Vertraue ich meinem Server noch?

Vertraue ich meinem Server noch?


In seiner Hardening-Kolumne erklärt unser Kollege und Experte für Datenforensik, Frank Langer, wie man Computer und Systeme gegen Angriffe härten kann. In der zweiten Ausgabe stellt er sich die Frage: Vertraue ich meinem Server noch?

Diese Frage stellte ich mir als Administrator heterogener Server-Systeme oft.

Und so stieß ich auf das Erkennungssystem AIDE meines SuSE Linux Servers. Nach dem Setup des Servers von den Original-Quellen führte ich einen Scan mit diesem Werkzeug durch. Damit wurde der Ausgangspunkt für weitere Analysen gesetzt. Dabei müssen plausible und außergewöhnliche Veränderungen voneinander unterschieden. Verändert sich beispielsweise die gespeicherte Prüfsumme von Webserver-Executables oder dessen Konfiguration nach einem Update, erscheint das plausibel. Ich musste also meinen Ausgangspunkt für Analysen nur auf den Tag der plausiblen Veränderungen setzen, wenn beispielsweise Installationen oder Updates durchgeführt wurden. 

Tut es das jedoch außerhalb dieser Prozeduren, sollte man misstrauisch werden. Keine Software verändert sich ohne externes Zutun von allein. Tut sie das, dann könnten unerwartete Funktionen hinzugekommen sein. Dann sollte man unbedingt prüfen, was geschehen sein könnte und ob ein Weiterbetrieb mit Risiken verbunden wäre.

Wir können im Alltag eines IT-Betriebs nicht jede Schwachstelle einer Server-Software kennen. Oft dauert es, bis sie entdeckt und beseitigt werden. Aber wir können auf ungewöhnliche Veränderungen achten, regelmäßig danach in sensiblen Bereichen unserer Server suchen und uns warnen lassen, wenn sie entdeckt werden. 

Sinnvoll ist dann ein überlegtes Vorgehen nach Erkenntnisgewinn. Was will ich tun, wenn mein Server kompromittiert wurde?

Wer sich belesen möchte, dem sei erneut die Workbench des "Centers for Internet-Security" empfohlen.