Ein gehackter Server zeigt oft keine offensichtlichen Symptome. Dieser Leitfaden zeigt Ihnen Schritt fuer Schritt, wie Sie Kompromittierungen aufdecken, Malware entfernen und Ihren Server kuenftig schuetzen.
Nicht jeder Hack ist offensichtlich. Cryptominer arbeiten leise im Hintergrund. Web Shells verstecken sich in Upload-Verzeichnissen. Rootkits manipulieren Systembefehle, damit sie sich selbst unsichtbar machen. Achten Sie auf diese Warnsignale:
Beginnen Sie mit einer Uebersicht aller laufenden Prozesse. Achten Sie besonders auf unbekannte Prozessnamen, hohe CPU-Auslastung und Prozesse, die aus ungewoehnlichen Verzeichnissen gestartet wurden.
Achten Sie auf Prozesse mit kryptischen Namen in /tmp, /dev/shm oder /var/tmp. Cryptominer tarnen sich haeufig als Systemprozesse wie kworker oder kdevtmpfsi.
Rootkits manipulieren Systembefehle, um ihre Praesenz zu verbergen. Zwei bewaehrte Tools koennen helfen:
$ apt install rkhunter
$ rkhunter --check --sk
Prueft Systembinaries gegen bekannte Hashes, sucht nach verdaechtigen Dateien und ueberprueft Kernel-Module.
$ apt install chkrootkit
$ chkrootkit
Leichtgewichtiger Scanner, der nach bekannten Rootkit-Signaturen in Systembinaries und der Kernel-Prozesstabelle sucht.
Wichtig: Wenn ein Rootkit den Kernel kompromittiert hat, koennen die Ergebnisse von rkhunter und chkrootkit ebenfalls manipuliert sein. In solchen Faellen ist ein Scan von einem externen Medium (Live-USB, Rescue-System) erforderlich.
Neben Rootkits gibt es Web Shells, PHP-Backdoors, Cryptominer und andere Malware, die sich im Dateisystem verbirgt.
$ apt install clamav
$ freshclam
$ clamscan -r /var/www --infected
Grosse Signaturdatenbank, aber primaer auf Desktop-Malware ausgerichtet. Langsam bei grossen Dateisystemen. Erkennt viele Web-spezifische Bedrohungen nicht.
$ curl -fsSL https://defensia.cloud/install.sh | sudo bash
64.000+ Hash-Signaturen und 684 dynamische Erkennungsmuster. Spezialisiert auf Web-Malware: PHP-Backdoors, obfuskierte Shells, Cryptominer. Automatische Quarantaene und geplante Scans.
Pruefen Sie, ob Systempakete manipuliert wurden. Modifizierte Binaries sind ein starkes Indiz fuer eine Kompromittierung.
Vergleicht installierte Dateien mit den Paket-Hashes. Jede Abweichung wird aufgelistet.
Verifiziert alle RPM-Pakete. Aenderungen an Groesse, Berechtigungen oder MD5-Hash werden angezeigt.
Defensia fuehrt diese Pruefung automatisch durch und meldet modifizierte Systembinaries ueber das Dashboard.
Nachdem Sie die Malware identifiziert haben, muessen Sie den Server bereinigen und gegen erneute Kompromittierung absichern.
Identifizierte boeswillige Prozesse sofort beenden. Notieren Sie die PID und den Pfad zur ausfuehrbaren Datei.
Loeschen Sie identifizierte Malware-Dateien. Sichern Sie verdaechtige Dateien vorher zur Analyse.
Entfernen Sie alle verdaechtigen Cronjobs. Pruefen Sie alle Benutzerkonten, nicht nur root.
Root-Passwort, Datenbank-Passwoerter, .env-Dateien, API-Schluessel. Gehen Sie davon aus, dass alles kompromittiert ist.
Pruefen Sie ~/.ssh/authorized_keys fuer alle Benutzer. Entfernen Sie unbekannte Schluessel. Generieren Sie neue Host-Schluessel.
Alle Pakete aktualisieren, um bekannte Schwachstellen zu schliessen, die zum urspruenglichen Einbruch gefuehrt haben koennten.
Installieren Sie Defensia oder ein vergleichbares Tool, um zukuenftige Angriffe automatisch zu erkennen und zu blockieren.
Statt jeden Schritt manuell durchzufuehren, koennen Sie Defensia installieren. Der Agent prueft Ihren Server automatisch und kontinuierlich.
64.000+ Signaturen. Findet Web Shells, Cryptominer, PHP-Backdoors und verdaechtige Dateien in Upload-Verzeichnissen. Automatische Quarantaene.
Kontinuierliche Pruefung: Dateiberechtigungen, SSH-Schluessel, .env-Dateien, Systemintegritaet, Rootkit-Indikatoren. Note von A bis F.
Nach der Bereinigung: SSH-Brute-Force-Schutz, WAF, Bot-Management und CVE-Scanning verhindern eine erneute Kompromittierung.
Typische Anzeichen: CPU-Auslastung bei 100 % (pruefen Sie mit top oder htop), unbekannte Prozesse mit kryptischen Namen wie kdevtmpfsi, kinsing oder xmrig, und hoher Netzwerkverkehr zu Mining-Pools. Defensia erkennt bekannte Cryptominer-Binaries automatisch ueber Hash-Signaturen und Prozessanalyse.
Nein. ClamAV ist primaer auf Desktop-Malware (Windows-Viren, Trojaner) ausgerichtet. Web-spezifische Malware wie PHP-Backdoors, obfuskierte Web Shells und Server-Cryptominer werden oft nicht erkannt. Defensia nutzt 64.000+ Signaturen, die speziell auf Web-Server-Malware zugeschnitten sind.
Defensia verschiebt gefundene Malware in ein Quarantaene-Verzeichnis (/var/lib/defensia/quarantine/), wo sie nicht mehr ausgefuehrt werden kann. Sie koennen die Dateien im Dashboard einsehen und entscheiden, ob sie geloescht oder als Fehlalarm markiert werden sollen.
Ja, fuer 1 Server. Der kostenlose Tarif umfasst SSH-Brute-Force-Schutz, Echtzeit-Dashboard und Event-Feed. Der Pro-Tarif (9 Euro/Server/Monat, 7 Euro bei jaehrlicher Zahlung) beinhaltet den Malware-Scanner, WAF, CVE-Scanning, Geoblocking, Bot-Management und Alarme.
Ja. Defensia und ClamAV koennen parallel laufen, da sie unterschiedliche Erkennungsmethoden und Signaturdatenbanken verwenden. Defensia ist jedoch spezialisierter auf Web-Malware und deckt zusaetzlich SSH-Schutz, WAF und CVE-Scanning ab.
Defensia erkennt Angriffe, Malware und Schwachstellen automatisch. Ein Befehl. Kostenlos fuer einen Server.
Keine Kreditkarte erforderlich.