem Programm „HackDetect“ in seiner Version 1.0 (Build 200), welches unter Windows 95, 98, NT, 2000, ME, XP und Vista zu betreiben ist (Windows 7 unbestätigt) werden Manipulationen auf dem Webspace festgestellt. Hierzu macht das Programm ein Abbild des Webspaces und vergleicht dieses Abbild mit eventuellen Veränderungen wenn Sie es erneut starten. Wie bei allen Überwachungsprogrammen gilt auch hier: Nutzen Sie „HackDetect“ regelmäßig und überprüfen Sie die Veränderungen. Ihr Content Management System, sofern installiert, sollten Sie inklusive aller Plugins immer auf dem neuesten Stand halten. Eine Anleitung, FAQs und Tipps und Tricks erhalten Sie direkt auf der Seite des Programmierers Johannes Oppermann.

2. Den Server überwachen mit „Rootkithunter“
Dieses Programm funktioniert ein wenig anders als das oben beschriebene „HackDetect“. „Rootkithunter“ (RkH) benötigt allerdings auch ein frisch aufgesetztes System bzw. ein zu 100% bereinigtes. Ihr Server sollte also komplett „clean“ sein. Ist dies der Fall und ihr Server läuft unter Linux, so können Sie über die Konsole den RkH installieren. Bitte beachten Sie: Der RkH funktioniert wie anfangs erwähnt ein wenig anders und ist durchaus komplexer aufgebaut. Starten Sie den RkH, so sucht er aktiv nach bösartigen Dateien und Veränderungen auf Ihrem Linux Server. Er löscht allerdings keine Dateien. Es wäre fatal, wenn er dies tun würde. Stellen Sie sich vor, der RkH findet eine Datei die er als böse ansieht, sie ist aber in Wirklichkeit ein selbst geschriebenes Script von Ihnen. Updaten Sie den RkH nach der Installation bitte mit „rkhunter –update“ und konfigurieren Sie diesen unter „/usr/local/etc/rkhunter.con“. Tragen Sie dort bitte, sofern Sie das möchten, Ihre E-Mail Adresse unter „MAIL-ON-WARNING“ ein. Installationshinweise, Tipps und Tricks finden Sie hier. Sie werden sehen, auch für Server-Anfänger ist RkH kein Hexenwerk und leicht zu bedienen. Für eine tägliche Überwachung empfiehlt sich ein Cronjob auf dem Server.

3. Den Webspace nach Viren, Malware und anderen Schädlingen scannen
Auf Ihrem Webspace können Sie normalerweise keine Anti-Viren Lösungen installieren. Doch was tun, wenn der Webspace gehackt wurde und viele bösartige Dateien abgelegt wurden? Grundsätzlich können Sie die bösen Dateien herunterladen und mit Ihrem eigenen Anti-Viren Programm überprüfen. Gerade bei Viren und Malware empfiehlt sich so eine Vorgehensweise allerdings nicht. Sinnvoll sind hier zwei Möglichkeiten:
Sie packen die Dateien in ein ZIP-Archiv o.ä. (das können Sie z.B. bei 1&1 direkt über Ihr 1&1 Control Center und den sog. „Webspace Explorer“ machen) und laden dieses Archiv bei VirusTotal hoch oder Sie lassen VirusTotal Ihre Webseite bzw. das Archiv direkt vom Webspace aus überprüfen. Ungepackt kann VirusTotal leider nur einzelne Webseiten kontrollieren, nicht aber ganze Verzeichnisse oder mehrere Dateien auf Webseiten. Es checkt aber immer ob die Webseite als „bösartig“ gelisted worden ist (Hier am Beispiel von blog.hersec.de):

Avira Clean site
BitDefender Unrated site
Dr.Web Clean site
Firefox Clean site
G-Data Clean site
Google Safebrowsing Clean site
Malc0de Database Clean site
MalwareDomainList Clean site
Opera Clean site
ParetoLogic Clean site
Phishtank Clean site
SpyEyeTracker Error
TrendMicro Unrated site
Wepawet Unrated site
ZeusTracker Error

Verlassen Sie sich aber bitte nicht zu 100% auf die obigen Angaben, sondern checken Sie Ihre Webseite immer noch einmal komplett mit dem Scanner von VirusTotal. Grundsätzlich gilt: Ist ein BACKUP vom Webspace / Server vorhanden, so löschen Sie den aktuellen Inhalt und laden das Backup hoch. Logischerweise sollten Sie sich sicher sein, dass das Backup nicht auch verseucht ist.

4. Den Server nach Viren, Malware und anderen Schädlingen scannen
Bei einem (Root-)Server steht es Ihnen frei Anti-Viren Programme zu installieren. Sofern Sie auf Ihrem Linux-Server ein Anti-Viren Programm installieren können / dürfen, so empfiehlt sich der kostenlose on-demand (=manuelles anstoßen eines Prozesses) Scanner „ClamAV„. Für Windows Systeme stehen allerhand kostenpflichtiger Lösungen bereit. Ein kostenloses und unter Windows Servern lauffähiges Anti-Viren Programm (basierend auf „ClamAV“) nennt sich „ClamWin“ und kann hier heruntegeladen werden. Achten Sie bei der Installation von „ClamWin“ bitte darauf, die mitgelieferte „Ask Toolbar“ nicht zu installieren.

3 responses so far

  • KUNDE sagt:

    Wäre gut, wenn Sie mal ein Tool präsentieren würden was auf normalen Shared-Hosting-Servern läuft. Dort haben die Benutzer leider keine Rechte dazu ClamAV oder ähnliches zu installieren.

    • frherold sagt:

      Auf normalen Shared-Hosting Kisten ist sowas leider nicht möglich, dies hat technische Gründe.
      Sie können aber z.B. das oben erwähnte Tool „HackDetect“ verwenden. Sollten Sie mehr Überwachung benötigen,
      so wird Ihnen nichts anderes übrig bleiben als auf einen Server zu wechseln. Für Einsteiger würde ich in diesem Falle einen Managed Server empfehlen.

  • jason sagt:

    Den Webspace Inhalt zu packen und bei Virustotal hochzuladen ist ja nicht schlecht. Aber ich denke mal sollte vorhanden Config Datei die schon mal DB Passwörter enthalten nicht mit im Paket haben. Frag mich grade auch wie ich beim Packen große Files wie Bilder, PDFs etc ausschliessen kann.

Schreibe einen Kommentar

Blogverzeichnis Blogverzeichnis - Blog Verzeichnis bloggerei.de Blog Top Liste - by TopBlogs.de Webkatalog und Blogverzeichnis Blog Verzeichnis