Hallo,
ich möchte das mal auslagern. Begonnen hat das Thema etwas hier:
https://forum.netcup.de/admini…nnerung-benutzt-ssh-keys/
Da mich das Thema aber sehr interessiert, möchte ich es explizit im eigenen Thema nochmal besprechen.
Die Fragen sind im Allgemeinen:
- Wie kann man einen infizierten Server erkennen
- Womit kann man einen Infizierten Server erkennen
- Welche Hilfsmittel gibt es einen Infizierten Server zu erkennen
- Wie kann man dem effektiv Vorbeugen (Spezielle Rechtevergabe etc.)
ThomasChr hatte ja schon ein Tool genannt zu 3. Welche Hilfsmittel gibt es einen Infizierten Server zu erkennen:
- tripwire
Man kann natürlich auch die Logs Analysieren und dazu Logwatch nutzen. Außerdem sollte man wohl nach versteckten Dateien suchen und unbekannte oder neue Systemprozesse aufspüren.
Zur Vorbeugung im Allgemeinen wurde ja auch hier schon was gesagt:
https://forum.netcup.de/admini…nnerung-benutzt-ssh-keys/
Im Allgemeinen also:
- root Benutzer deaktivieren / SSH Keys nutzen
- SSH Port ändern
- Software aktuell halten
- Applikationen im allgemeinen aktuell halten
- Sichere Passwörter verwenden (min. 8 Zeichen - Alls was die Tastatur hergibt dazu nutzen.)
- Fail2Ban benutzen und richtig einrichten.
Aber so ein Feedback was ihr noch wichtig findet wäre für mich sehr von Interesse. auch wie andere das Umsetzen und ob oder welche Hilfsmittel dazu genutzt werden .Auch welches OS präferiert wird und ggf. kurz warum.