Security-Check

So erkennen Sie Hacker auf Servern

15.10.2014 von Thomas Joos
IT-Verantwortliche müssen Server mit speziellen Tools und Maßnahmen ständig überwachen, um Angreifer rechtzeitig zu erkennen und zu bekämpfen. Denn Hacker sind kreativ und in der Lage, die standardisierten Sicherheitsmaßnahmen eines Unternehmens auszuhebeln.

Greifen Hacker das Unternehmen an, besteht grundsätzlich auch die Gefahr, dass die Server kompromittiert werden. Das passiert vor allem in kleinen Unternehmen, deren Netzwerke oft nur unzureichend vor Angriffen geschützt sind. Aber auch bei größeren Unternehmen besteht generell die Gefahr, dass sich Hacker oder Schadsoftware auf den Servern einnisten. Um Böses abzuwenden, verlassen sich viele Verantwortliche dabei auf den Virenschutz der Rechner. Dieser erkennt aber nicht alle Angreifer. In diesem Beitrag geben wir Ihnen einige Hinweise, wie Sie verdächtigen Aktionen auf die Schliche kommen.

Bildergalerie: Server_Hacker
Hacker auf dem Server
Der Process Explorer zeigt Prozesse auf Rechnern an und erlaubt eine umfassende Analyse.
Hacker auf dem Server
Bot-Schädlinge entfernen Sie mit kostenlosen Tools wie Norton Power Eraser.
Hacker auf dem Server
Auch zum Entfernen von Rootkits gibt es eigene Programme.
Hacker auf dem Server
Überprüfen Sie, ob die Sicherheitseinstellungen Ihrer Empfangs-Connectoren manipuliert wurden.
Hacker auf dem Server
SmartSniff bietet einfachen Mitschnitt des aktuellen Netzwerkverkehrs auf einem Computer.
Hacker auf dem Server
Mit dem kostenlosen Microsoft Network Monitor können Sie den Datenverkehr in Netzwerken verfolgen. Dabei muss es sich nicht immer um Microsoft-Netzwerke handeln.
Hacker auf dem Server
Mit TCPView lassen Sie sich Netzwerkverbindungen von Servern anzeigen.
Hacker auf dem Server
Auch CurrPorts zeigt Ihnen übersichtlich die geöffneten Ports auf Ihren Servern an.
Hacker auf dem Server
Mit netstat zeigen Sie ebenfalls Netzwerkverbindungen von Rechnern an.
Hacker auf dem Server
Die erweiterte Sicherheitsüberwachung in Windows Server 2012 R2 bietet einen wichtigen Überblick, zur Sicherheit der Benutzerkonten.

Zunächst sollten Sie im Netzwerk ständig überprüfen, ob es Probleme bezüglich der Arbeitsstationen gibt. Wenn Netzwerke gehackt werden, dann oft über den Weg der Client-Computer. Sind Angreifer aber im Unternehmen angekommen, sind auch die Server in Gefahr. Das gilt vor allem dann, wenn zwischen dem Netzwerk mit den Client-Computern und den Servern keine Firewall positioniert ist, die den Datenverkehr Port-genau filtern kann. Wenn Hacker erst die Server im Visier haben, werden oft Bot-Schädlinge installiert, Trojaner lesen Daten aus, oder der E-Mail-Server wird als Spam-Relay missbraucht. Natürlich gibt es eine Vielzahl weiterer Angriffsmöglichkeiten, die Unternehmen vor Probleme stellen können. Wir zeigen, wie Sie diese erkennen und beheben können.

Server auf verdächtige Prozesse untersuchen

Der Process Explorer zeigt Prozesse auf Rechnern an und erlaubt eine umfassende Analyse.
Foto: Thomas Joos

Wenn Server unter einer hohen Last laufen, sollten Sie im Task-Manager überprüfen, welche Prozesse gestartet sind. Prozesse, die Sie nicht erkennen, sollten Sie genauer überprüfen. Hier stehen für Serverdienste auch spezielle Tools zur Verfügung, die bei der Analyse helfen können. Vor allem wenn es um die Serverüberwachung geht, verwenden viele Administratoren den kostenlosen Sysinternals Process Explorer.

Über das Kontextmenü können Sie mit Search Online direkt im Internet nach dem Prozess suchen lassen. Finden Sie einen Angreifer, dann sollten Sie diesen aber nicht sofort löschen. Prüfen Sie erst, wo er herkommt, und eliminieren Sie ihn an der Quelle. Löschen Sie nur den Prozess. Achten Sie auch auf Prozesse, die zunächst seriös klingen - die wenigsten Angreifer nennen Ihren Schädling hack.exe. Über das Kontextmenü von Prozessen können Sie diese mit Check Virus Total online nach Viren scannen lassen.

Bots und Rootkits entfernen

Besonders häufig werden Server von Bots oder Rootkits angegriffen. Diese werden erfahrungsgemäß eher selten von Standard-Viren-Scannern erkannt, sondern nur von speziellen Tools, die dafür entwickelt wurden.

Bot-Schädlinge entfernen Sie mit kostenlosen Tools wie Norton Power Eraser.
Foto: Thomas Joos

Wenn ein Server in Ihrem Unternehmen von einem Bot-Schädling angegriffen wurde, kann der Server über den Schädling Rechenaufgaben im Namen des Angreifers durchführen. Diese werden entweder für das Versenden von Spam-E-Mails oder für kriminelle Aktivitäten genutzt. Es is daher in jedem Fall sinnvoll, wenn Sie die Server bei Verdacht mit einem oder mehreren Tools nach den Schädlingen durchsuchen lassen. Die bekanntesten Werkzeuge in diesem Bereich sind:

Bot-Bekämpfer:

Malicious Software Removal Tool

Trend Micro RuBotted

Norton Power Eraser

Avira

Kaspersky DE-Cleaner

Rootkit-Bekämpfer:

Kaspersky TDSSKiller Rootkit Removal

avast! aswMBR Rootkit Scanner

Bitdefender Rootkit Remover

Malwarebtytes Anti-Rootkit

McAfee Rootkit Remover

Sophos Rootkit Removal Tool

Oshi Unhooker

Trend Micro RootkitBuster

Offenes Relay auf dem E-Mail-Server

Die Anzahl Ihrer Transaktionsprotokolle auf den Exchange-Servern wächst sehr schnell an, wenn Ihr Exchange-Server als offenes Relay im Internet steht. Dabei wird er von anderen Servern als Zwischenstation (Relay) zum Versenden von Spam oder Viren verwendet. Stellen Sie sicher, dass nur speziell eingetragene Server Ihren Exchange-Server als Relay verwenden dürfen, und am besten nur jene in Ihrem internen Netzwerk. Die Einstellungen dazu finden Sie in den Berechtigungen der Empfangs- und Sendeconnectoren, je nach der Exchange-Version, die Sie einsetzen.

Spätestens dann, wenn Sie bemerken, dass Ihr Server auf schwarzen Listen der Spam-Versender erscheint, sollten Sie eine genaue Analyse von Exchange vornehmen und sicherstellen, dass kein Angreifer den Server dazu missbraucht, Spams oder Viren zu versenden.

Überprüfen Sie, ob die Sicherheitseinstellungen Ihrer Empfangs-Connectoren manipuliert wurden.
Foto: Thomas Joos

In vielen Unternehmen gibt es Server, zum Beispiel ERP-, CRM- oder auch SharePoint-Server, die für ihre Funktionen einen E-Mail-Server auf SMTP-Basis ansprechen müssen, um E-Mails zu senden. Dies gilt auch für Multifunktionsgeräte oder Scanner. Aus Sicherheitsgründen blockiert Exchange E-Mails, die nicht von internen Anwendern kommen. Dabei ist es unerheblich, ob Exchange E-Mails intern zustellen oder über entsprechende Connectors nach außen versenden soll. Ist das Relaying für den Server deaktiviert, erhalten andere Server die Meldung: 550 5.7.1 Unable to relay. In diesem Fall ist der Server sicher. Sie finden diese Einstellungen über Nachrichtenfluss / Empfangsconnectors.

Verdächtigen Netzwerkverkehr finden

Angreifer auf Server äußern sich häufig auch durch verdächtigen Netzwerkverkehr. Hier müssen Sie sich ein wenig mit der Analyse von Netzwerken auskennen, um Angriffe zu finden. Mit dem kostenlosen Microsoft Network Monitor können Sie den Datenverkehr in Netzwerken verfolgen. Dabei muss es sich nicht immer um Microsoft-Netzwerke handeln. Das Tool steht im Microsoft Download-Center zur Verfügung. Informationen zu diesem Tool finden Sie auf den folgenden Seiten:

Blog zu Microsoft Network Monitor

Network Monitor Open Source Parsers

Network Monitor Experts

TechNet-Forum

Mit New Capture / Start beginnen Sie einen Scanvorgang. Auf den Seiten erhalten Sie auch Anleitungen, wie Sie Filter setzen und den Verkehr dadurch übersichtlicher überwachen können. Sie können den Scan-Vorgang auch abspeichern und an Spezialisten senden, die die Daten besser auswerten können.

SmartSniff bietet einen einfachen Mitschnitt des aktuellen Netzwerkverkehrs auf einem Computer.
Foto: Thomas Joos

Neben dem Microsoft Network Monitor können Sie auch das Tool Wireshark nutzen. Auch dieses ermöglicht eine Analyse des Netzwerkverkehrs. Um das Tool optimal nutzen zu können, müssen Sie noch WinPcap installieren, eine Erweiterung für Windows, die es Netzwerkprogrammen erlaubt, den Datenverkehr mitzuschneiden.

Wenn Sie nur eine schnelle Übersicht über den aktuellen Datenverkehr sowie über die verschickten Pakete erhalten wollen, ohne einen Treiber installieren oder die Anwendung kompliziert einrichten zu müssen, ist SmartSniff die richtige Wahl. Sie können das Tool ohne Installation direkt starten. Nach dem Start klicken Sie auf das grüne Dreieck, um den Sniffer-Vorgang zu starten.

Geöffnete Ports analysieren

Mit TCPView lassen Sie sich Netzwerkverbindungen von Servern anzeigen.
Foto: Thomas Joos

Viele Schädlinge arbeiten mit eigenen Ports bei den Verbindungen zu Ihrem Heimatserver. Neben den Programmen für die Netzwerkanalyse sollten Sie daher auch die geöffneten Ports auf einem Server im Auge behalten und verdächtige Kommunikationsvorgänge überprüfen.

Mit TCPView lassen Sie sich in einer grafischen Oberfläche alle TCP- und UDP-Endpunkte eines Computers anzeigen. Sie sehen detaillierte Informationen über den Prozess, dessen ID, das Protokoll, die Remote-Adresse und den Port. Das Tool baut auf Informationen auf, die das Windows-Tool netstat liefert, bietet aber mehr Informationen und ist leichter zu bedienen.

Auch CurrPorts zeigt Ihnen übersichtlich die geöffneten Ports auf Ihren Servern an.
Foto: Thomas Joos

CurrPorts von NirSoft zeigt in der grafischen Oberfläche ebenfalls die geöffneten Ports sowie die Anwendungen inklusive Symbole an, die die Ports geöffnet halten. Über das Kontextmenü der einzelnen Verbindungen können Sie die entsprechenden Prozesse beenden und weitere Informationen aufrufen.

Mit netstat zeigen Sie ebenfalls Netzwerkverbindungen von Rechnern an.
Foto: Thomas Joos

Neben den Zusatz-Tools können Sie geöffnete Ports natürlich auch mit Bordmitteln anzeigen. Verwenden Sie dazu den Befehl netstat an in der Eingabeaufforderung. Ausführlichere Informationen erhalten Sie mit netstat -banvo. Die Routing-Tabelle des Computers sehen Sie mit netstat -r, Statistiken zu TCP/IP zeigt das Tool mit netstat -s an.

Einbrüche in Active Directory erkennen

Um Einbrüche und Angriffe auf das Active Directory und die Berechtigungen zu finden, gibt es Überwachungsrichtlinien. Einstellungen dazu nehmen Sie über Gruppenrichtlinien vor. Um Anmeldungen im Active Directory zu überwachen, müssen Sie die Richtlinie Anmeldeereignisse überwachen aktivieren. Verknüpfen Sie die Richtlinie als Gruppenrichtlinie mit allen Computern. Sobald die Überwachung aktiviert ist, verwendet der Computer die Ereignisanzeige und den Bereich Windows-Protokolle\Sicherheit. An den Ereignissen ist zu sehen, wann sich ein Benutzer an- und wieder abgemeldet hat. Die Einstellungen dazu sind bei Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Erweiterte Überwachungsrichtlinienkonfiguration \ Überwachungsrichtlinien \ Kontoanmeldung zu finden.

Ein weiterer wichtiger Punkt sind folgende Einstellungen, die Sie aktivieren sollten:

Systemereignisse überwachen

Prozessnachverfolgung überwachen

Die erweiterte Sicherheitsüberwachung in Windows Server 2012 R2 bietet einen wichtigen Überblick zur Sicherheit der Benutzerkonten.
Foto: Thomas Joos

Interessante Einstellungen dazu finden Sie auch bei Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Erweiterte Überwachungsrichtlinienkonfiguration \ Überwachungsrichtlinien \ Kontoanmeldung. Ob die Einstellungen auf den Servern funktionieren, testen Sie mit dem Befehl auditpol /get /category:* in der Befehlszeile.

Ist die Überwachung erfolgreich, finden Sie in der Ereignisanzeige auf den Domänencontrollern über Windows-Protokolle\Sicherheit neue Einträge.

Mit dem Befehlszeilen-Tool LogonSessions von Sysinternals zeigen Sie angemeldete Sitzungen auf einem Computer an. Geben Sie den Befehl ohne Optionen ein, reicht unter Umständen der Puffer der Eingabeaufforderung nicht aus, da zu viele Informationen enthalten sind. Verwenden Sie in diesem Fall die Option logonsessions | more oder vergrößern Sie den Puffer der Eingabeaufforderung über deren Eigenschaften. Alternativ lassen Sie die Ausgabe über die Option > logon.txt in eine Datei umleiten. Das Tool ist sinnvoll für die Überwachung von Terminalservern.

DEFT Linux 8.2 - Sicherheits-Live-CD für Administratoren

DEFT Linux ist eine Linux-Live-DVD, mit der sich Netzwerke auf Schwachstellen und Angreifer überprüfen lassen. Nach dem Download der ISO-Datei brennen Sie die Datei als Betriebssystem-Image und starten die Live-DVD. Nach dem Boot-Vorgang starten Sie die grafische Oberfläche mit deft-gui. Die Distribution bietet Linux-Security-Tools wie Autopsy Forensic Browser. Mit der Sicherheitslösung lassen sich Datenträger und Verzeichnisse auf verloren gegangene oder gelöschte Dateien untersuchen. Das Tool ist eine grafische Oberfläche des Forensik-Tools Sleuthkit TSK.