Entdecken Sie unseren neuen Ryzen 9 Server hier
Site Logo

Zu Server4You navigieren
Dedicated ServerVirtual ServerFeaturesKontakt

Bots & Malware entfernen

Wenn Sie vermuten, dass Ihr Server kompromittiert wurde, führt diese Anleitung Sie durch alle Schritte zur Identifikation, Beendigung und Entfernung schädlicher Prozesse — für Linux und Windows.

Sofort handeln. Ändern Sie nach der Bereinigung umgehend alle Passwörter und beheben Sie die Ursache des Angriffs — veraltete Software patchen, schwache Passwörter ersetzen und betroffene Konten prüfen. Der Server gilt als nicht vertrauenswürdig, bis der Einstiegspunkt identifiziert und geschlossen wurde.

Linux Server
Verdächtige Prozesse mit netstat und /proc identifizieren, beenden und das schädliche Verzeichnis entfernen.
Zur Linux-Anleitung →
Windows Server
Schädliche Prozesse über Task-Manager und PowerShell finden, stoppen und einen vollständigen Defender Offline-Scan durchführen.
Zur Windows-Anleitung →

Linux Server

Schritt 1: Verdächtige Verbindungen prüfen

Nutzen Sie netstat, um ungewöhnliche offene Verbindungen zu finden — achten Sie auf nicht-standardmäßige Ports (z. B. 6667 / IRC) oder Prozesse mit dem Status SYN_SENT, die sich als legitime Dienste wie sshd tarnen:

Terminal
netstat -plant | grep 6667

Schritt 2: Prozessort identifizieren

Sobald Sie die Prozess-ID (PID) aus der Ausgabe haben, überprüfen Sie den tatsächlichen Speicherort der ausführbaren Datei in /proc:

Terminal
ls -l /proc/21394/exe

Zeigt der Pfad auf etwas Unerwartetes — wie /usr/local/games/.bot/httpd statt auf ein echtes System-Binary — ist der Prozess schädlich.

Schritt 3: Prozess beenden

Beenden Sie den Prozess erzwungen über seine PID:

Terminal
kill -9 21394

Schritt 4: Schädliches Verzeichnis löschen

Navigieren Sie in das übergeordnete Verzeichnis und löschen Sie den schädlichen Ordner rekursiv — so bleiben keine Recovery-Skripte zurück:

Terminal
cd /usr/local/games rm -rf .bot/

Windows Server

Schritt 1: Verdächtige Prozesse finden

Öffnen Sie den Task-Manager (Strg+Umschalt+Esc) → Tab Details. Achten Sie auf Prozesse mit ungewöhnlich hoher CPU- oder RAM-Auslastung, zufällig generierten Namen oder Prozesse, die unter einem unerwarteten Systembenutzer laufen.

Schritt 2: Prozessort identifizieren

Um den vollständigen Dateipfad eines verdächtigen Prozesses zu ermitteln, führen Sie folgendes in PowerShell aus — ersetzen Sie VerdächtigerProzessname mit dem Namen aus dem Task-Manager:

PowerShell
Get-Process -Name "VerdächtigerProzessname" | Select-Object Path

Wenn der Pfad auf Temp, AppData oder C:\ProgramData zeigt, ist der Prozess sehr wahrscheinlich schädlich.

Schritt 3: Prozess beenden

Stoppen Sie den Prozess über PowerShell — entweder per PID oder per Name:

PowerShell
Stop-Process -Id 9876 -Force Stop-Process -Name "VerdächtigerProzessname" -Force

Schritt 4: Datei löschen und Scan starten

Löschen Sie die in Schritt 2 gefundene ausführbare Datei. Starten Sie dann einen vollständigen Offline-Scan mit Windows Defender — der Offline-Scan läuft vor dem Windows-Start und kann Malware erkennen, die sich während des normalen Betriebs versteckt.

Nach der Bereinigung — Erforderliche Maßnahmen

Diese Schritte nicht überspringen:
Alle Passwörter zurücksetzen — ändern Sie sofort alle Passwörter betroffener Konten, insbesondere root / Administrator und jedes Benutzers, unter dem der schädliche Prozess lief.
Kompromittierte Konten deaktivieren — deaktivieren Sie alle betroffenen oder unbekannten Benutzerkonten. Unter Linux: Entfernen Sie das x aus dem Passwortfeld in /etc/passwd. Unter Windows: Konto in der Benutzerverwaltung deaktivieren.
Alle Updates installieren — stellen Sie sicher, dass Betriebssystem und alle installierten Anwendungen vollständig aktualisiert sind, um bekannte Schwachstellen zu schließen.
Server auditieren — überprüfen Sie offene Ports, laufende Dienste, Cronjobs (Linux) und geplante Tasks (Windows) auf weitere Spuren des Einbruchs.