{"id":4281,"date":"2017-04-26T16:44:38","date_gmt":"2017-04-26T14:44:38","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=4281"},"modified":"2026-01-08T14:06:11","modified_gmt":"2026-01-08T13:06:11","slug":"fruehjahrsputz-ubuntu-server","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/fruehjahrsputz-ubuntu-server\/","title":{"rendered":"Fr\u00fchjahrsputz Ubuntu Server"},"content":{"rendered":"

Die Ubuntu Server Edition liegt derzeit in der Version 16.04.2 LTS bzw. 17.04 vor; downloaden k\u00f6nnen Sie direkt auf der Site der Canonical Group<\/a>. Eine Anleitung f\u00fcr die Installation finden Sie im Ubuntu Users Wiki<\/a>.<\/p>\n

Ubuntu Server aufr\u00e4umen, optimieren & sichern<\/h2>\n

Die Grundarchitektur der Ubuntu Desktop- und Ubuntu Server-Edition sind gleich, sodass Sie die Tipps und Anleitungen aus unserem Desktop-Beitrag<\/a> f\u00fcr Ihren Server-Fr\u00fchjahrsputz umsetzen k\u00f6nnen. Weiterf\u00fchrende Informationen finden Sie in unserem urspr\u00fcnglichen Ubuntu Server-Beitrag<\/a>.<\/p>\n

Nach dem Motto „Never change a running system“ haben also die bisherigen Anleitungen nach wie vor Bestand. Etwas Anderes hat sich jedoch ge\u00e4ndert: die Bedrohungslage, mit der sich auch auf Linux basierende Systeme auseinandersetzen m\u00fcssen.<\/p>\n

Aktuelle Linux-Bedrohungen<\/h3>\n

Das Jahr 2017 ist noch verh\u00e4ltnism\u00e4\u00dfig jung; die Meldungen \u00fcber Malware, die Linux im Visier hat, wachsen jedoch. So berichtete Trojaner-Info im Januar<\/a>, dass es die Ransomware KillDisk nun auch auf Linux-Systeme abgesehen hat. Nicht nur Workstations seien betroffen, sondern auch Server.<\/p>\n

Die L\u00f6segeld-Forderung ist bei Windows und Linux gleich hoch. Jedoch arbeitet die Ransomware bei Linux-Systemen anders: die Verschl\u00fcsselungsmeldung wird unter Linux im GRUB-Bootloader ausgegeben. Beim Ausf\u00fchren der Malware werden die Bootloader-Eintr\u00e4ge \u00fcberschrieben und der L\u00f6schungstext angezeigt.<\/p>\n

Sicherheitsexperten wie die Forscher von ESET warnen davor, der L\u00f6segeldforderung nachzukommen. Das bringt gar nichts, da die Verschl\u00fcsselungsschl\u00fcssel weder lokal noch auf Servern gespeichert werden. Eine Entschl\u00fcsselung ist also gar nicht m\u00f6glich. Eine Schw\u00e4che in der Verschl\u00fcsselung der Linux-Version von KillDisk erlaubt das Wiederherstellen von Daten, was jedoch enorm aufwendig ist. Unter Windows gilt dies nicht!<\/p>\n

Opfer von Ransomware zahlen immer wieder immense L\u00f6segeldsummen, um dann doch nicht an ihre Daten zu gelangen. Deshalb: zahlen Sie nicht! Der Schutz Ihrer Daten ist deutlich kosteng\u00fcnstiger als die Erpressung durch Cyberkriminelle: bleiben Sie stets informiert, halten Sie Software und Betriebssystem immer auf dem neusten Stand, w\u00e4hlen Sie effiziente und zuverl\u00e4ssige Security-L\u00f6sungen und erstellen Sie Backups auf externen Speichermedien.<\/p>\n

Linux-Malware mit Anti-Sandbox-Funktion<\/h3>\n

Diesmal waren es die Forscher von Palo Alto Networks, die im April 2017 die erste Linux-Malware entdeckt haben<\/a>, die sich gegen Sandboxes wehren kann. Die Malware erkennt virtuelle Maschinen<\/a> und kann diese l\u00f6schen. Damit die „Amnesia“ getaufte Malware keine Spuren hinterl\u00e4sst, l\u00f6scht sie anschlie\u00dfend sich selbst.<\/p>\n

Bislang waren solche Methoden nur f\u00fcr Windows und Android bekannt, erkl\u00e4ren die Experten auf ihrer Website. Amnesia versuche zu ermitteln, ob sie auf VMware, QEMU oder Virtual Box in einer VM l\u00e4uft. Ist dem so, werden alle Dateien im Dateisystem gel\u00f6scht. Nicht nur Sandboxen, die Malware aufsp\u00fcren, sondern wahrscheinlich auch QEMU<\/a>-basierte Linux-Server in Public Cloud- oder VPS-Umgebungen.<\/p>\n

Palo Alto Networks ordnet Amnesia der Linux-Malware Tsunami zu. Mit dieser werden gleichnamige IoT-Botnets aufgebaut. Anf\u00e4llige Systeme werden durch Remote-Code-Ausf\u00fchrung \u00fcbernommen, wodurch ein Botnet f\u00fcr DoS-Angriffe genutzt werden kann.<\/p>\n

BrickerBot zerschie\u00dft IoT-Ger\u00e4te<\/h3>\n

BrickerBot ist eine IoT-Malware, die befallene Ger\u00e4te derartig ver\u00e4ndert, dass sie funktionsunf\u00e4hig werden. Sicherheitsforscher von Radware fanden ebenfalls im April heraus<\/a>, dass der Sch\u00e4dling das Web nach Linux-basierten Routern und anderen Ger\u00e4ten abscannt, die lediglich via Default-Passwort („Factory-Passwort“) gesichert sind.<\/p>\n

Sp\u00fcrt der Bot ein solches Ger\u00e4t auf, sorgen verschiedene Kommandos f\u00fcrs L\u00f6schen s\u00e4mtlicher Dateien auf dem Ger\u00e4t. Die Internet-Verbindung wird getrennt, der Speicher korrumpiert. Eine Reparatur lohnt sich aus Kostengr\u00fcnden bei g\u00fcnstigen Consumer-Ger\u00e4ten kaum \u2013 die Ger\u00e4te sind also „bricked“ („zugemauert“). Radware spricht von einer PDoS-Attacke („Permanent Denial-of-Service“).<\/p>\n

Die Untersuchungen von Radware zeigen, dass Angriffsversuche aus zwei Botnetzen erfolgten; BrickerBot 1 und 2. Variante 1 scheint bereits stillgelegt zu sein, BrickerBot 2 jedoch ist noch zerst\u00f6rerischer und greift auch Server an. Ein bisschen werkeln BrickerBot und Amnesia gleich, jedoch m\u00f6chte Amnesia keine Hardware zerst\u00f6ren, sondern ein Botnet aufbauen.<\/p>\n

Der Schutz gegen BrickerBot ist sehr einfach: Default-Passw\u00f6rter sollten ge\u00e4ndert werden. Das macht noch mal deutlich, wie hilfreich sichere Passw\u00f6rter sein k\u00f6nnen.<\/p>\n

User sind auch im Server-Bereich Ubuntus gr\u00f6\u00dfte Schwachstelle<\/h2>\n

Die drei aktuellen Linux-Malware-Meldungen untermalen das Fazit, zu dem wir bereits beim Ubuntu Desktop-Fr\u00fchjahrsputz gekommen sind: der User ist die gr\u00f6\u00dfte Schwachstelle des Systems. Linux selbst ist von seiner Architektur sehr sicher konzipiert. Leider existieren mittlerweile Bedrohungen, die auch diese Sicherheit umgehen k\u00f6nnen \u2013 Ransomware ist allgegenw\u00e4rtig.<\/p>\n

Dennoch: mit einer effizienten Sicherheitsstrategie und gesundem Menschenverstand, mit dessen Hilfe etwa Passw\u00f6rter regelm\u00e4\u00dfig gewechselt und Backups angelegt werden, l\u00e4sst sich unter Linux sehr sicher agieren.<\/p>\n