Security-Check

So erkennen Sie Hacker auf Servern

Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt. Das Blog von Thomas Joos finden Sie unter thomasjoos.wordpress.com.
IT-Verantwortliche müssen Server mit speziellen Tools und Maßnahmen ständig überwachen, um Angreifer rechtzeitig zu erkennen und zu bekämpfen. Denn Hacker sind kreativ und in der Lage, die standardisierten Sicherheitsmaßnahmen eines Unternehmens auszuhebeln.

Greifen Hacker das Unternehmen an, besteht grundsätzlich auch die Gefahr, dass die Server kompromittiert werden. Das passiert vor allem in kleinen Unternehmen, deren Netzwerke oft nur unzureichend vor Angriffen geschützt sind. Aber auch bei größeren Unternehmen besteht generell die Gefahr, dass sich Hacker oder Schadsoftware auf den Servern einnisten. Um Böses abzuwenden, verlassen sich viele Verantwortliche dabei auf den Virenschutz der Rechner. Dieser erkennt aber nicht alle Angreifer. In diesem Beitrag geben wir Ihnen einige Hinweise, wie Sie verdächtigen Aktionen auf die Schliche kommen.

Zunächst sollten Sie im Netzwerk ständig überprüfen, ob es Probleme bezüglich der Arbeitsstationen gibt. Wenn Netzwerke gehackt werden, dann oft über den Weg der Client-Computer. Sind Angreifer aber im Unternehmen angekommen, sind auch die Server in Gefahr. Das gilt vor allem dann, wenn zwischen dem Netzwerk mit den Client-Computern und den Servern keine Firewall positioniert ist, die den Datenverkehr Port-genau filtern kann. Wenn Hacker erst die Server im Visier haben, werden oft Bot-Schädlinge installiert, Trojaner lesen Daten aus, oder der E-Mail-Server wird als Spam-Relay missbraucht. Natürlich gibt es eine Vielzahl weiterer Angriffsmöglichkeiten, die Unternehmen vor Probleme stellen können. Wir zeigen, wie Sie diese erkennen und beheben können.

Server auf verdächtige Prozesse untersuchen

Der Process Explorer zeigt Prozesse auf Rechnern an und erlaubt eine umfassende Analyse.
Der Process Explorer zeigt Prozesse auf Rechnern an und erlaubt eine umfassende Analyse.
Foto: Thomas Joos

Wenn Server unter einer hohen Last laufen, sollten Sie im Task-Manager überprüfen, welche Prozesse gestartet sind. Prozesse, die Sie nicht erkennen, sollten Sie genauer überprüfen. Hier stehen für Serverdienste auch spezielle Tools zur Verfügung, die bei der Analyse helfen können. Vor allem wenn es um die Serverüberwachung geht, verwenden viele Administratoren den kostenlosen Sysinternals Process Explorer.

Über das Kontextmenü können Sie mit Search Online direkt im Internet nach dem Prozess suchen lassen. Finden Sie einen Angreifer, dann sollten Sie diesen aber nicht sofort löschen. Prüfen Sie erst, wo er herkommt, und eliminieren Sie ihn an der Quelle. Löschen Sie nur den Prozess. Achten Sie auch auf Prozesse, die zunächst seriös klingen - die wenigsten Angreifer nennen Ihren Schädling hack.exe. Über das Kontextmenü von Prozessen können Sie diese mit Check Virus Total online nach Viren scannen lassen.