30 thoughts on “4 Tipps, wie Sie Ihren (Virtual)Server gegen Hacking-Attacken schützen

  1. Vielen Dank für die Tipps. Viele unterschätzen die Risiken. Man haftet ja schließlich für die Folgen, sollte der Server unter Kontrolle der Hacker gelangen.
    Natürlich gibt es noch mehr bzw. weitere Möglichkeiten seinen Server zu schützen. Die oben aufgeführten Schritte sind jedoch die ersten, die ein Server-Inhaber machen sollte.

    • Hallo Alex, guter Hinweis. Durch den gewählten Schriftstyle waren leider Teile von Befehlen sehr schwer lesbar. Ich habe den Style geändert. Vielen Dank.

  2. Ihnen ist schon bewusst, dass alle Ports über 1024 in UNIX unpriviligiert nutzbar sind? Das heißt im Klartext, dass bspw. auf einem Shared System (z.B. Webhosting) jeder mit einem Zugang auf diesem Port lauschen könnte – um dort z.B. einen SSH-Server zwecks Passwort-Sniffing zu betreiben.

    Bessere Variante ist SSH auf Port 22 mit vorherigem Port-Knocking (iptables-Flag), für das Knocking darf der Port dann auch beliebig sein, da hier kein sicherheitsrelevanter Service läuft.

    • Hallo,
      theoretisch ja, allerdings bräuchte der Benutzer Rechte, um etwas auf dem Server zu installieren, sonst kann er nichts machen. Und selbst wenn es einem „eingeschränkten“ Benutzer gelingen sollte, seinen SSH-Spoofer zu starten, bevor der „richtige“ SSH-Server startet, bekommt man doch beim Versuch, sich zu verbinden (connect) eine Fehlermeldung, da der Fingerprint des Servers nicht stimmt. Spätestens da sollte man als Nutzer, der sich per SSH verbinden will, aufpassen und misstrauisch werden.

    • Hallo Michael,
      ja, das ist richtig. Da sich die beiden Produktgruppen nicht nur in diesem Punkt technisch unterscheiden, haben wir Virtual Server Managed vor drei Jahren umbenannt in WebServer bzw. WebServer Dedicated (wenn es sich um ein dediziertes Server-Produkt handelt).
      Mit besten Grüßen
      Wolf-Dieter

  3. Bei mir hieß die Datei sshd_config. Dort habe ich den Port geändert und SSH neugestartet mit service ssh restart auf dem vServer.

    Nun wollte ich fail2ban über Plesk anpassen, da ich den Service auch über Plesk aktiviert hatte.

    Reicht es aus dort unter Jails -> SSH -> Einstellungen ändern den folgenden Eintrag abzuspeichern?

    iptables[name=SSH, port=Neuen Port eingetragen, protocol=tcp]

    Oder muss auch noch zusätzlich unter Jails -> Filter bearbeiten -> sshd den Eintrag ssh/d ändern?

    Screenshot: http://screenshot.reloado.com/show/CqGaB-2581.html

    Kann man die Variable ssh nicht einfach systemweit umändern?

    Vielen Dank für diesen gelungenen Artikel!

    • Hallo Nick,
      es reicht, wenn Du über Plesk den Eintrag unter Jails änderst, dann wird die entsprechende IP automatisch geblockt.
      Mit besten Grüßen
      Wolf-Dieter

  4. Ist es beabsicht, dass beim Bild „fail2ban-hinzufügen.png“ die VPS IP-Adresse verschleiert wurde, jedoch beim letzen Bild (Abbildung-Logfile-Fail2ban.png) diese sichtbar ist?

    • Hallo Thomas,
      obwohl es nur die Adressen von Testgeräten sind, sollten die IP-Adressen natürlich auch verschleiert sein. Habe ich gerade gefixed.
      Vielen Dank
      Wolf-Dieter

  5. Hallo,
    der Befehl „Iptables –L“ gehört auf „iptables –L“. Linux die Welt der Kleinschreibung.
    Man könnte den Artikel über fail2ban erweitern auf DDos Attacken.
    Gruß
    Erich

    • Hallo Erich,
      das war mal wieder die Word-Autokorrektur 🙁 Ist mir durchgegangen.
      Vielen Dank für den Hinweis
      Wolf-Dieter

  6. Da Sie schon die pubkey Authentifizierung erwähnen würde ich noch einen einfachen Schritt weitergehen und komplett das interaktive Login abschalten.
    Diese Einträge wirken Wunder:
    PasswordAuthentication no
    PermitEmptyPasswords no <– paranoia settings

    • Vielen Dank für die Ergänzung. Diese Einstellung kann man natürlich zusätzlich vornehmen, allerdings lässt sich dann kein zweiter passwortgeschützter Zugang zu Ihrem Server einrichten.
      PermitEmptyPasswords no sollte natürlich immer gewählt werden.

  7. Leider haben die beschriebenen Schritte zum Ändern des SSH-Ports bei meinem Virtual Server (Starter) keinen Erfolg. Ich kann mich trotzdem noch über Port 22 einloggen. Woran kann das liegen?

    • Hallo Stephan,
      das lässt sich allgemein schwer beurteilen. Eventuell hat Du vergessen, den entsprechenden Port zu ändern. Wenn Du Kunde mit Deinem Server von Host Europe bist, kannst Du uns dazu aber gerne ein Support-Ticket einreichen. Meine Kollegen checken das dann.
      Beste Grüße
      Wolf-Dieter

  8. Die Änderung bzgl. des zusätzlichen Users funktioniert soweit, allerdings ist noch nicht erklärt, wie ich denn dann an Root-Rechte komme, wenn sie doch mal benötigt werden („su -„).

    • Hallo Markus,
      nach der Anmeldung erhältst Du die Root-Rechte durch su und die Eingabe des Passwortes.
      Beste Grüße
      Wolf-Dieter

  9. Ich danke Ihnen für den informativen Artikel und die vielen nützlichen Tipps. Man kann in dieser Hinsicht nie vorsichtig genug sein. Hackerangriffe stehen an der Tagesordnung und man sollte sich gut dagegen absichern.

    • Hallo,
      Virtual Server und Root Server sind selbstadministrierte Systeme, daher müssen Sie als Administrator selbst überwachen, ob unbekannte Prozesse auf Ihrem Server laufen und was diese tun. Sollte uns auffallen , dass der Server eines Kunden gehackt wurde, wird dieser Kunde selbstverständlich von uns informiert. Mit besten Grüßen Wolf-Dieter Fiege

  10. Könnte ein Zeichen, dass man gehackt wurde sein das beim Betreten des gehackten Benutzers die letzten Befehle nicht aufrufbar sind?

    • Hallo Gerolmed,

      das kann ein Zeichen sein, muss es aber nicht.
      Wenn Sie Kunde bei Host Europe sind, können Sie einen Auftrag für einen Check über Kunden-Informations-System einreichen. Die Analyse von illegalen Aktivitäten jeglicher Art ist allerdings ein kostenpflichtiger Auftrag, der mit 25 Euro pro 15 Minuten berechnet wird. Sie können z.B. eine günstige Einschätzung beauftragen, ob bei oberflächlicher Einsicht illegale Aktivitäten erkennbar sind.
      Mit besten Grüßen
      Wolf-Dieter Fiege

  11. Hallo
    habe fail2ban installiert (apt-get install fail2ban)
    und dann das (cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local) eingeben und dann kam
    root@vps:~# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
    cp: cannot stat ‚/etc/fail2ban/jail.conf‘: No such file or directory

    mfg Sebastian ma

    • Hallo Sebastian,
      ohne das System zu können, ist das schwierig zu sagen. Wenn die Datei nicht vorhanden ist, dann ist ggf. die Installation nicht korrekt erfolgt.
      Eventuell Installation wiederholen oder zum Check einen Supportauftrag über das Kunden-Informations-System (KIS) einreichen (das ist allerdings kostenpflichtig).
      Mit besten Grüßen
      Wolf-Dieter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.