Security Alert: Krypto-Trojaner befällt hunderte Webserver

Erstmals hat es ein Erpressungs-Trojaner im großen Stil auf Webserver abgesehen: Die Ransomware CTB-Locker befällt Websites und verschlüsselt alle Dateien, die sie finden kann. Anschließend erscheint beim Aufruf der Site nur noch der Erpresserbrief, welcher den Admin zur Überweisung von Bitcoins auffordert. Hunderte Web-Präsenzen sind dem Krypto-Trojaner bereits zum Opfer gefallen.

Die aktuell bekannte Fassung des Server-Schädlings ist in PHP programmiert. Wie CTB-Locker auf die Server geschleust wird, ist momentan noch unklar. Vermutlich nutzen die Online-Erpresser Sicherheitslücken in den eingesetzten Web-Applikationen aus. In vielen von heise Security analysierten Fällen handelt es sich um Server, auf denen vor der Infektion eine WordPress-Installation lief.

Um eine Infektion zu verhindern, sollte man inbesondere darauf achten, daß die eingesetzten Web-Applikationen wie WordPress oder Drupal auf dem aktuellen Stand sind. Selbiges gilt für Server-Prozesse wie Apache, nginx und PHP. Zudem sollte man regelmäßig Backups aller Daten anlegen, damit man die verschlüsselten Dateien im Fall der Fälle wiederherstellen kann, ohne das Lösegeld zu zahlen. Derzeit ist ausschließlich eine PHP-Version des Schädlings bekannt – er kann also nur Dateien auf Servern verschlüsseln, die PHP ausführen können.

So macht das alles keinen Spaß mehr: PHP bekommt man nicht dicht und WordPress, Drupal & Co. sind potentielle Sicherheitsrisiken. Gut, daß wenigstens meine Blog Kritzelheft und mein Wiki aus statischen Seiten bestehen und der Server, auf denen sie laufen, kein PHP (und auch kein Python oder Java) kann. Bleiben aber immer noch die Dutzende von Seiten, die ich beruflich betreuen muß. (heise Security)

(Kommentieren)