Für Außenstehende erinnert es in vielen Fällen an einen schlechten Film: Auf einmal ist der Root- oder der Webserver, auf dem die operativen Dienste von Linux abgelegt sind, vollkommen leer und alle ehemals vorhandenen Daten restlos gelöscht. Der Webserver ist offline und das vollständige EXT4 System enthält weder Datenbank noch Daten.
Das Vorgehen von Kriminellen ist stets gut durchdacht und gezielt. Sie gehen vor allem in Infrastrukturen von Hosting Providern und Clouds auf die Suche nach Sicherheitslücken. Über diese dringen sie dann ein, sodass sie die Server kompromittieren können. Die Datenrettung vom Linux Webserver kann in diesen Fällen dann nur durch einen professionellen Dienstleister erfolgen.
Diese Systeme werden besonders oft angegriffen
Besonders häufige Ziele von derartigen Attacken sind Server, die sich in einer Colocation Umgebung befinden und auf einer eigenen Hardware basieren. Ebenfalls angegriffen werden oft dezidierte Server mit vollen Administrationsrechten und angemieteter Hardware, also Root-Server. Betroffen sind ebenfalls die sogenannten V-Server.
Da Linux-Systeme besonders oft als Webserver genutzt werden, werden dabei in der Regel die folgenden Betriebs- und Dateisysteme eingesetzt:
- ZFS
- XFS, beispielsweise CentOS
- BTRFS, beispielsweise SLES
- EXT4 und EXT3, beispielsweise Debian
Der Ablauf eines Angriffs mit Verlust der Daten
Im ersten Schritt erfolgt das Hacking des Servers. Die Angreifer dringen durch unterschiedliche Angriffstechnologien und -vektoren in die Administratorrechte ein und erhalten dadurch einen Zugriff. Falls eine spätere Herausgabe der Daten geplant ist, wird dann eine Datensicherung durchgeführt.
Danach folgt die Vernichtung der Daten. Dabei werden in dem Dateisystem auch alle Metainformationen gelöscht. So kommt es zu einer finalen Vernichtung der Zuordnung von Dateien und Ordnern im System.
Optional wird vor der Datenlöschung eine Datenverschlüsselung durchgeführt. In einigen Fällen werden die Daten auch nur verschlüsselt und nicht gelöscht. Nun folgt die eigentliche Erpressung des Unternehmens, welches angegriffen wurde. Dieses soll ein Lösegeld zahlen, welches sich individuell nach der jeweiligen Größe des betroffenen Unternehmens richtet. Oft gehen diese Erpressungsgelder in die Höhe von Millionen.
Erfolgen können einige der individuellen Angriffe, wenn die Serversysteme besonders mangelhaft gesichert sind. Dann werden vor allem automatisiert ablaufende Ransomware-Angriffe ausgeführt.
Gehackter Webserver – Rettung und Wiederherstellung der gelöschten Daten
Durch den jeweiligen Angreifer wird eine gezielte Vernichtung beziehungsweise Löschung der Daten durchgeführt. Dabei verfolgt er das Ziel, dass diese nach Möglichkeit nicht wiederhergestellt werden können.
Die Löschung von sämtlichen Metainformationen und Filetables gehört ebenfalls dazu. Denn diese könnten, falls eine Rekonstruktion der Daten möglich ist, Aufschluss darüber geben, welche bisherige Dateizuordnung bestanden hat.
Experten schätzen die Lage so ein, dass die Chance auf konsistente Datenbanken und Dateien nur gegeben ist, wenn die Rekonstruktion manuell ausgeführt wird. Dadurch, dass die Cyberangriffe in den aktuellen Zeiten auf deutsche Root-Server in den Rechenzentren von Unternehmen stark ansteigen, mussten die professionellen Dienstleister, die eine manuelle Datenrettung für Linux-Systeme anbieten, ihre Kapazitäten bereits stark erhöhen. Allerdings können einige Anbieter auf diesem Weg beeindruckende Erfolgsquoten von über 90 Prozent vorweisen. Dies ist in der Regel einem umfangreichen Know-How und einer spezialisierten Vorgehensweise zu verdanken. Natürlich kann es eine sichere Erfolgsgarantie nie geben, insbesondere, wenn eine zusätzliche Verschlüsselung genutzt wurde. Dennoch ist es durchaus lohnenswert, die betroffenen RAID-Systeme professionell begutachten zu lassen.
Dabei kommt es darauf an, dass nach Möglichkeit alle Datenträger, die betroffen sind, zur Verfügung gestellt werden. Hostinganbieter und Betreiber von Rechenzentren sind auf eine solche Bereitstellung ihrer Speichermedien vorbereitet und machen es in vielen Fällen möglich, diese innerhalb einer Zeit von lediglich zwei bis vier Stunden zur Verfügung zu stellen. Dafür wird dann eine Kautionszahlung verlangt.
Der Dienstleister, der mit der Datenrettung beauftragt wird, sollte stets so früh wie möglich in den Prozess involviert werden, da diese die Koordination und die Kommunikation mit dem jeweiligen Datacenter maßgeblich unterstützen können.
Webserver gehackt – Wie reagieren?
Im Fall der Fälle sollten ohne vorhandene Fachkenntnisse keinerlei Manipulationen an den Datenträgern oder dem Root-Server vorgenommen werden. Der Zustand der Datenträger sollte unverändert bleiben, da es möglich ist, dass nicht nur eine Datenrettung, sondern auch eine BKA- oder Verfassungsschutzermittlung eingeleitet wird.
Professionelle Dienstleister führen die Betroffenen dann kontrolliert und sicher durch den Prozess der Datenwiederherstellung. Diese übernehmen in vielen Fällen auch die Kommunikation mit dem Hoster, damit ein sicherer Transport der Medien gewährleistet wird.
Falls es sich um einen Ransomware-Angriff beziehungsweise um eine Erpressung handelt, die mit einer Forderung von Lösegeld einhergeht, sollte auf diese niemals eingegangen werden. Es besteht dann nämlich ein sehr hohes Risiko, dass weitere Erpressungsversuche folgen oder die Daten nach der Zahlung doch nicht wieder herausgegeben werden.
Wie kann der Webserver vor Hacking-Angriffen geschützt werden?
Um einen Webserver wirklich abzusichern, müssen immer unterschiedliche Ebenen umfasst werden. Auch kommt es auf die individuell genutzten Dienste und das jeweilige Betriebssystem an.
Eine gute Lösung besteht darin, einen Spezialisten für Schwachstellenanalysen, Pentests und IT-Sicherheit Audits, zu beauftragen. Durch diesen kann in einem ersten Schritt herausgefunden werden, wo genau Sicherheitslücken zu identifizieren sind.
Datenrettung – Wie viel Zeit nimmt diese in Anspruch?
Wie lange es dauert, bis die Wiederherstellung der Daten abgeschlossen ist, hängt von unterschiedlichen Faktoren ab.
Es kommt darauf an, um welche Art von Dateisystem es sich handelt und welcher Schaden entstanden ist. Ebenfalls spielen die Fragmentierung und der Umfang der Datenspuren eine Rolle, ebenso wie die Größe und die Anzahl der vorhandenen Datenbanken.
Zuerst muss eine Analyse durchgeführt werden, die einen detaillierten Überblick über den Zustand des Systems und die Datenfragmente erlaubt. Eine verlässliche Einschätzung der Zeit, die für die Wiederherstellung der Daten benötigt wird, kann erst danach getätigt werden.
Das sind die Schwachstellen für Angriffe von Hackern
Es gibt eine Vielzahl von Gegebenheiten, die dazu führen, dass Systeme von Hackern einfacher angegriffen werden können. Zu diesen gehören beispielsweise:
- Mangelndes Konzept von Benutzerberechtigungen
- Software ist nicht auf dem aktuellen Stand
- Offene Netzwerkports
- Keine Nutzung von Multi-Faktor-Authentifizierung
- Unzureichendes SSL-Zertifikat oder Verzicht auf SSL-Verschlüsselung
- Keine Sperrung des ROOT Login
- Öffentliche IPs haben freien SSH Zugang
- Konfiguration der Firewall ist unzureichend
- Keine Sperrung von mehrfachen Anmeldeversuchen
Generell lässt sich festhalten, dass professionelle Rechenzentren und Hoster in der Regel hinsichtlich ihrer Sicherheitsarchitektur auf dem aktuellen Technikstand sind. Somit kann ein Hacker-Angriff normalerweise nur dann erfolgen, wenn das System des Kunden nicht ausreichend gesichert ist.