Ik had me voorgenomen om op de 8ste november even een offerte voor een klant te maken. De klant wilde namelijk graag de prijs van een "vergelijkbare server op kantoor"en eentje in de cloud, want
zo kon hij beter kiezen.
Eigenlijk best grappig, want 2 klanten vroegen dezelfde vraag binnen een half uur.
Nu de 8ste had ik het me voorgenomen, ik ga het nog een keer proberen, maar onderweg naar kantoor belde een medewerker van een klant dat zijn icoontjes op het bureau zoek waren, en binnen 2 minuten belde de volgede dat zijn icoontjes anders waren.
Uiteraard gaan dan bij een beetje IT-er alle alarmbellen af: RANSOMWARE!!
Ik reed op de snelweg dus wat kun je dan? Telefoon erbij pakken, en daar staat managementsoftware op voor de servers van alle klanten. Even op het icoontje van de betreffende server klikken, Geen hoge processor belasting, maar in de historie: hoge harddiskbelasting. Shit, foute boel, uit met dat ding. De server draait in de cloud, maar met de app, staat hij met een druk op de knop stil (hele leuke feature) of uit. Ik koos voor het laatste.
De klant meteen gebeld: Waarschijnlijk Ransomware, dus jullie kunnen nu even niets, en ik ga kijken zodra ik op kantoor ben.
En daar kwam ik een 20 minuten later aan.
De machine werd weer aan gezet, maar afgesloten van het openbare netwerk en geïsoleerd zodat de schade niet groter kon worden.
mijn mooie, door mij persoonlijk de hemel in geprezen virusscanner had verzaakt, hoe kan dat nu toch?
En dan blijkt, hoe blij ik zelf ben met de cloud. Op de 7de is omstreeks 16:53 de ellende begonnen. En vanaf 17:30 begon de versleuteling echt, via de gebruiker receptie. En de klap is groot, heel wat bestanden op de server zijn versleuteld.
Maar de storage van die klant draait op een cloudtoepassing, die zijn eigen beveiliging heeft. O wat ben ik blij met Rushfiles. Ik vraag een collega om gewoon op een pc, in te loggen bij deze dienst via de browser, in de storage van de klant. Terwijl ik op de geïnfecteerde server kijk, gaat hij , helaas veel te weinig vrouwen in de business, zoeken naar bestanden met de Arena-versleuteling. Na even speurwerk, is het antwoord 0, nada, niks, Rushfiles vond het versleutelen van de bestanden geen goed idee en heeft helemaal geen een bestand laten vesleutelen.
De klant moet verder, en we hebben een kopie. Shit van de 7de, 23:09, dus na de versleuteling, maar uiteraard ook die van eergisteren om 23::04. Die 5 minuten zijn in indicatie voor de hoeveelheid bestanden die door de versleuteling verloren zijn gegaan, want ook die zijn allemaal, in 5 minuten gekopieerd.
Het is cloud, dus zonder pardon, pak ik een lokale server en wil de cloud-backup downloaden. Ik sluit hem aan en noem mezelf een eikel. We hebben wel een 500Mbit verbinding, maar in 20 minuten tijd heb ik in de cloud ook een backup up and running en die is veel sneller klaar voor de klant. Dus server uit de doos laten staan en gewoon eentje in de cloud activeren.
Dat is een goed idee, want mijn collega verveelt zich. Hij met de geïnfecteerde machine aan de slag. De SQL-database is omdat deze bleef draaien niet geïnfecteerd en 's nachts zijn er nog diverse wijzigingen geweest. Dus deze even backuppen... Waarheen? Juist ja, naar de cloud, want dat is het snelste.
Ik was inmiddels zo ongeveer klaar met de nieuwe server, koppelen met de bestaande, niet geïnfecteerde, storage ging automatisch, want het was een backup hè en de lokale cache wordt meteen weer gesynchroniseerd.
Ik vond hem goed en mijn collega kon meteen de backup van de database terugzetten.
Even voor 12 was de klant weer up and running, met 0 bestanden verloren en ook geen dubbelwerk of opnieuw order-verwerk tijd.
Het verhaal gaat echter verder. In de cloud hadden we nog de geïnfecteerde machine. Terwijl de klant weer aan het werk is, wilde ik toch wel weten waarom mijn virusscanner verzaakt had?
Na wat speurwerk in de logboeken bleek dat er niet door een gebruiker een bestand geactiveerd was. Het bleek dat een user/password met brute force zoals dat heet gekraakt was, en dat iemand die een Russisch keyboard prefereert ingelogd was. op afstand om 16:53. Voor de duidelijkheid, cloud maakt dit niet makkelijker, als je op afstand wilt kunnen inloggen vanaf een willekeurige plek, kan dit gebeuren.
De gebruiker bleek op maandag om 15:00 voor de eerste keer gekomen te zijn. Toen hielt de virusscanner hem wel tegen? Dat is gek.
Een dag later komt hij/zij op nieuw, maar nu met een Word-document. In dat document wordt eerst normaal gewerkt, en na 20 minuten worden er makro's geactiveerd, handmatig!!
De virusscanner had de eerste 20 minuten niets verdachts gezien, dus deze gebruiker is gewoon lekker in Word bezig. Blijkbaar heeft de hacker heel goed kunnen opzoeken hoe de virusscanner werkt, en hoe je er omheen kunt?
Maar shit, dat kan hij nu dus nog. En inderdaad, om 15:00 werd opnieuw het account gebruikt, maar het was al na half vier, help......
Grappig, de virusscanner had de handelingen van de gebruiker vandaag alweer wel tegen gehouden, toch bijgeleerd....
De gebruiker geforceerd afgemeld en meteen het wachtwoord veranderd.
De teller staat weer op 0.
Ik begon met de offerte van een server lokaal. Als de backups en de data lokaal stonden, was het normaal geweest dat de backups foetsie waren en de bestanden versleuteld. De pc's waren in het netwerk ook meteen geïnfecteerd en de klant was dagen offline geweest.Als de backups in de cloud stonden dan hadden we iets te restaureren, maar ik ken weinig klanten die met een gigabitverbinding werken, dus het downloaden had toch al de nodige uren, of dagen geduurd, want we hebben het in dit geval over 305GB. Terwijl we met de reparatie / herinstallatie bezig zouden zijn, konden we niet onderzoeken hoe het gekomen was, want de hardware was bezig met restoren.
Bij dit bedrijf werken 6 mensen op kantoor en een veelvoud in de werkplaats. Die hadden allemaal stil gestaan voor een aantal dagen. Hoeveel zou dat gekost hebben? Waarschijnlijk had de hele shit lokaal meer gekost dan mijn offerte van de server op locatie. Dus de totaalprijs van die server is: ONBETAALBAAR, veel te duur en niet meer van deze tijd.
Een server kan ook gewoon kapot, vast garantie, maar ook minstens 4 uur voor de hoofdprijs, of een dag of langer voor de betaalbare pech-garantie. Wij begonnen fris, met het installeren van een backup op een nieuwe virtuele machine die in ruim een uur van wil ik tot heb ik gereed was vanuit de backups. Ik kan dat lokaal echt niet sneller.
Wij hebben stof tot nadenken om de firewall brute force te laten ontdekken of Russische IP-adressen misschien voor deze klant uit te zetten, maar we kunnen er over nadenken en de klant heeft de immense klap eigenlijk helemaal niet meegekregen.
Hoe veel goedkoper is het om lokaal te werken? Ik denk dat ik het antwoord al heb gegeven.
Joos Caris.
Neem contact met ons op als u ook permanent online wilt kunnen zijn en niet de kans wilt lopen dagen of weken offline geholpen te worden door een of andere slimme hacker.
Reactie schrijven