Warum ich seit elf Jahren ins Web schreibe, aber meine „virtuellen Server“ noch immer nicht selbst pflege. Ein Interview mit meinem Provider zum Thema „Hackerangriff“.
In der letzten Woche war eines meiner Lieblingsblogs, die „Probloggerworld“ auf einmal nicht mehr erreichtbar. Es vergingen zwei Stunden, acht Stunden, ein Tag, zwei Tage – ja du lieber Himmel, was war denn da passiert? Die ganze schreckliche Geschichte von der Verkettung verschiedenster Ausfälle, Angriffe und Unfälle, die René Kriest nach seiner „Rückkehr“ zum Besten gab, hat mich schwer beeindruckt, schließlich hab ich auch ein paar Blogs, die nicht mal eben für Tage aus dem Web verschwinden sollen!
Der Hackerangriff
Kernstück des Ärgers war ein Hackerangriff auf seinen Server gewesen: ein Troyaner wurde eingeschleust und damit eine DoS-Attacke auf andere Server gefahren (für Neulinge: extrem viele Seitenabrufe, unter denen der angegriffene Server irgendwann zusammen bricht). Renés Server schaltete sich automatisch ab und blieb auch erstmal abgeschaltet, weil René sich aufgrund einer Reise und wegen anderer PC-Probleme nicht gleich kümmern konnte. Und natürlich nahm ihm das auch niemand ab, denn es handelt sich um einen V-Server von STRATO, der dem Eigner alle Administrationsrechte zum „selber machen“ überlässt. Allerdings war der Server nicht nur „down“, sondern auch noch „teilgesperrt“, was im konkreten Fall bedeutete, dass René erstmal mit dem STRATO-Service konferieren musste, bevor nach zweieinhalb Tagen endlich der alte Zustand wieder hergestellt wurde.
Was geschieht im Fall des Falles?
Tja, warum passiert mir sowas eigentlich nicht? Server-Ausfälle sind für mich hoch seltene Ereignisse, die allenfalls ein paar Minuten anhalten. Wenn ich es mal bemerke, schreibe ich eine Mail an meinen Provider Robin Fundinger (Is-Fun.de), der mit seinem überschaubaren Familienbetrieb seit 1998 „Herr meiner Server“ ist und sich „auf Zuruf“ kümmert, die meisten Probleme aber selbst feststellt und beseitigt, ohne dass ich davon etwas mitbekomme. Dafür zahle ich spürbar mehr als bei einem Massenhoster, habe aber Rundumbetreuung inklusive, 24/7-Notfallbereitschaft, unbegrenzten Traffic und immer einen netten Menschen am anderen Ende der Leitung, der bewundernswert schnell reagiert – sogar wenn ich mal mit Problemen komme, die eigentlich in MEINEN Verantwortungsbereich fallen.
Hallo Provider, erzähl doch mal!
Wegen der gar schrecklichen Geschichte von René wollte ich nun mal wissen, ob sowas eigentlich auch auf meinem (virtuellen) Server passieren kann. Ich schilderte den aktuellen Fall und fragte nach:
CK: Passiert sowas auf MEINEM Server eigentlich auch??
Robin Fundinger: „Erstmal zum Unterschied zwischen dem vServer, um den es bei Probloggerworld geht, und den Leistungen, die Sie bei uns haben. Ihr „Shared-Hosting-Account“ beherbergt mehrere Kunden und Domains. Sie haben keine Root-Rechte auf der Maschine, wogegen der vServer sich wie ein dedizierter Server verhält: der gehört nur dem Eigner, der auch Root-Rechte darauf hat.
Nachteil bei einem Hackereinbruch: Auch Sicherheitslöcher bei anderen Kunden können zu Hackereinbrüchen führen, die Ihre Website gefährden können. Vorteil: Aufgrund des Gefährdungspotentials werden Shared-Hosting-Server viel intensiver beobachtet und es wird sofort reagiert, gerade weil der Schaden bei einem Hackereinbruch größer wäre. Unabhängig von diesem Unterschied gilt für beide Accounts annähernd dasselbe. Wir bieten ja auch vServer an, auf denen der Kunde mehr Eigenverantwortung hat, deswegen aber trotzdem nicht damit allein gelassen wird.
Hackereinbrüche kann man nie ganz ausschließen, aber man kann die Gefahr so klein wie möglich halten, und man kann die Auswirkungen begrenzen, wenn es wirklich einmal passiert.“
CK: „Kann ein kundiger Provider solche „Trojaner-Einschleusungen“ vorab verhindern?“
Fundinger: Die Gefahr eines Hackereinbruchs muss sowohl der Provider als auch der Kunde minimieren. Von beiden ist höchste Sorgfalt gefordert.
- Der Kunde muss darauf achten, dass seine selbst programmierte Software möglichst keine Angriffspunkte für einen Hackereinbruch bietet und bei Verwendung von Fremdsoftware muss er die Securitiy-Updates immer rechtzeitig einspielen.
- Für den Provider gilt das selbe: Er muss Sorge tragen, dass sowohl der Kernel als auch die Anwendungen, wie Apache-Webserver, MySQL-Datenbank-Engine, etc. auf dem neuesten Stand und frei von Sicherheitslöchern ist. Außerdem ist es wichtig, dass nur die Anwendungen installiert sind, die auch wirklich gebraucht werden, je schlanker desto besser. In diesem Fall ist es also nicht immer positiv, wenn ein Provider alles Mögliche und Unmögliche installiert hat. Wir installieren nur, was auch wirklich gebraucht wird.
Leider nehmen manche Kunden ihre Pflichten nicht so erst, obwohl wir regelmäßig über die Notwendigkeit von Security-Updates informieren, wenn häufig verwendete Programm betroffen sind. Daher passiert es ab und zu, dass über unsicheren PHP- oder anderen CGI-Code Hacker aktiv werden können.
Sofern ein Provider aber seine Hausaufgaben gemacht hat, kann der Hacker nur lokal begrenzt Schaden anrichten. Nur, wenn er Root-Rechte erlangt, wird es wirklich gefährlich!“
CK: „Was würde konkret geschehen, WENN es passiert?“
Fundinger: „Zunächst einmal ist es wichtig, dass man den Hackereinbruch möglichst früh erkennt. Offensichtlich haben manche Provider die Stategie, den Server bei Anzeichen von Hackeraktivitäten einfach abzuschalten und zu warten, bis der Kunde sich meldet. Das ist sicher die kostensparendste Methode für den Provider.
Mal davon abgesehen, dass dadurch wertvolle Zeit verloren geht, in der der Server offline ist, kann es auch passieren, dass ein Hackerangriff detektiert wird, der gar keiner ist, oder es wird nichts unternommen, weil man nicht genau weiß, ob es ein Hacker ist oder nicht. Hinzu kommt, dass der Hacker evtl. merkt, dass man ihm auf die Schliche gekommen ist und seine Spuren verwischt.
Deshalb suchen wir immer die Kommunikation mit dem Kunden, wenn wir einen Verdacht haben. Häufig ist es das Monitoring des Transfervolumens und/oder der Serverlast, die Anzeichen eines Hackerangriffs zeigen. Manchmal aber auch Meldungen von DoS-Opfern.
Abgesehen davon haben wir auf den Servern Scripte laufen, die typische Anzeichen von Hackeraktivitäten erkennen und uns sofort informieren. Neben der Information des Kunden ist aber auch wichtig, dass man zunächst versucht herauszufinden, wie der Hacker eingedrungen ist. Erst wenn das geklärt ist, werden Maßnahmen ergriffen, denn sonst könnte er wichtige Spuren verwischen.“
CK: „Steht zu befürchten, dass ein bleibender Schaden einträte? Z.B. Datenverluste in den MySQL-Datenbanken, die für meine WordPress-Blogs in Verwendung sind?“
Fundinger: Wir sichern alle Kundendaten, so dass maximal die Daten der letzten 24h verloren sein können. In den meisten Fällen geht es den Hackern aber gar nicht um Datenvernichtung, sondern um Selbstdarstellung oder Nutzung der Maschine für andere Zwecke , z.B. für Spamversand oder (D)DoS-Angriffe.
CK: „Wie lange würde es dauern, bis alles wieder ok ist? Und: mal angenommen, so ein Angriff passiert Freitag Abend?“
Fundinger: „Ob das nun am Wochenende passiert oder nicht, spielt nur insofern eine Rolle, dass unsere Reaktionszeit am Wochenende statt 1h auch mal 2-4h lang sein kann. Sollte der Kunde nicht erreichbar sein, müssen aber auch wir im Notfall reagieren und den Server sperren. Wenn die Einbruchsursache dann gefunden wurde, kann er schnellstmöglich wieder freigegeben werden. Falls das ohne Kundenhilfe geht und die Lage eindeutig ist, machen wir das auch selber. Solche und andere Gründe sind es denn auch, warum unsere Hosting-Leistungen teurer sind als die der Discount-Hoster.“
Fazit: ich blogge…. und sonst gar nichts!
Wie bin ich doch froh, dass mich nie der Ehrgeiz gepackt hat, meine Server selbst administrieren zu wollen! Nie und nimmer könnte ich die Zeit aufbringen, auch in diesem Metier immer auf dem Laufenden zu sein, um meine Server selber „zu verteidigen“ – und ich WILL es auch nicht, denn ich blogge lieber, mache meine Projekte bekannt und kommuniziere mit anderen Web-Aktiven! Muss mir zum Glück nicht mehr beweisen, dass ich alles auch selber könnte, sondern genieße mit Freude einen Super-Service, für den ich auch gerne mehr bezahle. (Und jedem, der mich fragt, rate ich, sich viel Ärger zu ersparen und es ebenso zu halten!)
Und jetzt werde ich gleich mal „Security-Updates einspielen“….
Diskussion
Kommentare abonnieren (RSS)
Ein Kommentar zu „Blogger, bleib bei deinen Leisten!“.