Mijn Linux server wordt aangevallen, wat nu?

Er kunnen ernstige gevolgen kleven aan een aanval op je Linux server. Je kunt hierbij denken aan het verlies van data en het uitvallen van het systeem. Een ander ernstig gevolg kan zijn dat gevoelige informatie wordt gestolen. Weet of vermoed je dat jouw Linux server wordt aangevallen? Dan is het dus heel belangrijk om snel en effectief actie te ondernemen. Dit kan ernstige gevolgen voorkomen. Er zijn meerdere oorzaken van aanvallen bekend. Het is belangrijk om eerst vast te stellen wat er aan de hand is. Hierna kun je bepalen welke stappen nodig zijn om de server te beveiligen. Wij vertellen je hier graag meer over.

Verschillende soorten aanvallen op de Linux server

Je kunt ineens opmerken dat je Linux server zich anders gedraagt dan gewoonlijk. Het kan je bijvoorbeeld opvallen dat de CPU ineens heel hoog is of dat de netwerkbelasting onverklaarbaar hoog is. Je kunt ook opmerken dat er ongeautoriseerde wijzigingen in bestanden zijn gemaakt of dat alles veel trager is. Dit kunnen allemaal signalen zijn dat de server wordt aangevallen. Het is goed om te weten dat er meerdere soorten Linux server aanvallen mogelijk zijn. Hieronder nemen we de 6 meest voorkomende aanvallen met je door.

De brute-force aanvallen

Op de eerste plaats kennen we de brute-force aanvallen. In dit geval proberen aanvallers op je systeem in te loggen door middel van geautomatiseerde tools. Deze tools proberen talloze wachtwoorden uit. Deze aanvallen zijn vooral gevaarlijk wanneer wachtwoorden zwak of relatief standaard zijn.

De DDoS aanvallen

DDoS staat voor Distributed Denial-of-Service. Van alle soorten aanvallen is de DDos aanval misschien wel het meest bekend. In dit geval wordt je server met enorme hoeveelheden verkeer overspoeld. Dit zorgt ervoor dat legitieme gebruikers geen toegang meer hebben. Bij dit soort aanvallen komt het vaak voor dat het hele systeem plat wordt gelegd.

Malware en rootkits

Malware en rootkits vallen onder de aanvallen met zogenaamde kwaadaardige software. Deze kwaadaardige software wordt op je server geïnstalleerd zonder dat je dit zelf in de gaten hebt. Na deze installatie kunnen de aanvallers volledige controle over je systeem krijgen. Rootkits zijn vaak erg diep in het besturingssysteem verborgen. Hierdoor zijn ze vaak erg lastig te detecteren.

Kwetsbaarheden in je software

Het is heel belangrijk om software altijd goed up to date te houden. Is je software niet up to date (ongepatcht)? Dan kan de software beveiligingslekken bevatten. Hackers kunnen deze lekken misbruiken. Zij verkrijgen dan ongeautoriseerde toegang tot je server en kunnen schadelijke code op je server uitvoeren.

Ransomware

Ransomware komt steeds vaker voor als het om cyberdreigingen gaat. Bij ransomware worden je bestanden versleuteld. Deze worden alleen weer vrijgegeven wanneer je een groot bedrag betaalt. Zeker voor je bedrijfsvoering kan ransomware rampzalige gevolgen hebben.

Insider threats

Tot slot zijn er de insider threats. Hier wil je eigenlijk niet aan denken. Toch komt het ook relatief veel voor. Bij insider threats komt de dreiging van binnenuit. Hierbij kan het gaan om een personeelslid dat onbewust een zwakke beveiliging hanteert. Het kan ook gaan om een ontevreden medewerker die een dreiging vormt.

Hoe stel je vast wat er precies aan de hand is?

Het is natuurlijk altijd belangrijk om eerst vast te stellen of er sprake is van een aanval. Deze moet je kunnen detecteren. Hiervoor is het nodig om de systeemprestaties en serverlogs scherp in de gaten te houden. Er zijn een aantal stappen die belangrijk zijn om het probleem op te sporen. We nemen deze stappen hieronder kort met je door.

De systeemlogs controleren

Het is belangrijk om eerst verdachte activiteiten en/of foutmeldingen te identificeren. Hiervoor gebruik je journalctl -xe of dmesg.

De actieve verbindingen bekijken

De actieve verbindingen moeten worden bekeken om vast te kunnen stellen of er mogelijk ongewenste verbindingen openstaan. Dit doe je met netstat -anp of ss -tulnp.

Op ongebruikelijke processen scannen

Je wilt vervolgens mogelijk verdachte processen kunnen identificeren. Dit betekent dat je moet gaan scannen op ongebruikelijke processen. Hiervoor voer je top, htop of ps aux uit.

Het netwerkverkeer analyseren

Afhankelijk van het soort aanval kan er sprake zijn van een ongewoon hoog netwerkverkeer. Het is dus belangrijk om het netwerkverkeer te analyseren om een eventueel hoog netwerkverkeer op te kunnen sporen. Dit doe je met iftop of tcpdump.

De systeemintegriteit controleren

Tot slot is het belangrijk om de systeemintegriteit te controleren. Hiervoor kun je gebruik maken van diverse tools om rootkits en andere schadelijke software te kunnen identificeren. Onder de meest gebruikte tools voor dit doeleinde vinden we bijvoorbeeld rkhunter en chkrootkit.

Wat moet je doen bij een Linux server aanval?

Het is belangrijk om direct actie te ondernemen wanneer je te maken hebt met een aanval op je Linux server. Hierin is het altijd belangrijk om kalm te blijven en geen overhaaste beslissingen te nemen. Paniek kan ervoor zorgen dat je fouten maakt. Voorkom dit door een gestructureerd plan te volgen. Wij geven je hieronder inzicht in stappen die je moet volgen in het geval van een aanval op je Linux server.

De server isoleren

Een belangrijke eerste stap is het isoleren van de server. Dit is van groot belang als de aanval nog actief is. Je kunt verdere schade door de aanval beperken door de server tijdelijk van het netwerk te halen.

Back-ups maken voor het herstelproces

Is de server nog toegankelijk? Maak dan direct een volledige back-up van je databases en belangrijke bestanden. Dit helpt bij het herstelproces.

Het blokkeren van verdachte IP-adressen

Heb je bij het doorlopen van de vorige checklist vastgesteld dat er kwaadaardige IP-adressen in de log aanwezig zijn? Blokkeer deze dan direct met iptables of fail2ban. Dit doe je als volgt: sudo iptables -A INPUT -s [verdacht IP-adres] -j DROP

Een goede antivirusscan uitvoeren

Voer een goede antivirusscan uit. Je kunt hiervoor diverse tools gebruiken. Een bekende tool voor het opsporen en verwijderen van schadelijke bestanden is ClamAV.

Het systeem volledig updaten

De volgende stap is het updaten van het hele systeem. Voer direct updates uit om alle ontstane kwetsbaarheden direct effectief te dichten. Zo kunnen de aanvallers geen misbruik meer maken van deze kwetsbaarheden.

Gewijzigde rechten en gebruikers controleren

Het is mogelijk dat hackers tijdens de aanval nieuwe gebruikers hebben aangemaakt. Het is ook mogelijk dat zij bestaande accounts aangepast hebben. Dit moet gecontroleerd worden. Dit doe je met:

cat /etc/passwd
sudo cat /etc/shadow

De server herstarten (indien nodig)

Weet je niet zeker of de aanval is geneutraliseerd? Dan is het belangrijk om de server te herstarten. Na het herstarten kun je opnieuw op verdachte activiteiten controleren.

Het beter beveiligen van je server

Vaak ontdek je pas na een aanval op je Linux server dat de beveiliging van de server beter had gekund. Dan is het te laat en in het meest vervelende geval zijn de gevolgen van de aanval niet te overzien. Voorkomen is altijd beter dan genezen. Zorg daarom altijd voor de belangrijkste beveiligingsmaatregelen om het risico op een Linix server aanval zo ver mogelijk te minimaliseren. Denk bijvoorbeeld aan onderstaande maatregelen:

• Gebruik sterke wachtwoorden en tweefactorauthenticatie (2FA)
• Installeer een betrouwbare firewall
• Beperk root-toegang en gebruik SSH sleutels in plaats van wachtwoorden
• Monitor de server actief met tools zoals OSSEC en Fail2Ban
• Voer regelmatig updates en patches uit
• Maak dagelijkse back-ups en test regelmatig of deze teruggezet kunnen worden
• Beperk het aantal openstaande poorten en services
• Gebruik Intrusion Detection Systemen (IDS) zoals Snort of Suricata

Wat kunnen wij voor je doen?

Je bent bij ons van harte welkom als je preventieve maatregelen wilt laten implementeren of als je met een aanval op de Linux server te maken hebt. Vermoed je dat er een aanval gaande is of heeft plaatsgevonden? Dan kunnen wij het netwerkverkeer en de serverlogs onderzoeken om het type aanval en de oorzaak van de aanval vast te stellen. We helpen met het isoleren van de dreiging en het herstellen van je systeem. Uiteraard bieden we een persoonlijk advies over de beste beveiligingsmaatregelen om aanvallen in de toekomst te
voorkomen. Hierbij kunnen we helpen bij het instellen van onder meer firewalls en monitoringtools. Met onze monitoringservices kunnen dreigingen al in een vroeg stadium worden opgespoord en aangepakt voordat er daadwerkelijk problemen ontstaan.

Neem vandaag nog contact met ons op

Een aanval op de Linux server kan je bedrijf direct in gevaar brengen. Voorkom dit door je systemen beter te beveiligen. Wij staan hierin graag voor je klaar en helpen je om een optimale beveiliging te realiseren. Bij een aanval op je Linux server staat ons ervaren team voor je klaar om de server te analyseren en te beveiligen. Wij lossen het probleem snel op om (verdere) schade te voorkomen en zetten ons in om toekomstige aanvallen te
voorkomen. Ben jij benieuwd naar wat wij precies voor jou kunnen betekenen of heb je nú hulp nodig omdat je te maken hebt met een aanval op de Linux server? Neem direct contact met ons op!