[duncan.blues]

Zitat:

Zitat von ELIXIER

Richtig, viele Anbieter sind aber dafür bekannt ein Hintertürchen zu Ihren Servern im System zu haben.

Bei vServern keine große technische Herausforderung, bei root-Servern schon kniffliger, vor allem wenn man direkt nach der Anmietung das Betriebssystem aktualisiert
Es geht natürlich wenn man ein Rescuesystem bootet aber im laufenden System eher schwierig.

Ein ernsteres Problem ist dagegen, dass bei vielen vServern der Softwarestand nicht unbedingt immer aktuell ist. Bei managed Systemen genauso und da kann man nicht einmal was gegen unternehmen (außer Anbieter wechseln).
Als ich meinen root-Server angemietet habe, war eine ziemlich alte Distribution vorinstalliert und es gab auch fertig nichts neueres. Mit ein Grund warum ich von den verfügbaren Optionen Ubuntu Server Edition genommen habe, denn da kann man ohne allzu großes Risiko remote ein Distributionsupgrade machen.

Neben der Aktualisierung des Systems und der Dienste sollte man nach einem Einbruch zudem schauen, ob der ungebetene Gast nicht ggf irgendwelche Hintertürchen hinterlassen hat.
U.a. sollte man mithilfe von "netstat -na" nachschauen, ob irgendwelche Ports geöffnet sind, die man nicht haben will. Wichtig ist der Bereich TCP mit Einträgen mit Status "Listen". In der Spalte "Local Address" steht hinter dem Doppelpunkt jeweils der benutzte Port. Nummer 80 und ggf 443 stehen z.B. für den Webserver, Port 25, 110, 143, 587, 993 und 995 stehen für Mailserver.
Wenn man nicht weiss warum ein Port offen ist, kann man mit "fuser -n tcp PORTNUMMER" schauen welcher Prozess diesen Port benutzt und mit "ps PROZESSID" kriegt man den Namen des Prozesses raus.