Krypto Trojaner über php auf Webservern

Dieses Thema im Forum "Server Administration" wurde erstellt von thommy, 24. Feb. 2016.

  1. thommy

    thommy Member

  2. Till

    Till Administrator

    Habe ich auch gerade gelesen. Bislang waren web infektionen ja meist "relativ harmlos" und haben nur Spam versendet oder ähnliches. Das wird noch übel werden....
     
  3. thommy

    thommy Member

    so, wie wir das derzeit sehen, reicht wohl ein "einfaches" backup aller userdaten aus
    wobei der benutzer dann natürlich erstmal seine WP/Joomla-Installation aktualisieren muss.

    Wir haben nur gerade noch das Backup von Push auf Pull umgestellt ... man weiß ja nie... :)
     
  4. Till

    Till Administrator

    Der Knackpunkt ist halt dass man ein backup haben muss und ich erlebe es oft genug dass die Leute keines haben.

    Besser ist das :)
     
  5. thommy

    thommy Member

    mal als idee für eines der nächstes releases von ispconfig: eine funktion, womit der endkunde die automatisch erstellten backups per mail bekommt (wahlweise auch nur eine benachrichtigung konfigurieren kann)
     
  6. Till

    Till Administrator

    Ich sehe da eher das problem in der größe der mails, welcher mailserver kazptiert denn backups im GB Bereich als Email? Viele meisten machen schon bi 20MB mails dicht.
     
  7. thommy

    thommy Member

    meiner akzeptiert 4GB pro Mail...
    scheiß auf limitierungen... wenn die platte voll ist, wird ne neue eingebaut :)
     
  8. florian030

    florian030 Member

    Ein einfaches Backup reicht nur dann aus, wenn das Backup nicht auch schon infiziert ist.

    Wenn Du erstmal aktive Malware auf Deiner Seite hast, kannst Du meistens auch die Backups der letzten Tage oder Wochen vergessen.
     
  9. reSh

    reSh Member

    Mail find ich jetzt auch nicht so praktisch - mehr als 25MB lasse ich nicht durch.

    Aber eine Möglichkeit die Backups auf nen FTP Server zu schieben wäre nice - also so, dass der Kunde seine eigenen Daten angeben kann und dann auch nur seine Files dort landen.

    Ich muss Florian recht geben - wenn eine Kompromittierung stattgefunden hat dann meist sehr viel früher bevor sie aktiv wird. Aber im Fall des Crypto Dingens ist eine versuchte Version der Daten besser als eine verschlüsselte.
     
  10. florian030

    florian030 Member

    Du kannst doch kundenbezogen die Backups einfach per Script auf nen anderen Server schieben. Bei mir landen die normalen Backups auf einem externen Server. Ich wüsste nicht, warum ich da jetzt noch weiter splitten sollte.
     
  11. reSh

    reSh Member

    Ja, das ist klar - ich meinte, dass die Kunden das selbst erledigen können. Also, dass da im Interface für den Kunden die Möglichkeit besteht, dass sie da ihre FTP Daten angeben - ich will damit kein Stress haben und das nicht immer selbst ändern müssen falls sich auf Kundenseite da mal was ändert.
     
  12. nowayback

    nowayback Well-Known Member

    backups einfach durch ispconfig erstellen lassen und die von nem externen server aus z.b. via rsync einsammeln lassen. sollte nicht zu stressig sein und nen backup auf nem anderen server ist deutlich mehr wert als auf dem gleichen system

    übrigends... scheinbar sollen ja aktuelle wordpress installationen gefährdet sein inkl. aktueller sicherer plugins. man weiß also die ursache/das einfallstor noch nicht genau. daher augen auf bei den logfiles ;-)
     
  13. logifech

    logifech Member

    Oder ISPConfig schiebt das Backup in einen Ordner, Generiert einen Link der für 24H Aktiv ist worüber sich der Kunde das Backup downloaden kann?
     
  14. florian030

    florian030 Member

    Du brauchst die Backups nicht von einem externen Server einsammeln lassen. Du kannst auch vor dem Backup (backupdir is mount) den externen Server bspw. nach /var/backup mounten.
    Man einem Kunden nicht einfach mal so seine Backups zur Verfügung stellen, da dieser gerade nicht in seinem webroot liegen. Dafür gibt es diesen praktischen Download-Button.
     
  15. nowayback

    nowayback Well-Known Member

    Natürlich, jedoch könnte das dann auch jemand, der das System übernommen hat. Daher bevorzuge ich das Einsammeln von Updates.

    Wie es aktuell aussieht, könnte mal wieder RevSlider dahinter stecken.
     
    thommy gefällt das.
  16. Till

    Till Administrator

    Wenn Ihr was lest wie sie in wp rein kommen, dann gern posten. ne signatur für den crpto trojaner hatten wir gestern scghon in ISPProtect eingebaut, aber wenn man den findet ist es vermutlich schon zu spät, daher würde ich schon lieber auf das Einfallstor testen. Alte Revslider erkennt er ja schon und warnt, oder ist davon auch eine neuere revslider version betroffen?
     
  17. reSh

    reSh Member

    Woher hast du die Info?
     
  18. florian030

    florian030 Member

  19. nowayback

    nowayback Well-Known Member

    interne analysen.
    wie gesagt: "könnte"
    gibt da noch nichts finales
     
  20. reSh

    reSh Member

    Ich habe mir das hier mal auf einigen Kunden WP Installationen dies hier installiert: https://de.wordpress.org/plugins/ninjafirewall/

    Sieht ganz viel versprechend aus. Das Log macht mir allerdings "Angst" wenn man mal sieht was da so alles versucht wird.
     

Diese Seite empfehlen