Nachdem in unseren Webserver eingebrochen wurde habe Ich ihn kurzerhand komplett neu aufgesetzt. Zum Glück hat mein Doppeltes Sicherungskonzept den Datenverlust sehr klein gehalten. Trotzdem zeigten sich auch Schwächen in der Sicherung. Das größte Problem ist natürlich zu beurteilen welche Daten sauber sind und welche kompromittiert.
Dazu muss man natürlich mehrer Versionsstände zum rücksichern vorhalten und das kann natürlich relative schnell zu einem Ressourcen-Problem werden.
Der zweite Punkt, der eine Menge arbeit verursacht, ist die Konfiguration der Dienste. Einfach nur die alten Konfigurationsdateien einzuspielen erschien mir nicht sehr ratsam. Daher habe ich jeden Dienst händisch konfiguriert. Anhaltspunkte dafür hat man ja mit der alten Sicherung.
Was mir aber nach wie vor Kopfzerbrechen bereitet ist die Frage: Über welche Schwachstelle der Einbruch erfolgte. Für eine genaue Analyse fehlte mir einfach die Zeit und die Logs sind nach einem Einbruch relative wertlos da manipulierbar. Was ich jedoch ganz auf die Schnelle sehen konnte waren mehrere Logins als root über ssh. Dabei bin ich mir ziemlich sicher die Anmeldung als root deaktiviert zu haben :-o