Erpressungs-Trojaner CTB-Locker befällt Webserver

[nexus]

Erstmals hat es ein Erpressungs-Trojaner im großen Stil auf Webserver abgesehen: Die Ransomware CTB-Locker befällt Websites und verschlüsselt alle Dateien, die sie finden kann. Anschließend erscheint beim Aufruf der Site nur noch der Erpresserbrief, welcher den Admin zur Überweisung von Bitcoins auffordert. Hunderte Web-Präsenzen sind dem Krypto-Trojaner bereits zum Opfer gefallen.

Quelle: http://heise.de/-3116470

Wenn dem tatsächlich so ist wie in dem Artikel beschrieben, dann zeigt dieses Beispiel sehr deutlich, wie wichtig regelmäßige Updates und eine funktionierende Backupstrategie sind...

 

[virtual2]

Bacula all the things!

 

[IP-Projects.de]

"Krypto-Trojaner in PHP

Die aktuell bekannte Fassung des Server-Schädlings ist in PHP programmiert. Den Quellcode seiner Skripte findet man etwa im Forum KernelMode.info. Wie CTB-Locker auf die Server geschleust wird, ist momentan noch unklar. Vermutlich nutzen die Online-Erpresser Sicherheitslücken in den eingesetzten Web-Applikationen aus. In vielen von heise Security analysierten Fällen handelt es sich um Server, auf denen vor der Infektion eine WordPress-Installation lief. "


Naja, da wird halt die Webseite verschlüsselt statt nur SPAM über die Exploits zu schicken. Jeder vernünftige Webhoster erstellt mindestens tagesaktuelle Backups der Kundenwebseiten. Das Problem ist daher überschaubar.

 

[nexus]

Jeder vernünftige Webhoster erstellt mindestens tagesaktuelle Backups der Kundenwebseiten. Das Problem ist daher überschaubar.

Das würde ich nicht unbedingt so pauschal sagen.
Viele Hoster legen mehr Wert auf Quantität als auf Qualität und kümmern sich einen Dreck um die Userdaten.
Und selbst bei vorhandenen Hosterbackups habe ich es schon mehrfach erlebt, daß die Backupfiles korrupt waren und sich nicht restoren ließen.
Vielleicht bin ich ja auch einfach schon zu paranoid geworden, aber ich würde die Verantwortung für funktionierende Backups nie in andere Hände legen, das ist nach meiner Meinung immer die Aufgabe des Admins und nicht des Hosters.

 

[d4f]

Viele Hoster legen mehr Wert auf Quantität als auf Qualität und kümmern sich einen Dreck um die Userdaten.

IP-Projects betont ja "vernünftiger Hoster". Ein Anbieter der keine Backups anlegt oder die Ausgabe des Backuptools nicht überwacht ist weder vernünftig noch erfüllt er die Kundenerwartungen.
Problematischer ist es dass Kunden der Ausfall ihrer Webseite zum Teil erst nach Wochen auffällt und somit kein Anbieter mehr als höchstens noch ein wöchentliches oder monatliches Backup dazu anbieten können wird.
Um dieses Problem zu vermeiden und gleichzeitig Infektionen frühzeitig zu erkennen wird bspw jedes tägliche Backup bei meinem Arbeitgeber nach Infektionen durchsucht und der Kunde dann angeschrieben respektive der Webspace temporär deaktiviert sowie das letzte nicht betroffene Backup aus der Rotation genommen.

Vielleicht bin ich ja auch einfach schon zu paranoid geworden, aber ich würde die Verantwortung für funktionierende Backups nie in andere Hände legen, das ist nach meiner Meinung immer die Aufgabe des Admins und nicht des Hosters.

So definieren es auch die AGB des Arbeitgebers. Die Realität ist aber im Durchschnittsfall meilenweit davon weg; generell weiss der Kunde nicht mal wie man ein Backup erstellt oder das letzte Backup stammt gefühlt aus der Steinzeit. Klar, das ist ein Fehler des Kunden aber der Anbieter kennt diese Problematik und es gehört schlicht zu seinen erwarteten Arbeiten.

 

[IP-Projects.de]

So definieren es auch die AGB des Arbeitgebers. Die Realität ist aber im Durchschnittsfall meilenweit davon weg; generell weiss der Kunde nicht mal wie man ein Backup erstellt oder das letzte Backup stammt gefühlt aus der Steinzeit. Klar, das ist ein Fehler des Kunden aber der Anbieter kennt diese Problematik und es gehört schlicht zu seinen erwarteten Arbeiten.

Auch wir haben in unseren AGB stehen, dass Kunden grundsätzlich für Backups eigenverantwortlich sind. Das ist Standard um sich rechtlich abzusichern. Wir erstellen aber von den normalen Webspace Paketen 14 Tage inkrementelle Backups per rsync, vollständige System snapshots täglich (um mögliche Wiederherstellungsprozesse zu beschleunigen) und die Verwaltungsoberfläche erstellt täglich Backups, die dem Kunden zur eigenen Datensicherung und Wiederherstellung zur Verfügung stehen. Also 3 völlig unterschiedliche Backupsysteme die alle das Selbe Ziel verfolgen .

Das ist sicher etwas oversize, schlimmer wäre es aber, wenn von 100-150 Kunden pro Webserver einfach alle Daten, Webseiten, Webprojekte und co. verloren gehen oder, wie in dem Fall, durch einen Trojaner die Webseiten selbst unwiederbringlich verloren gehen. Dass dir Mitbewerber bekannt sind, die keinen Backupprozess verfolgen, halte ich in der heutigen Zeit schon fast für grob fahrlässig in der heutigen Zeit.