Aus aktuellem Anlass möchten wir kurz auf das Thema Sicherheit bei Rootservern hinweisen.

Heise Online hat heute einen Artikel veröffentlicht, in dem es um die aktuelle Entwicklung von Botnetzen geht.

Aktuelle Statistiken gehen von einem dramatischen Wachstum infizierter Rechner in den vergangenen Monaten aus, genauer gesagt hat sich die Anzahl der infizierten Rechner in den letzten drei Monaten nahezu vervierfacht.

Botnetze bestehen meist aus mehreren tausend infizierten Rechnern, die ohne das Wissen der Benutzer dazu missbraucht werden, illegale Aktivitäten im Internet durchzuführen und zu tarnen.
Konkret bedeutet das, infizierte Rechner werden als Proxys, zum Versand von Spam, für DDoS Attacken, zum Ausspähen von Daten, zum Betrieb von Phishing Seiten, zu Bruteforce Angriffen und letztendlich auch zur Weiterverbreitung des Botnetzes genutzt.

Weit verbreitet sind solche Bots auf privat genutzten Windows Rechnern, die per Mailspam oder Social Engineering (bspw. Tarnung als gutartige Software) infiziert werden.

Allerdings sollte man auch als Besitzer eines Rootservers oder VServers auf der Hut sein, da sich die Angriffe längst nicht mehr nur auf Windows Rechner beschränken. Auch Linux und Unix Systeme werden systematisch auf Schwachstellen gescannt und automatisiert infiziert. Dies belegen alleine schon die Logdateien unserer Firewalls, die mit solchen Scans regelrecht überflutet werden. Auch bekommen wir immer wieder Abusemails oder Hilferufe von Kunden die nicht mehr weiter wissen was mit ihrem System los ist. Fast immer ergeben nähere Untersuchungen, dass der betroffene Server mit einem Bot infiziert wurde.

Deshalb sollte man sich, insbesondere wenn man einen Server betreibt, der permanent und mit hoher Bandbreite an das Internet angebunden ist, auf jeden Fall einige Gedanken zum Thema Sicherheit machen.

Hier einige einfache und grundlegende Punkte die einem einiges an Ärger und unter Umständen auch Geld ersparen können:

  • Administriere nur die Software, mit der ich mich wirklich auskenne. Im Zweifelsfall besser einen Fachmann um Rat fragen bzw. von diesem das System administrieren und absichern lassen.
  • Installiere nur die Pakete und Programme, die ich wirklich benötige.
  • Starte nur die Dienste von denen ich weiß was sie machen und dass ich sie brauche.
  • Gewähre auf Dateien nur die Rechte, die wirklich benötigt werden. Ein chmod 777 ist fast immer fehl am Platz.
  • Limitiere Benutzer und Dienste soweit es möglich ist. Stichpunkt unter Unix / Linux: Chroot und Jail
  • Firewall einrichten: Öffne nur die Ports, die ich für meine Anwendungen brauche.
  • System aktuell halten: Sicherheitsupdates so schnell wie möglich einspielen. Mailinglisten der eingesetzten Software abonnieren, um schnell informiert zu werden. Kernel Updates nicht vergessen.
  • Logdateien regelmäßig auf ungewöhnliche Einträge kontrollieren. Stichwort: Bruteforce
  • Systemvariablen überwachen: Sprunghafte Veränderungen von Werten können auf ein Sicherheitsleck hinweisen. Denn sobald der Server mit einem Bot infiziert ist, wird dieser meist auch massiv missbraucht, was bspw. ein einer steigenden Anzahl von Prozessen, höherem Load, höheren Traffic und dergleichen resultiert.
  • System abhärten. Sehr gute Anleitungen und HowTos gibt es für für fast jede Distribution. Oft wird auch PHP genutzt um sich erst einmal eine Shell zu verschaffen. Maßnahmen für PHP wären beispielsweise suPHP oder FastCGI und suhosin.
  • Zusätzliche Software installieren, um das System abzusichern. Zum Beispiel bei Debian: Fail2Ban um Bruteforce Angriffe zu verhindern; per Cronjob regelmäßig das System mit Tools wie ClamAV, rkhunter und Chkrootkit scannen und Ergebnisse der Überprüfungen per Mail zuschicken lassen.
  • Vom Standard abweichen: Massenweise, automatische Angriffe machen nur Sinn, wenn man damit möglichst viele Ziele erreichen und infizieren kann. Daher kann es durchaus von Vorteil sein, wenn man nicht jede Konfiguration mit den default Optionen einrichtet sonder sich mit der installierten Software beschäftigt und Anpassungen vornimmt. Zum Beispiel bei SSH den Port verlegen und nur noch Authentifizierung per Key zulassen. Das erspart einem schon einmal einiges am Hintergrundrauschen des Internets, sprich Bruteforce Angriffen. Es ist klar, dass das System an sich dadurch nicht wirklich sicherer wird aber es mindert doch das Risiko enorm, Opfer eines solchen ziellosen Versuchs zu werden.
  • Sichere Passwörter verwenden. Warum wird immer noch so stark auf Bruteforce gesetzt? Genau, weil es immer noch funktioniert! Selbst bei hauptberuflichen Systemadministratoren und in großen Firmen hat sich anscheinend immer noch nicht herum gesprochen, dass ein Passwort alà Eigenname mit 6 Buchstaben oder der Geburtstag der Ehefrau alles andere als sicher ist. Wir müssen das leider Tag ein Tag aus in der Praxis miterleben.

Die Liste erhebt keineswegs Anspruch auf Vollständigkeit oder darauf, detailliert zu sein. Es sollen lediglich einige Anregungen gegeben werden, sich mit dem Thema Sicherheit etwas intensiver zu beschäftigen und das eigene Sicherheitskonzept (sofern es denn existiert) vielleicht nochmals zu überprüfen.

Auch möchten wir unerfahrene Nutzer nochmals ausdrücklich davor warnen, ihre ersten Versuche unter Linux an einem Server zu machen. Hierfür bieten sich LiveCDs und Rechner an, die nicht ans Internet angebunden sind. Ansonsten kann die Freude am eigenen Server und die Tatsache, ein paar Euro für die Administration gespart zu haben, doch sehr schnell in Frust und wirklich hohe Folgekosten umschlagen.

Allen anderen wünschen wir natürlich weiterhin viel Spaß und Erfolg mit Ihren Servern. 😉