Entfernen von Bots und Malware: Systemübergreifende Anleitung
Wenn Sie den Verdacht haben, dass Ihr Server kompromittiert wurde, folgen Sie dieser Anleitung für Ihr spezifisches Betriebssystem, um bösartige Prozesse aufzuspüren, zu beenden und zu entfernen.
ACHTUNG – Dringende Maßnahmen: Die sofortige Entfernung ist kritisch. Nach der Bereinigung müssen Sie unbedingt alle Passwörter ändern und die Ursache der Kompromittierung beheben (z. B. veraltete Software patchen oder schwache Passwörter ersetzen).
1. Untersuchung und Identifizierung des Prozesses
Die erste Phase dient dazu, den bösartigen Prozess zu finden, seinen tatsächlichen Speicherort zu ermitteln und festzustellen, unter welchem Benutzer er läuft.
Linux Server (netstat, /proc)
1.1 Auf offene Verbindungen prüfen
Verwenden Sie den Befehl netstat, um nach verdächtigen offenen Verbindungen zu suchen. Achten Sie auf ungewöhnliche Ports (wie 6667 / IRC) oder Prozesse, die den Status SYN_SENT haben und sich als legitime Dienste tarnen.
1.2 Prozesspfad identifizieren
Überprüfen Sie anhand der Prozess-ID (PID) den tatsächlichen Speicherort der ausführbaren Datei im Verzeichnis /proc. Das Ergebnis zeigt, dass der Prozess (im Beispiel: PID 21394) nicht der echte sshd ist.
Windows Server (Task Manager, PowerShell)
1.1 Prozesse im Task-Manager prüfen
Öffnen Sie den Task-Manager (Strg+Umschalt+Esc) und wechseln Sie zur Registerkarte "Details". Suchen Sie nach Prozessen, die:
- Ungewöhnlich hohe CPU- oder Speichernutzung aufweisen.
- Ungewöhnliche oder zufällig generierte Namen tragen.
- Unter einem falschen Systembenutzer ausgeführt werden.
1.2 Prozesspfad über PowerShell finden
Nutzen Sie PowerShell, um den vollständigen Pfad einer verdächtigen ausführbaren Datei (EXE) zu ermitteln. Ersetzen Sie SuspectProcessName durch den Namen, den Sie im Task-Manager gefunden haben.
Wenn der Pfad auf Temp, AppData oder ein Verzeichnis wie C:\ProgramData verweist, ist der Prozess wahrscheinlich bösartig.
2. Prozess beenden und Dateien löschen
Nach der Identifizierung muss der Prozess gestoppt und die bösartigen Dateien entfernt werden.
Linux Server (kill, rm)
2.1 Prozess beenden (kill)
Beenden Sie den bösartigen Prozess gewaltsam mit kill -9.
2.2 Bösartiges Verzeichnis entfernen
Entfernen Sie das gesamte Verzeichnis (im Beispiel: .bot/) rekursiv, um sicherzustellen, dass keine Skripte zur Wiederherstellung verbleiben.
Windows Server (PowerShell, Defender)
2.1 Prozess beenden
Beenden Sie den identifizierten Prozess über die PowerShell mit der Process ID (PID) oder dem Namen.
2.2 Malware entfernen und Scannen
Löschen Sie die ausführbare Datei, die Sie in Schritt 1.2 identifiziert haben. Starten Sie unmittelbar danach einen vollständigen Offline-Scan mit dem Windows Defender oder Ihrer bevorzugten Antiviren-Software, um alle zugehörigen Komponenten im System zu finden und zu isolieren.
3. Kritische Sicherheitsmaßnahmen (Systemübergreifend)
Nachdem die Malware entfernt wurde, müssen Sie die Sicherheitslücken schließen, durch die der Angreifer eingedrungen ist:
Erforderliche Hardening-Maßnahmen:
- Passwort-Reset: Ändern Sie sofort das Passwort für alle betroffenen Benutzerkonten, insbesondere
root/Administratorund die Benutzer, unter denen der bösartige Prozess lief. - Konto-Deaktivierung: Deaktivieren Sie alle kompromittierten oder unbekannten Benutzerkonten. (Linux: Entfernen des 'x' aus dem Passwortfeld in
/etc/passwd. Windows: Konto im Benutzer-Management deaktivieren.) - Patch-Management: Stellen Sie sicher, dass alle System- und Anwendungs-Updates installiert sind, um bekannte Schwachstellen zu schließen.