Moien
Ich habe heute die Datei c99.php im OSCommerce-Verzeichnis
meines Servers entdeckt und sofort gelöscht. Laut diverser
Internetseiten könne damit so ziemlich alles auf dem Server
verändert werden, ist das korrekt?
Ja. An sich kann man jetzt nur noch eins machen: komplett formatieren. Du kannst jetzt nicht mehr nachvollziehen ob ein rootkit drauf ist oder nicht. Du weisst nicht ob der Kernel noch von dir stammt und du hast an sich keine Ahnung mehr was libc & Co tun.
Woher kommt die Datei? Muss der „Hacker“ meine Zugangsdaten
haben oder kann es auch sein, dass er sie über ein
Uploadformular (z.B. für Avatare) hochgeladen hat?
Es hängt vom Server ab: manche sind so doof und lassen sich Dateien wie c99 ohne Passwort unterschieben, andere nicht.
Wie kann ich künftig effektiv verhindern, dass jemand solche
Dateien auf meinem Server einschleußt?
Der Server hat prinzipel möglichst wenig Angriffsfläche zu bieten. D.h. alles was nicht laufen muss wird abgeschaltet.
Dann muss jeder Dienst möglichst weit isoliert werden. VMs sind da ein klasse Tool (wenn auch nicht 100% sicher).
SELinux Kernels sind auch eine Überlegung wert, aber recht schwer zu handhaben.
Updates, Updates, Updates und die passenden Mailinglisten lesen. Was nütz dir ein super sicherer Server mit allem drum und dran wenn deine SSL-Keys wertlos sind (ist debian passiert).
Gibt es eine Art Virensoftware für Server?
Dutzende.
cu
