Schadsoftware von Webserver erkennen und entfernen

Autor:   |  21.08.2019


Schadsoftware von Webserver erkennen

1. Motive für die Platzierung von Schadsoftware auf einem Webserver
2. Verschiedene Arten von Schadsoftware für Webserver
3. Erkennen von Schadsoftware und Malware auf einem Webserver
4. Schadsoftware entfernen und weitere Malware ausschließen

Die Schadsoftware für einen Webserver unterscheidet sich in mehreren Punkten von der typischen Schadsoftware wie Viren, Malware oder Trojaner, die private oder kommerziell genutzte Desktop PC und Laptops attackiert. Das hängt einerseits mit der Tatsache zusammen, dass Webserver als Betriebssystem zu einer großen Mehrheit Linux einsetzen, andererseits schützen in der Regel aufwendige Sicherheitsmaßnahmen einen kommerziellen Webserver. Eine Malware oder Schadsoftware zu entfernen, ohne dass der Webserver zumindest einen temporären Serverausfall erleidet, ist in jedem Fall aufwendig und nicht selten unmöglich.

Motive für die Platzierung von Schadsoftware auf einem Webserver

Ein Webserver besteht aus einem öffentlich zugänglichen Webspace, teilweise geschützten Bereichen wie speziellen Seiten für Kunden, Nutzer oder Teilnehmer, der lokalen und von außen nicht zugänglichen Software sowie Informationen wie Datenbanken. Die Methode einer Malware oder Schadsoftware bestimmt, welches OS der Webserver als Betriebssystem verwendet. Unabhängig davon verfolgen Angreifer stets dieselben Ziele, die sich grob in mehrere unterschiedliche Kategorien einteilen lassen:

  • Nutzung von Ressourcen: Der Webserver soll als Server für illegale Zwecke - etwa zum Lagern von Raubkopien auf dem Webspace, für das Filesharing, zum Verbreiten von Malware oder ähnliches - verwendet werden. Die dafür notwendige Schadsoftware wird unauffällig im Hintergrund installiert
  • Diebstahl von Daten: Vertrauliche Daten werden aus der Ferne kopiert, bei der Eingabe von Besuchern oder Administratoren mitgelesen oder in Form von Datenbanken entwendet. Zusätzlich kann auch hier Malware installiert und in vielen Fällen modular erweitert werden.
  • Verändern von Webseiten/Defacing: Bei dem sogenannten Defacing geht es darum, einen offiziellen Webspace etwa von Organisationen oder Behörden zu infiltrieren und dessen Inhalte durch eigene zu ersetzen. Bei diesen Angriffen besteht das Motiv in der Regel weder in einem direkten finanziellen Vorteil noch im Platzieren und Verbreiten von Schadsoftware.
  • Eindringen in interne, vertrauliche LAN Netzwerke: Der Webserver dient Kriminellen in diesem Fall als Brücke zwischen dem Internet und einem verbundenen CDN Server oder dem Intranet eines Unternehmens oder einer Behörde. Da interne Server oft durch strenge Sicherheitsmaßnahmen isoliert sind, ist ein Eindringen nur von einem vertraulichen Knoten mit Zugang von außen - zum Beispiel einem Webserver mit Schadsoftware - möglich.
  • Installieren fremder Dienste: Der Webserver dient einem Dritten als kostenloser Server, auf dem er über Schadsoftware und Malware eigene Dienste - meist solche mit hohem Datenaufwand wie Videostreaming oder Filesharing oder hohem Rechenaufwand wie dem Mining von Kryptowährungen - betreibt.
  • Spionage und Erpressung: Für viele Unternehmen kann es ein existenzielles finanzielles Risiko bedeuten, wenn der Webserver aufgrund von Malware oder Schadsoftware einen längeren oder wiederholten Serverausfall erleidet. Neben dem Erpressen von Unternehmen hat seit 2015 das Verschlüsseln von Daten und deren Wiederherstellung gegen ein Lösegeld stark zugenommen.
  • Gewinnung von Informationen: Mit dem Backup eines Webspace können kriminelle Programmierer Sicherheitsmaßnahmen analysieren, zielgerichtete Angriffe planen, spezielle Schadsoftware und Malware entwerfen oder originalgetreue Kopien einer Seite etwa für den Betrug mittels Phishing auf einem eigenen Webserver installieren. Das Backup einer populären Homepage wird deshalb für teilweise hohe Preise auf dem schwarzen Markt und über anonyme Foren gehandelt.

Die Angriffe auf einen Webserver oder Webspace und die Installation von Schadsoftware erfolgen nur selten zielgerichtet. Die überwiegende Mehrheit beruht stattdessen auf einem weitflächigen Scannen des Internets und der Suche nach Lücken bei den Sicherheitsmaßnahmen, über die sich eine Malware unauffällig auf dem Server installieren lässt. Die Opfer solcher Cyberkriminalität sind entsprechend zufällig, sie bedroht praktisch jeden Besitzer von Webspace. Eine einfache Gegenmaßnahme ist das Auslagern der Administration und ein externes Servermonitoring etwa im Rahmen eines Managed vServer. Auf diese Weise sparen sich im Besonderen kleine und mittelständische Unternehmen die oft sehr hohen Kosten für eigene oder extern mit Support und Beratung beauftragte IT-Spezialisten.

Verschiedene Arten von Schadsoftware für Webserver

Es hängt von der Art der Malware ab, ob und wie sich Schadsoftware entfernen lässt. Je nach Vorgehen und Zweck bettet sie sich in den Programmen eines Webserver oder dem Betriebssystem ein und lässt sich oft nicht ohne größeren Aufwand vollständig aufspüren. Um sich einen Zugriff auf den Server sichern zu können, verteilt sich Schadsoftware häufig über mehrere Instanzen und bietet dem Angreifer unterschiedliche Backdoors für einen Zugriff. Die Schadsoftware kann dabei aus komplexen und sich selbst tarnenden Programmen, aus veränderten Diensten bis hin zu einfachen Skripten bestehen. Zu den häufig verwendeten Möglichkeiten zählen unter anderem:

  • Spezielle Schadsoftware und Malware wie Viren, Trojaner oder Ransomware
  • Programme zur Steuerung des Desktops aus der Ferne wie VNC
  • Software für die Fernwartung (Remote Administration Tools, RAT)
  • Zusätzliche Logins mit erweiterten Rechten innerhalb des Webserver Betriebssystem
  • Skripte zum automatischen Aufbau einer Verbindung oder Öffnen von Ports
  • Veränderte Dienstprogramme mit universellem, globalem Zugriff auf Dateien

Bei einem komplexen Angriff verwenden Täter meist eine Kombination aus Schadsoftware und veränderten Rechten auf dem Webserver, die das Betriebssystem über bestimmte unauffällige und zum Standard gehörende Dienstprogramme angreifbar machen. So ist es zum Beispiel möglich, einem Texteditor globale Zugriffsrechte zu gewähren und über ihn anschließend sämtliche Konfigurationen auf einem Server manuell zu verändern. In diesem Fall besteht die Schadsoftware lediglich aus einer kleinen Änderung der Rechtevergabe, für den Zugriff reicht ein einziger Account mit scheinbar wenigen Befugnissen oder sogar ein freier Besucherzugang aus. Um diese Schadsoftware zu entfernen, reicht das Setzen der korrekten Bestimmungen oder eine Neuinstallation des Programmpakets.

Sogenannte Remote Administration Tools (RATs) dienen eigentlich der zentralen Steuerung und ermöglichen die komfortable Einrichtung zahlreicher Server über eine einzige Oberfläche. Sie sind ein nützliches Werkzeug für Administratoren, können allerdings leicht als Malware missbraucht werden. Positiv ist, dass sich diese Schadsoftware entfernen lässt, indem das entsprechende Programm deinstalliert oder gelöscht wird. Aus diesem Grund treten RATs in der Mehrzahl der Fälle in Kombination mit "echter" Malware auf.

Eine "echte" Malware besteht aus einem Programm, das sich gezielt vor der Erkennung etwa eines Virenscanners verbirgt, seine Existenz verschleiert und nicht erwünschte Operationen auf dem Server oder in dem CDN vornimmt. Sie kommuniziert in der Regel über eine einprogrammierte URL, die anonym registriert wurde und hinter der ein Webserver aus Anfragen wartet und als Antwort Befehle aan die Schadsoftware schickt. Oft ist diese Malware modular aufgebaut und lädt - je nach Umgebung - weitere Funktionen nach, nachdem das Kernprogramm den Webserver infiziert hat. Zusätzlich verhindern eingebaute Routinen, die Schadsoftware zu entfernen, ohne dass der Webserver sein Betriebssystem beschädigt. Die Konsequenz ist häufig verbleibende Malware oder ein Serverausfall.

Erkennen von Schadsoftware und Malware auf einem Webserver

Bevor sich Schadsoftware entfernen lässt, muss zunächst ihre Existenz zweifelsfrei nachgewiesen werden. Es gibt unterschiedliche Ansätze, um eine Malware oder einen erfolgreichen Angriff auf einen Server zu diagnostizieren. Sie unterscheiden sich in ihrer Präzision und der Art der Überwachung. Eine externe Kontrolle ist beispielsweise durch ein Servermonitoring möglich, das nicht nur die Erreichbarkeit und Performance, sondern auch die Verfügbarkeit von Diensten und den von ihnen verwendeten Ports beinhaltet. Besonders "echte" Malware kommuniziert häufig über zufällig festgelegte, fünfstellige Portnummern, die nahezu ausschließlich für individuelle Zwecke Verwendung finden. Eine Alternative zum Servermonitoring sind regelmäßig durchgeführte Portscans, die den Bereich zwischen Port 1025 bis Port 65535 einschließen. Interne Möglichkeiten für die Erkennung von Schadsoftware auf einem Server bestehen unter anderem in:

  • Gründliche Analyse und Auswertung von Logdateien auf ungewöhnliche Aktivitäten
  • Überwachung der laufenden Prozesse auf einem Server nach fragwürdigen Programmen
  • Kontrolle der registrierten Nutzer und der ihnen zugeordneten Zugriffsrechte
  • Umfassendes Servermonitoring der Bandbreite, Datenmengen und aufgebauten Verbindungen
  • Regelmäßige Überprüfung des Dateisystems auf Änderungen von Dateien
  • Webserver und Betriebssystem regelmäßig auf Viren scannen
  • Exakte Bestimmung der Ursachen bei kurzzeitigem Serverausfall
  • Kontrolle des Webspace auf Manipulation der Konfiguration oder Dateien

Viele dieser Aufgaben lassen sich automatisieren und durch ein internes wie externes Servermonitoring übernehmen, das nur in Verdachtsfällen den Administrator alarmiert. Einige Hinweise auf die Installation von Malware auf einem Server lassen sich indirekt aus diesen Protokollen entnehmen. Typische Anzeichen sind beispielsweise ein kurzer Serverausfall durch einen nicht vorgesehenen Neustart, die direkte Veränderung von Logs inklusive fehlender Einträge über einen längeren Zeitraum oder der Aufbau von Verbindungen mit dubioser Herkunft.

Schadsoftware entfernen und weitere Malware ausschließen

Eine einzelne Schadsoftware lässt sich in der Regel von einem Server entfernen, ohne dass es zu einem Serverausfall kommt. Das Problem liegt allerdings darin, dass die Existenz weiterer Malware nur schwer auszuschließen ist. Erhält ein Angreifer erstmals Zugriff auf einen Server oder einen Webspace, installiert er in der Regel weitere Hintertüren (Backdoors), um bei einem Schließen dieser Lücke nicht die Kontrolle zu verlieren. Aus diesem Grund ist eine gründliche Forensik und Analyse von Webserver und Betriebssystem unverzichtbar. Der Aufwand einer solchen Untersuchung übersteigt nicht selten denjenigen einer vollständigen Neuinstallation, bei der ein Serverausfall nicht zu vermeiden ist.

Ein gängiges Verfahren ist deshalb die temporäre Umstellung der Dienste auf einen anderen, sauberen Server wie einem kostengünstigen Managed vServer, während der Webserver neu aufgesetzt wird. Durch dieses Vorgehen ist der Serverausfall nicht öffentlich wahrnehmbar und der produktive Betrieb kann ohne Unterbrechung aufrechterhalten werden.

Foto: TheDigitalArtist pixabay.com