Es ist 07:43 Uhr. Sie öffnen den Laptop. Eine Warnung blinkt. CrowdSec hat 47 Verbindungen blockiert. Pi-hole meldet ungewöhnliche DNS-Anfragen. Ein Container ist neu gestartet den Sie nicht gestartet haben.
Ist das ein Angriff? Oder ist das normal?
Diese Frage stellen sich täglich Tausende Betreiber selbst gehosteter Systeme. Und die falsche Antwort kostet entweder Nerven (bei Fehlalarm) oder Daten (bei echtem Angriff).
Die drei Signale die auf einen echten Angriff hindeuten
1. Authentifizierungsfehler in ungewöhnlicher Häufung. Fünf fehlgeschlagene SSH-Logins am Morgen – das kann ein Mitarbeiter sein der sein Passwort vergessen hat. 5.000 fehlgeschlagene Versuche in einer Stunde von 40 verschiedenen IP-Adressen – das ist ein Brute-Force-Angriff. CrowdSec erkennt dieses Muster automatisch und sperrt die Quellen. Wenn Sie in Ihren Logs dieses Muster sehen: ernst nehmen.
2. Ausgehender Datenverkehr zu unbekannten Zielen. Ihr Server sendet normalerweise Daten an Ihre Nutzer, an Backup-Systeme und an Update-Server die Sie kennen. Wenn plötzlich regelmäßige Verbindungen zu IP-Adressen in unerwarteten Regionen auftauchen, die Sie nicht zugeordnet haben – ist das ein Warnsignal. Besonders wenn diese Verbindungen nachts oder zu ungewöhnlichen Zeiten stattfinden.
3. Prozesse die Sie nicht gestartet haben. Ein Mining-Script das Ihre CPU auslastet. Ein Port der plötzlich offen ist. Ein neuer Nutzer in der Benutzerliste. Wenn etwas auf Ihrem System läuft das Sie nicht erklärt bekommen – behandeln Sie es als Bedrohung bis das Gegenteil bewiesen ist.
Die drei häufigsten Fehlalarme
CrowdSec blockiert Ihre eigene IP. Das passiert besonders wenn Sie eine dynamische IP-Adresse haben und sich mehrfach falsch einloggen. Lösung: Ihre eigenen Subnetze auf die Whitelist setzen. Das ist ein Wartungsthema, kein Sicherheitsproblem.
Backup-Jobs zur ungewohnten Zeit. Wenn Ihr Backup-Cron um 03:00 Uhr läuft und Sie um 07:00 Uhr die Logs lesen sehen Sie eine Lastspitze und Netzwerkaktivität zu Zeiten wo niemand arbeitet. Das ist kein Einbruch – das ist Ihr Backup das funktioniert.
Automatische Updates. Watchtower, apt-cron, Docker-Images die sich selbst aktualisieren – all das erzeugt Netzwerkverbindungen, Neustarts und kurze Lastspitzen. Wenn Sie kein Monitoring haben das diese Events markiert, sieht das beunruhigend aus.
Die Faustregel die immer gilt
Wenn Sie nicht sicher sind ob Daten oder Zugangsdaten kompromittiert sein könnten: Behandeln Sie es als echten Angriff. Die Kosten eines Fehlalarms sind ein verlorener Morgen. Die Kosten eines ignorierten echten Angriffs können existenziell sein.
Was dann? Zugang sperren. Logs sichern bevor sie überschrieben werden. Einen Blick auf aktive Verbindungen werfen: netstat -an oder ss -tulpn. Und wenn Sie nicht sicher sind was Sie sehen – jemanden fragen der diese Systeme kennt.
Was jetzt?
Unser Sicherheitspaket – CrowdSec, Pi-hole, Portmaster – ist nicht dazu da Alarme zu produzieren. Es ist dazu da sie zu interpretieren und zu handeln bevor Sie manuell eingreifen müssen.
Lösungen die das Problem lösen