# Krypto Trojaner über php auf Webservern



## thommy (24. Feb. 2016)

http://www.heise.de/newsticker/meld...e-Webserver-3116470.html?hg=1&hgi=3&hgf=false

nach derzeitigen informationen sind wohl besonders wordpress und joomla die einfallstore...


----------



## Till (24. Feb. 2016)

Habe ich auch gerade gelesen. Bislang waren web infektionen ja meist "relativ harmlos" und haben nur Spam versendet oder ähnliches. Das wird noch übel werden....


----------



## thommy (24. Feb. 2016)

so, wie wir das derzeit sehen, reicht wohl ein "einfaches" backup aller userdaten aus
wobei der benutzer dann natürlich erstmal seine WP/Joomla-Installation aktualisieren muss.

Wir haben nur gerade noch das Backup von Push auf Pull umgestellt ... man weiß ja nie...


----------



## Till (24. Feb. 2016)

Zitat von thommy:


> so, wie wir das derzeit sehen, reicht wohl ein "einfaches" backup aller userdaten aus
> wobei der benutzer dann natürlich erstmal seine WP/Joomla-Installation aktualisieren muss.


Der Knackpunkt ist halt dass man ein backup haben muss und ich erlebe es oft genug dass die Leute keines haben.



Zitat von thommy:


> Wir haben nur gerade noch das Backup von Push auf Pull umgestellt ... man weiß ja nie...


Besser ist das


----------



## thommy (24. Feb. 2016)

mal als idee für eines der nächstes releases von ispconfig: eine funktion, womit der endkunde die automatisch erstellten backups per mail bekommt (wahlweise auch nur eine benachrichtigung konfigurieren kann)


----------



## Till (24. Feb. 2016)

Ich sehe da eher das problem in der größe der mails, welcher mailserver kazptiert denn backups im GB Bereich als Email? Viele meisten machen schon bi 20MB mails dicht.


----------



## thommy (24. Feb. 2016)

Zitat von Till:


> Ich sehe da eher das problem in der größe der mails, welcher mailserver kazptiert denn backups im GB Bereich als Email? Viele meisten machen schon bi 20MB mails dicht.


meiner akzeptiert 4GB pro Mail...
scheiß auf limitierungen... wenn die platte voll ist, wird ne neue eingebaut


----------



## florian030 (24. Feb. 2016)

Zitat von thommy:


> so, wie wir das derzeit sehen, reicht wohl ein "einfaches" backup aller userdaten aus
> wobei der benutzer dann natürlich erstmal seine WP/Joomla-Installation aktualisieren muss.
> 
> Wir haben nur gerade noch das Backup von Push auf Pull umgestellt ... man weiß ja nie...


Ein einfaches Backup reicht nur dann aus, wenn das Backup nicht auch schon infiziert ist.

Wenn Du erstmal aktive Malware auf Deiner Seite hast, kannst Du meistens auch die Backups der letzten Tage oder Wochen vergessen.


----------



## reSh (24. Feb. 2016)

Mail find ich jetzt auch nicht so praktisch - mehr als 25MB lasse ich nicht durch. 

Aber eine Möglichkeit die Backups auf nen FTP Server zu schieben wäre nice - also so, dass der Kunde seine eigenen Daten angeben kann und dann auch nur seine Files dort landen. 

Ich muss Florian recht geben - wenn eine Kompromittierung stattgefunden hat dann meist sehr viel früher bevor sie aktiv wird. Aber im Fall des Crypto Dingens ist eine versuchte Version der Daten besser als eine verschlüsselte.


----------



## florian030 (24. Feb. 2016)

Du kannst doch kundenbezogen die Backups einfach per Script auf nen anderen Server schieben. Bei mir landen die normalen Backups auf einem externen Server. Ich wüsste nicht, warum ich da jetzt noch weiter splitten sollte.


----------



## reSh (24. Feb. 2016)

Ja, das ist klar - ich meinte, dass die Kunden das selbst erledigen können. Also, dass da im Interface für den Kunden die Möglichkeit besteht, dass sie da ihre FTP Daten angeben - ich will damit kein Stress haben und das nicht immer selbst ändern müssen falls sich auf Kundenseite da mal was ändert.


----------



## nowayback (24. Feb. 2016)

backups einfach durch ispconfig erstellen lassen und die von nem externen server aus z.b. via rsync einsammeln lassen. sollte nicht zu stressig sein und nen backup auf nem anderen server ist deutlich mehr wert als auf dem gleichen system

übrigends... scheinbar sollen ja aktuelle wordpress installationen gefährdet sein inkl. aktueller sicherer plugins. man weiß also die ursache/das einfallstor noch nicht genau. daher augen auf bei den logfiles ;-)


----------



## logifech (25. Feb. 2016)

Oder ISPConfig schiebt das Backup in einen Ordner, Generiert einen Link der für 24H Aktiv ist worüber sich der Kunde das Backup downloaden kann?


----------



## florian030 (25. Feb. 2016)

Du brauchst die Backups nicht von einem externen Server einsammeln lassen. Du kannst auch vor dem Backup (backupdir is mount) den externen Server bspw. nach /var/backup mounten.
Man einem Kunden nicht einfach mal so seine Backups zur Verfügung stellen, da dieser gerade nicht in seinem webroot liegen. Dafür gibt es diesen praktischen Download-Button.


----------



## nowayback (25. Feb. 2016)

Zitat von florian030:


> Du kannst auch vor dem Backup (backupdir is mount) den externen Server bspw. nach /var/backup mounten.


Natürlich, jedoch könnte das dann auch jemand, der das System übernommen hat. Daher bevorzuge ich das Einsammeln von Updates. 



Zitat von nowayback:


> übrigends... scheinbar sollen ja aktuelle wordpress installationen gefährdet sein inkl. aktueller sicherer plugins


Wie es aktuell aussieht, könnte mal wieder RevSlider dahinter stecken.


----------



## Till (25. Feb. 2016)

Wenn Ihr was lest wie sie in wp rein kommen, dann gern posten. ne signatur für den crpto trojaner hatten wir gestern scghon in ISPProtect eingebaut, aber wenn man den findet ist es vermutlich schon zu spät, daher würde ich schon lieber auf das Einfallstor testen. Alte Revslider erkennt er ja schon und warnt, oder ist davon auch eine neuere revslider version betroffen?


----------



## reSh (25. Feb. 2016)

Zitat von nowayback:


> Wie es aktuell aussieht, könnte mal wieder RevSlider dahinter stecken.


Woher hast du die Info?


----------



## florian030 (25. Feb. 2016)

Zumindest wird der rev-slider gerade gerne mal wieder "untersucht": https://blog.sucuri.net/2016/02/beh...&utm_campaign=Feed:+sucuri/blog+(Sucuri+Blog)


----------



## nowayback (25. Feb. 2016)

Zitat von reSh:


> Woher hast du die Info?


interne analysen.
wie gesagt: "könnte"
gibt da noch nichts finales


----------



## reSh (25. Feb. 2016)

Ich habe mir das hier mal auf einigen Kunden WP Installationen dies hier installiert: https://de.wordpress.org/plugins/ninjafirewall/

Sieht ganz viel versprechend aus. Das Log macht mir allerdings "Angst" wenn man mal sieht was da so alles versucht wird.


----------



## nowayback (25. Feb. 2016)

ossec wäre da wohl die sinnvollere alternative mMn


----------

