gelungen, tatsächlich echten Rootzugang
zu bekommen?
Jedes Szenario äußert sich in anderen
Symptomen, aber in der Regel tut der
Rechner fortan irgendwas, und das äußert
sich zuerst in zusätzlichem oder unge-
wöhnlichem Datenverkehr. Versendet er
Spam-Mails, ist der damit erzeugte Traffic
offensichtlich. Aber auch wenn er nur
Phishing-Webseiten hostet, wird dies be-
reits im Logfile durch ungewöhnlich viele
Aufrufe als Anomalie erkennbar.
Konnte der Angreifer hingegen eigene
Programme starten – zum Beispiel weil
der Systemverantwortliche in PHP ent-
sprechende »exec()«-Aufrufe nicht unter-
bunden hat –, zeigt die Prozessliste viel-
leicht „auffällig unauffällige“ Prozesse,
die sich mehr schlecht als recht unter
einem harmlosen Namen zu tarnen ver-
suchen: Wenn es angeblich einen Prozess
namens »cron« gibt, der jedoch dem UserLaut einer Umfrage des Branchenver-
bands Eco [1] beklagten 18 Prozent der
befragten deutschen Unternehmen im
Jahr 2017 mindestens einen gravierenden
Sicherheitsvorfall. Die größten Bedrohun-
gen gingen demnach von Ransomware
und DDoS-Attacken aus. Naturgemäß
fließen in solche Zahlen die unbemerkt
gebliebenen Angriffe nicht ein.
Ein angemessener Grundschutz, für den
jedes Unternehmen selbst sorgen muss,
bildet die beste Prävention gegen unge-
betene Besucher. Dazu gehören tägliche
Datensicherungen, zügig eingespielte
Software-Updates, starke Passwörter,
Schutz vor unbefugtem Zugriff auf perso-
nenbezogene und andere sensible Daten
sowie Berechtigungsmanagement und
Verschlüsselungen.
Linux-Rechner mit ihren ebenso stringen-
ten wie leicht verständlichen Berechtigun-
gen sind gegen Angriffsversuche ver-
gleichsweise im Vorteil, wenn alle Aktu-alisierungen eingespielt sind. Eine Ge-
währ auf Unverwundbarkeit besteht aber
auch bei ihnen nicht. Also muss jeder
Admin mit einer Kompromittierung eines
oder mehrerer Systeme rechnen.
Aber woran merkt er, dass etwas nicht
stimmt? Und wie soll er darauf reagieren?
Wann und wem muss er den Vorfall mel-
den? Das Linux-Magazin hat drei ausge-
wiesenen Sicherheitsexperten dieselben
drei Fragen gestellt.E Peer Heinlein
Linux-Magazin: An welchen Merkmalen oder
Effekten erkennst Du, dass ein Linux-Server
vermutlich kompromittiert ist?
Peer Heinlein: Es gibt verschiedene Arten
von kompromittierten Servern: Hat der
Angreifer durch eine Lücke eigenen PHP-
Code im Webspace abgelegt? Hatte er
Shellzugriff durch einen unprivilegierten
User-Account? Oder ist es ihm am EndeAuch wer im Admin-Alltag alles richtig macht, kann jederzeit Opfer einer Attacke werden. Peer Heinlein, Ralf
Spenneberg und Christoph Wegener schildern im Interview, was Systemverantwortliche tun und was sie besser
lassen sollen, wenn in ihrem Netzwerk alles zu spät ist. Jan KleinertDrei Fragen an drei Experten
Was tun, was lassen?
Peer Heinlein ist E-Mail-Spezialist, Gründer des
sicheren E-Mail-Dienstes Mailbox.org und Autor
zahlreicher Fachbücher zum Thema Linux-Server
und Sicherheit. Er berät Unternehmen und Inter-
netprovider in allen Fragen rund um elektronische
Kommunikation: als Consulting vor Ort oder in
Berlin an der Heinlein Akademie.Titelthema32
http://www.linux-magazin.deExpertenrat© ginasanders, 123RF