Ubuntu: Was machen wenn man gehackt wurde?

1 Antwort

Angenommen man wird gehackt wie erkenne ich das mein System kompromitiert wurde?

Meist erkennst du es nicht... Ich kenne Fälle bei denen Firmen bzw. deren IT-Abteilung monatelang nichts aufgefallen ist!

Du könntest es erkennen wenn du entsprechende Logs und den Netzwerkverkehr über zB ein Siem wie Splunk auswertest. Allerdings ist dies sehr aufwendig!

Wie finde ich raus wie der Angreifer auf mein System gekommen ist?

Mit einer entsprechenden forensischen Untersuchung. Auch das geht nicht auf Knopfdruck sondern erfordert entsprechend ausgebildete Spezialisten die dein System und den RAM-Inhalt untersuchen können.

Der Arbeitsaufwand liegt hier in der Regel bei irgendwas zwischen 20 und 200 Stunden / PC je nach dem wie schwierig der Fall ist.

Wie entferne ich ihn vom System und sorge dafür das die Sicherheitslücke geschlossen wird?

Das kommt auf den Fall an - zuerst mal das System neu aufsetzen. In wenigen Fälle kann sich Schadware sogar in der Firmware der Datenträger festsetzen und dann muss man diese ersetzen.

Dann muss man dafür sorgen, dass der Infektionsweg der in der forensischen Ermittlung identifiziert wurde nicht mehr möglich ist. Das geht dann zB durch:

  • Schulung der Mitarbeiter (Security Awareness Training)
  • Entlassungen (zB bei Angriffen durch Insiger)
  • Updates von Software
  • Austausch von Software die man nicht Updaten kann (falls möglich)
  • Anpassen der Konfiguration (zB Entfernen von Testusern, Einschränken des Zugriffs aus bestimmte Dinge, ...)

Meist geht dies auch mit anderen Veränderungen einher - zB:

  • Zusätzliche Schutzmaßnahmen wie DLP-Systeme, usw.
  • Anpassungen von Policies
  • usw.

Genau darum untersucht man diese Dinge auch um zu wissen was passiert ist und wie man dies in Zukunft verhindern kann.

Woher ich das weiß:Berufserfahrung – Pentester & Sachverständiger für IT Sicherheit

Waldmorti 
Beitragsersteller
 24.11.2023, 17:44

Welche Schritte müssen denn befolgt werden um Ubuntu für Hacker praktisch unhackbar zumachen? Ich habe eine Yubikey 2FA auf Ubuntu Desktop 23.10 eingerichtet.
(https://support.yubico.com/hc/en-us/articles/360016649099-Ubuntu-Linux-Login-Guide-U2F)
Ich installiere alle Programme über Flatpak.
Wie soll ich denn meine Firewall (ufw) einrichten damit der PC sicher ist?

Mark Berger  24.11.2023, 17:58
@Waldmorti

Das ist schon mal der falsche Ansatz - Der PC ist so sicher wie du dich verhältst.

Firewall und andere Dinge nutzen dir nichts wenn diese nicht überwacht werden.

Abgesehen davon gibt es keine 100%ige Sicherheit und auch keine Pauschalantworten. Daher kann ich dir nur empfehlen dich mit entsprechenden Kursen selber einzuarbeiten...

Waldmorti 
Beitragsersteller
 24.11.2023, 18:22
@Mark Berger

Was ist denn sicheres Verhalten? Man muss doch irgendwie browsen können ohne das der PC gefahr läuft infiziert zu werden.

Mark Berger  24.11.2023, 18:27
@Waldmorti

Ich kann dir weder hier ein Security Awareness Training geben noch dich zum Security Engineer ausbilden damit du ein entsprechendes Konzept entwickeln kannst.

Klar kann man sicher sicher im Netz bewegen aber dazu brauchst du halt auch das entsprechende Wissen.

Wenn du magst melde dich einfach per WhatsApp oder Signal oder Telegram (Nummer ist auf der Homepage und die Homepage ist im Profil verlinkt). Dann können wir mal quatschen...

Waldmorti 
Beitragsersteller
 24.11.2023, 20:17
@Mark Berger

wie sehr sichert denn ein Yubikey mein system ab? Also runuser, runuser -l, su, sudo -i, su -l und sudo sind mit 2FA abgesichert. Ist man da als Angreifer nicht schon extrem eingeschränkt?

Mark Berger  24.11.2023, 21:42
@Waldmorti

Es kommt drauf an was du tun willst - du gehst davon aus, dass jemand dein System missbrauchen will und dazu root-Rechte benötigt...

Die brauche ich aber nicht um mit deinem Firefox und deiner IP ein PayPal Konto in DE zu registrieren und damit Leute abzuzocken. Ich brauche sie auch nicht um so mit einer gestohlenen Kreditkarte einzukaufen.

Ich brauche weder root-Rechte noch brauche ich dein Passwort um CSRF-Angriffe zu fahren oder mit anderen Mitteln zB an deine Cookies zu kommen und deine aktiven Sessions zu benutzen.

Ich kann als 0815-User auch deine IP für DDoS Angriffe oder 100 andere Dinge nutzen.

Dazu gibt es dann diverse Techniken um zB eine Fehlkonfiguration auszunutzen oder einen Exploit um an root-Rechte zu kommen.

Da die meisten Angriffe aber eher auf deine Accounts oder auf deine Daten abzielen, ist denen dein PC ziemlich egal. Der ist nur Mittel zum Zweck.

Ransomware kann alle deine Daten verschlüsseln und in deinen Dokumenten oder Emails finden sich eventuell nützliche Dinge wie eine Sozialversicherungs- oder Ausweisnummer, dein Geburtsdatum und dein Name. Mehr brauche ich nicht um in diversen Bananenrepubliken Firmen und Bankkonten auf deinen Namen zu gründen und damit Leute zu betrügen...

Mit deiner Email kann ich Spam versenden und alle deine Bekannten und Freunde mit Dateianhängen angreifen und deren Vertrauen zu dir missbrauchen.

Usw.

Waldmorti 
Beitragsersteller
 24.11.2023, 22:01
@Mark Berger

also ich nutze protonmail und möchte bald da auch einen yubikey nutzen. das wäre also schon mal nichtig. Daten wie Sozialversicherungs- oder Ausweisnummer habe ich seperat gespeichert, bzw in KeepassXC gespeichert (auch bald yubikey). Ich habe keine socialaccounts. Ich nutze standardmäßig protonvpn.(kann man dann trotzdem meine IP sehen?) installieren tue ich alles über flatpak. sind denn flatpaks an sich schon ein sicherheitsrisiko? Du schriebst ja das es exploits geben kann. Wodurch entstehen die denn? durch falsche Yubikey konfiguration?

Aktuell versuche ich clamav wieder hinzubiegen.

 /etc/clamd.conf war leer und ich habe festgestellt das der chkrootkit.service und  postfix@-.service   zwarladen aber nicht aktiv sind.
ne ahnung wie man das repariert?