<center>
![binary-2170630_1920.jpg](https://images.hive.blog/DQmUYLVJSN5k7MgxPuGwn4wwn2gx5euL31vWHtXwm65cSLP/binary-2170630_1920.jpg)
</center>

Hi zusammen,

da ist es nun also passiert, und das nachdem ich vor kurzem erst eine Anleitung geschrieben habe wie man genau das verhindert und seine Server sicherer macht und gegen Angriffe von außen schützen kann.
Aber von vorne, ich hab doch vor einer ganzen Weile mit dem Spiel **Valheim** begonnen und da auch einen Server für die Community zur Verfügung gestellt. Dieser wird natürlich auch in der Liste von Steam gezeigt und damit ist die IP online, was quasi immer dazu führt das ein solcher Server auch **angegriffen werden wird**.

Um das Spiel zu starten habe ich selbstverständlich einen eigenen User angelegt, hab diesem den sehr schlauen Namen Steam gegeben und ihn dazu genutzt die Verbindung mit eben jener Spielverteilungsplattform zu halten als auch den Valheim Server dann letztlich auch zu starten. Das dumme ist nur, da ich nicht vorhatte das sich irgendjemand von außen mit dem User einloggen kann, hab ich ihm auch ein schwaches Passwort gegeben. Dann hab ich aber dummerweise vergessen das Login dieses Users über SSHD auszuschalten und schwupps ein paar Tage oder Wochen später hatte ich das Problem.

## Gehackt
Wie ist mir das aufgefallen? 
Naja, das war relativ einfach denn die CPU Leistung des Servers lag konstant bei 100%, erst hatte ich mir nix dabei gedacht aber ich war schnell hellhörig geworden als mir auffiel das der Prozess der das vereinnahmte Kwapd hiess und nicht etwa der Valheim Server.
Kswapd ist eigentlich ein Prozess der virtuellen Speicher verwaltet, was aber quatsch war denn mein normaler Arbeitsspeicher des Servers war noch lange nicht vollgelaufen... 
Nach kurzem Googlen war klar das das, na was wohl, **ein CPU - Coinminer** war der da fröhlich vor sich hin arbeitete. 

## Was tun?

Naja, zum Glück hatte ich keinen priviligierten User gemacht, also der User Steam hatte keine Recht über Sudo auch administrative Kommandos abzusetzen. Das war schonmal gut. Aber auch ohne administrative Rechte kann man genug quatsch mit einem User anstellen. 
Folgende Dinge sind, wenn man auch mal so ein Problem hat, dringend empfohlen:
- **crontab anschauen** und alles löschen was man nicht kennt, da sind fast immer Einträge vorhanden die Programme nachstarten wenn man sie beended etc.
- meistens gibt es in **.ssh keys in den authorized_keys** einen Schlüsseleintrag der nicht von euch ist. Weg damit, darüber loggen sich die Hacker in den Server ein.
- in **.configrc und im /tmp Verzeichnis** gibt es meist seltsame Einträge, am besten auch direkt löschen.

Ehrlicherweise ist es eigentlich am besten einen Server direkt neu zu installieren wenn er einmal komprommitiert war, aber in diesem Falle hab ich mich dagegen entschieden. Zumindest für den Moment :)

Einen schönen Abend wünscht
Euer Jan

*pic ist von Pixabay*