[vc_row full_width=“stretch_row“ css=“.vc_custom_1518267880395{margin-bottom: 70px !important;background-color: #ffffff !important;}“][vc_column][vc_row_inner css=“.vc_custom_1516124521409{background-color: #ffffff !important;}“][vc_column_inner width=“1/12″][/vc_column_inner][vc_column_inner width=“10/12″][vc_empty_space height=“95px“][vc_empty_space height=“55px“][vc_empty_space height=“55px“][vc_custom_heading text=“Wir sind Ihr Partner für IT-Sicherheit – Wir helfen!“ font_container=“tag:h3|text_align:left|color:%23000000″ google_fonts=“font_family:Montserrat%3Aregular%2C700|font_style:700%20bold%20regular%3A700%3Anormal“ subtitle_color=“#000000″ subtitle=“Wenn der Server gehackt wurde“][vc_column_text]Server gehackt? Wir helfen wenn Server und Anwendungen gehackt wurden!

 

Adrian Janotta
Gründer Janotta Partner Security Consulting

Oft hört und liest man den Begriff „Server“ oder der Server eines Unternehmens wurde gehackt und Daten gestohlen – oder beispielsweise im Zusammenhang mit „Der Server ist down“ oder wir haben einen Hacker-Angriff auf unsere Server. Generell ist ein Server ist ein leistungsstarker Netzwerkrechner, der seine Kraft bzw. seine Ressourcen für andere Computer, Smartphones, oder Programme bereitstellt. Diese greifen über ein Netzwerk auf Daten zu, die auf dem Server liegen. Root-Server oder Server offen im Internet zu betreiben birgt immer große Gefahren, egal ob als virtualisierte Instanz oder physisch im Rechenzentrum.

 

Sie sind gehackt oder wissen es noch nicht?>[/vc_column_text][vc_custom_heading text=“Server gehackt: Analyse, IT-Forensik, Datenrettung, Absicherung“ font_container=“tag:h3|text_align:left|color:%23000000″ google_fonts=“font_family:Montserrat%3Aregular%2C700|font_style:700%20bold%20regular%3A700%3Anormal“ subtitle_color=“#000000″ subtitle=“ Wenn der Server gehackt wurde. „][vc_column_text]Wenn der Server gehackt wurde, müssen Sie zunächst sehen, dass keine weitere Kompromittierung möglich ist, bzw. die Aktionen, die der Server durch den Einbruch ausführt, nicht weiter abarbeitet und eventuell dem Hacker keine weitere Möglichkeiten der Spionage o.ä. mehr gewährt wird. Es kommt hinzu ob der Server bei eine Provider liegt oder ob er bei Ihnen im Unternehmen betrieben wird. Zuerst sollten Sie sämtliche Dienste deaktivieren sind.

Generell sollten wir auch nochmals unterscheiden: Der Server wird als Hardware verwendet:

  • als Bezeichnung für einen Computer, dessen Hardware auf Serveranwendungen abgestimmt ist,
  • Einer Serverfarm
  • Einem Server-Rack
  • Einem Bladeserver

Wenn eines dieser Geräte gehackt wurde muss mit unserer IT-Forensik eine Analyse durchgeführt werden. Generell wird bei einer forensischen Analyse folgendes geklärt:

Wie kam der Täter in den Server und wie konnte der Server gehackt werden?
  • Welchen Skill-Level hatte der Täter?
  •  Welche Daten hat der Täter beim Server Hack eingesehen/manipuliert?
  • Über welchen Weg hat sich der Täter sich auf den Server Zugang verschafft?
  • Hat der Täter Trojaner/Backdoors auf dem Server hinterlassen?
  • Wer könnte der Täter oder Hacker sein?

Server gehackt: Was ist betroffen?

Spricht man von einem Server, kann es sich sowohl um einen Computer (Hardware), als auch um ein Programm (Software) handeln. Der Server tritt in Kontakt mit dem Client, Über ein passendes Protokoll können beide miteinander kommunizieren, da Sie dadurch die gleiche „Sprache“ sprechen.

Der Client fragt stets den Server nach Daten, die dieser anschließend liefert. Dabei kann es sich je nach Art des Servers um verschiedene Daten handeln. Es muss hier genau festgestellt werden wie der Server in seinen Funktionen eingeschränkt oder ausspioniert wird

  • Web-Server: Ist der Webserver betroffen (Alles was über HTTP aufrufbar ist)
  • E-Mail-Server: ist der Email Server auch gehackt und werden Ihre Emails mitgelesen? (Spionage?)
  • File-Server: Hier finden sich hauptsächlich Dateien, eventuell auch nicht frei zugängliche
  • Wie weit ist der Täter über den gehackten Server in das Netzwerk vorgedrungen?
  • In wie weit wurde der Server noch gehackt oder kompromittiert?
  • Ist ein Server-Sicherheitscheck notwendig?
  • Sind auf dem Server Anwendungen vom Hack betroffen wie Zum Beispiel, Webseiten, SAP Software; IBM Software oder Applikationen wie WordPress, Magento, Shopware oder Drupal?
  • Penetrationstest Notwendigkeit?
  • Sollen Sicherheitslücken geschlossen oder nur dokumentiert werden?

https://www.janotta-partner.de/kontakt/it-sicherheitsvorfall-2/

Es bestehen eine Vielzahl von Gefahren für Server. Ostmal werden Server gehackt um Sie für Brotnetze zu missbrauchen. Aufgrund Ihrer Kraft sind Server normalen Hosting Paketen weitaus überlegener, deshalb sind Sie auch ein beliebtes Angriffs – und Hacking Ziel. Für Server ist einiges zu beachten:

Gefahren für Server und die Serversicherheit

– Hacking und Missbrauch der Server für Botnetze

– Server Hacking und Spionage Malware eingesetzt?

– Email Server Hacking (Thema Wirtschaftsschutz oder Wirtschaftsspionage?)

Hacker können Server Angreifen wenn diese Sicherheitslücken aufweisen. Darunter ist zu verstehen das diese schwerwiegend sind wie Command Execution Sicherheitslücken, PHP Execution Sicherheitslücken. Natürlich können Server auch über eine Brute Force Attacke von einem Hacker gehackt und attackiert werden, jedoch muss dies erst durch die IT-Forensik geprüft werden.

Beispiel Mail Server: SMTP Hacking via SSH TCP Forwarding Attacken

Wenn die SSH angegriffen wird, können der Server ebenfalls gehackt und übernommen werden. Dann ist es möglich vom Server weitere Daten zu erhalten. Hierbei werden Listen mit Login Daten verwendet, daher werden schlecht abgesicherte Server komprimiert, jedoch erscheinen diese im weiteren Verlauf dann als Angreifer.

Diese Methode ist dahingehend beachtlich da hierbei weitere Ebenen zur Verschleierung benutzt werden. Auch dass diese Attacke derzeit nur dazu dient Daten zu sammeln.

109.199.184.204 | nd4.ccnst.de. |197524 | 109.199.160.0/19 | CCNST | DE | ccnst.de | CCNST Christof Englmeier e.K.
109.230.231.53 | w.your.ru.net. |197071 | 109.230.224.0/20 | ACTIVE | DE | serverbiz.de | Serverbiz HN
139.162.165.12 | li1482-12.members.linode.com. |63949 | 139.162.160.0/19 | LINODE | US | oceanos.net | Default ISP
139.162.166.48 | c1431.cloudnet.se. |63949 | 139.162.160.0/19 | LINODE | US | oceanos.net | Default ISP
139.18.1.26 | v1.rz.uni-leipzig.de. |680 | 139.18.0.0/16 | DFN | DE | uni-leipzig.de | University of Leipzig
148.251.6.55 | mx5.csof.net. |24940 | 148.251.0.0/16 | HETZNER | DE | hetzner.de | Hetzner Online AG
149.238.61.42 | mx08.zf.com. |21263 | 149.238.0.0/16 | TELEDATA | DE | zf.com | ZF Friedrichshafen AG
149.239.171.9 |  |12291 | 149.239.128.0/17 | , | DE | deutschepost.de | Deutsche Post AG
151.189.21.114 | imap.arcor-online.net. |3209 | 151.189.0.0/16 | VODANET | DE | vodafone.com | Vodafone D2 GmbH
151.189.21.118 | mx.arcor.de. |3209 | 151.189.0.0/16 | VODANET | DE | vodafone.com | Vodafone D2 GmbH
5.9.136.60 | swissns1.atnet.gr. |24940 | 5.9.0.0/16 | HETZNER | DE | hetzner.de | Hetzner Online AG
5.9.156.51 | mx2.inlife.ru. |24940 | 5.9.0.0/16 | HETZNER | DE | hetzner.de | Hetzner Online AG
5.9.74.50 | server.stykas.gr. |24940 | 5.9.0.0/16 | HETZNER | DE | hetzner.de | Hetzner Online AG
80.237.132.19 | wp012.webpack.hosteurope.de. |20773 | 80.237.132.0/24 | HOSTEUROPE | DE | hosteurope.de | Hosteurope GmbH

Wurde ein Server gehackt der zuvor nicht abgesichert war, muss er durch die Forensik analysiert werden, Sicherheitslücken geschlossen werden und abgesichert werden.

IT-Sicherheitsprobleme sind zu einem sehr geringen Anteil technischer Natur. Der Hauptanteil der Serverhacks und Hacking Probleme entfällt auf Nachlässigkeit und Bequemlichkeit im Betrieb der Systeme. Die Lücken, die auf diese Weise entstehen, sind oft so gravierend, dass technisches Aufrüsten an anderer Stelle sinnlos wird. Wir empfehlen: Besser Prüfen und sicher arbeiten.

Dienste wenn der Server gehackt wurde: Erste Hilfe

  • Spurensicherung auf dem Server– ggf. auch Sichern von möglichen IP-AdressenEin wichtiger erster Schritt, damit der Angreifer ausfindig gemacht werden kann. Dabei gehen wir schnell und gründlich vor, um Spuren rasch zu sichern. Die Resultate können auch den Behörden zur Strafverfolgung übergeben werden.
  • Überprüfen der Logdateien– Um herauszufinden wie und wo der Angreifer auf den Server zugreifen konnten.Ist die Schwachstelle oder Einbruchsstelle gefunden, durch die sich Unbefugte Zugang zum Server verschafft haben, muss sie unbedingt geschlossen werden, um weiteren Angriffen vorzubeugen. Wir schließen diese Sicherheitslücke, damit Ihr Server wieder sicher ist.
  • Entfernen und neutralisieren von Schadsoftware– Rigoroses Löschen von schädlichen Skripten und ProgrammenBefindet sich auch nur ein schädliches Skript auf dem Server, kann der Angreifer auch wieder Schaden anrichten. Deshalb müssen sämtliche Dateien gesichtet, überprüft und Schadcode entfernt werden.
  • In Dialog treten mit dem ProviderIhr Provider hält die Fäden in der Hand – er kann den Server sperren und auch wieder freischalten. Nach unserer Überprüfung wird der Provider den Server überprüfen und ihn dann wieder freischalten, wenn keine schädlichen Programme oder Skripte mehr gefunden werden können.

 [/vc_column_text][vc_column_text]

Richtiges Verhalten im Fall der Fälle – Digitale Erpressung

Wie erpresst wird, lässt sich nicht in einer pauschal Antwort klären. Die Cyber-Detektei klärt jedoch solche Fälle zuverlässig. „Das Gefährdungspotenzial Digitale Erpressung nimmt zu“. Die Fälle häufen sich gerade bei uns aus der kompletten Republik. Nahezu 40 % der IT-Sicherheitsfälle die wir im Februar abgearbeitet, sind auf Digitale Erpressung und Spionage zurückzuführen.

  • Gehen Sie nicht auf Lösegeldforderungen ein
  • Nutzen Sie Ihre Geräte nicht weiter, falls Sie Ihre Geräte weiter nutzen müssen, so arbeiten Sie nur noch belanglose Dinge ab
  • Bringen Sie Ihre Geräte in unser IT-Forensik Labor zur Digitalen Untersuchung und Spuren Auswertung.
  • Fotografieren Sie Erpressungsnachricht auf Ihrem Bildschirm und erstatten Sie Anzeige bei der Polizei.
  • Eine Forensische Untersuchung kann Ihnen nötige Fragen beantworten wie: Wer ist die Person die mich erpresst.
  • Warum werde ich Erpresst und weiche Mittel wurden für die Erpressung eingesetzt?

[/vc_column_text][vc_column_text]

Prävention – Digitale Erpressung

Um Ihren Computer vor einer Infektion mit Spionagesoftware, Ransomware und anderer Schadsoftware zu schützen, sollten Sie die folgenden Grundregeln einhalten:

  • Öffnen Sie auf keine übersandte Anhänge oder enthaltene Links, die nicht zweifelsfrei sicherer Herkunft sind.
  • Öffnen Sie keine Mails von Menschen denen Sie nicht vertrauen
  • Laden Sie keine Dateien/Programme aus dem Internet herunter, die nicht von verifizierten Stellen angeboten werden.
  • Halten Sie Ihr System mit der Installation verfügbarer Sicherheitsupdates auf dem aktuellen Stand.
  • Nutzen Sie in Zukunft ein UNIX System wie Linux
  • Nutzen Sie in brisanten Situationen ein Anonymisierungssystem wie Linux Tails
  • Versuchen Sie Ihre Digitalen Rechte und Ihre Souveränität zu bewahrten

Ihr Adrian Janotta[/vc_column_text][/vc_column_inner][vc_column_inner width=“1/12″][/vc_column_inner][/vc_row_inner][vc_column_text css=“.vc_custom_1516066835937{background-color: #000000 !important;}“]

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][/vc_column][/vc_row]