Zum Inhalt springen

Ftp-Server gehackt ?!


Ranger81

Empfohlene Beiträge

Hallo,

hab da n dringendes Problem:

hab ne Homepage im Web, die man per FTP hochladen kann. Nun wurde meine Homepage verändert (Inhalt von Daten verändert). Dies ist ja nur mit FTP Zugang möglich, da die Files nur CHMOD 644 haben also Owner: allen, Group: read, Public: read.

Das FTP-Passwort habe ich geändert gehabt und anscheinend hat sich der Hacker per FTP bei mir eingeloggt und die Daten verändert.

Aber wie ist das möglich, woher hat der das Passwort ?

Was kann ich dagegen tun ?

Kann ich das irgendeiner Stelle melden, die der Sache nachgehen (seine IP habe ich) ?

Bitte dringend um Hilfe, danke Gruß ranger81

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo,

Sofern Du tatsaechlich gehackt wurdest, solltest Du in jedem Fall Deinen Web-Provider benachrichtigen. Möglichkeiten an das Passwort zu kommen gibt es einige, beispielsweise einen Trojaner auf Deinem Rechner (hast Du einen aktuellen Virenchecker mit dazugehörigem Dat-File installiert)? Verwendest Du ein leicht erratbares Passwort oder loggst Du dich oefter mal von einem Internetcafe aus ein? Eine andere Moeglichkeit ist, dass zwischen Dir und Deiner Web-Seite jemand sitzt, der einen Sniffer verwendet. Normalerweise ist das zwar eher unwahrscheinlich, aber es gibt durchaus Szenarien die denkbar sind (je nach den Sicherheitsvorkehrungen Deines Web-Providers, wenn beispielsweise verschiedene Server an einem Hub haengen und die Nutzer auf den Systemen entsprechende Zugriffsrechte haben).

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo,

vielen Dank für deine Antwort, also mein Passwort ist nicht leicht zu erraten das schliesse ich aus, benachrichtigt habe ich Greatnet auf jeden Fall mal. Einen Virenscanner habe ich drauf ja (aktuell und vorgestern gescannt). Dazu lasse ich gerade Anti Trojan 5.5 laufen, das aber so wie es bisher aussieht nichts findet.

Das mit dem Sniffer kann ich nicht ausschliessen, aber halte ich auch eher für unwahrscheinlich.

:confused:

edit: Ich logge mich nur von privat um im Geschäft ein, sonst nirgendwo

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo,

wäre noch interessant warum dein pw nicht leicht zu erraten ist. Welche Kombinationen hast du benutzt, wie lang ist dein pw. Ein Web defacement ist nicht gerade nett, kann aber in der Regel schnell erkannt werden (Logfiles).

.......

Ciao

Link zu diesem Kommentar
Auf anderen Seiten teilen

hallo,

zu dem zeitpunkt des hacks bestand das passwort aus einem wort, dass aus 11 Buchstaben bestand. Das Passwort hat keinerlei bedeutung zur webpage oder ähnlichem. Daher kommt man da nicht so ohne weiteres drauf.

ich hoffe, ich habe mal meinem provider eine mail geschrieben.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Mit welchem FTP Programm machst Du den Upload? Gibt es diesem Programm die Moeglichkeit, Verbindungen inkl. Passwoertern als Favoriten oder als Historie zu speichern?

Originally posted by Ranger81

edit: Ich logge mich nur von privat um im Geschäft ein, sonst nirgendwo

Es koennte durchaus sein, dass es ein Arbeitskollege von Dir war.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Kombinationen aus kleinbuchstaben oder Grossbuchstaben lassen sich "recht leicht" erraten (vielleicht auch durch Glück). Man sollte bei seiner eigenen Passwordpolicy immer auf nummer sicher gehen und kombinationen mit sonderzeichen benutzen..

Wenn einer deiner Mitarbeiter auf deinen Rechner zugreift (also du kannst dir dass vorstellen), solltest du die Auditpolicies deines Rechners auf das Max stellen, d.h. loggen bei Erfolg und Misserfolg. Denke trotzdem, dass das pw durch Brute Force oder Guessing rausgefunden wurde..

Vielleicht hat dein Provider auch die Situation zu spät erkannt => die Möglichkeit länger pw Kombinationen auszuprobieren. Ist dies der Fall solltest du den Provider wechseln. Leider hast du nciht die Möglchkeit die Logs selber zu überprüfen.

Ciao

Link zu diesem Kommentar
Auf anderen Seiten teilen

Originally posted by daking

Denke trotzdem, dass das pw durch Brute Force oder Guessing rausgefunden wurde..

[...]

Leider hast du nciht die Möglchkeit die Logs selber zu überprüfen.

Warum nicht? Das hängt vom Provider ab. Viele Provider stellen den Kunden auch die ftp-logs für ihre Präsens zur Verfügung. Ranger81 hatte geschrieben, dass er die IP-Adresse kennt. Ich gehe mal davon aus, das diese aus einem ftplog stammt.

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

ich hab ne Log, ne access_log die zugriffe auf dateien, die auf dem webserver gespeichert sind, von wo diese aufgerufen wurde (welche ip, uhrzeit, etc...). In dieser Log steht allerdings nicht, wer sich per ftp eingeloggt hat. die ip habe ich herausgefunden, weil der hacker zum gleichen zeitpunkt ein php formualr auf der page absendete, welches mir die ip übermittelt per mail.

hier ein Ausschnitt der Log (ist auch eine Tätigkeit des Hackers):


217.82.79.5 - - [02/Mar/2003:12:42:29 +0100] "POST /intern.php HTTP/1.1" 200 15782 "http://www.dsuclan.de/index.php?page=news" "Mozilla/4.0 (compatible; MSIE 5.0; UNIX) Opera 6.1  [en]"

217.82.79.5 - - [02/Mar/2003:12:42:29 +0100] "POST /intern.php HTTP/1.1" 200 15782 "http://www.dsuclan.de/index.php?page=news" "Mozilla/4.0 (compatible; MSIE 5.0; UNIX) Opera 6.1  [en]"

217.82.79.5 - - [02/Mar/2003:12:42:35 +0100] "GET /pics/ci.gif HTTP/1.1" 304 - "http://213.202.192.131/intern.php?mode=home&auth=**************" "Mozilla/4.0 (compatible; MSIE 5.0; UNIX) Opera 6.1  [en]"

217.82.79.5 - - [02/Mar/2003:12:42:43 +0100] "GET /rconlight/command.txt HTTP/1.1" 200 882 "-" "Mozilla/4.0 (compatible; MSIE 5.0; UNIX) Opera 6.1  [en]"

edit: Diese intern.php, auf die ein POST-Vorgang statt fand, existierte NICHT auf meinem server, habe ich auch nie hochgeladen, sie kommt also vom hacker. daher war er per ftp definitiv drauf.

Gruß Ranger81, danke

Link zu diesem Kommentar
Auf anderen Seiten teilen

hallo, erst mal viel dank für die vielen antworten und großartige hilfe.

Also ich logge mich daheim mit PSFTP 2003 Professional, oder SmartFTP ein, diese FTP Programme haben die daten gesichert ja, in einer art Historie / Connection-Manager.

Im Geschäft logge ich mich ausschließlich durch WebFTP ein und wenn ich nicht am PC bin, so sperre ich ihn (WIN NT4), daher vermute ich kann es im Geschäft nicht ausspioniert worden sein.

Hab mich an abuse@ipnet.de gewendet, das ist die abuse adresse von t-online, ich kann nur hoffen dass die was für mich tun können, wobei ich bei t-online immer gleich rot sehe wenns um kundendienst geht, naja mal keine voreiligen schlüse ziehen.

Also mit Mad_Max bringe ich das gar nicht in verbindung! Nix gegen ihn, aber das er einen FTP hacken könnte traue ich ihm beim besten willen nicht zu, ich kenne den seit der realschule und der hat nie den eindruck eines hackers gemacht ;) nee also der wars nich. (Wahrscheinlich meinst du Sevrerbetreuer heisst Webserver. Damit meinte ich unseren Counter-Strike Gameserver, da hat der FTP Zugang, aber nicht auf meinen Webspace)

Problem ist folgendes: Auf unserer Clanpage war rechts ein clanintern-formular, wo das member den usernamen auswählen und das passwort eingeben konnte, die daten wurden direkt an clanzworld gesendet, wo man sich dann ins claninter einloggte. diese intern-php liegt auf: 201.... und nicht auf meinem server. Der hacker hat nun meine index.php gespiegelt und sie intern.php genannt und auf meinem webserver gesichert (< wie ?!) und dann wurden die formulardaten statt an 201.../intern.php an ./intern.php weitergeleitet. in die intern.php hat er ein script eingefügt, welches die passwörter / logininfos in einer textdatei sichert (rconlight/commands.txt) (< die file existierte zuvor noch nie !) und dann hat er mit einem meta-refresh ganz normal an clanzworld (201...) die datenweitergeleitet. ein zwischenspeicher sozusagen, das habe ich anhand der (gottseidank) verfügbaren log erkennen und jetz beseitigen können.

Ich kann nun nicht mehr sicher das ding freigeben, wenn sich der anscheinen so ohne weiteres draufhacken kann.

ich weiß nich mehr was ich von meiner seite aus sicherer machen soll...

ps: antitrojan hat bei mir daheim keine trojaner gefunden. die registry wieß auch keine trojaner auf (explorer.exe xxx). Hab die Passwörter nochmals geändert auf den Rat von euch. Es besteht nun aus der maximalen Anzahl an Zeichen, die mir möglich sind.

danke und gruß ranger81

Link zu diesem Kommentar
Auf anderen Seiten teilen

Originally posted by nic_power

Das ist eine T-Online Dialup-Account. Du muesstest Dich also an T-Online wenden, wobei Du sicherlich keine Daten erhaelst.

Nic

jo da hab ich mich hingewendet. will keine daten von ihm, aber was werden die wohl unternehmen ? bekommt er ne abmahnung ? T-online zugangssperre ? wisst ihr was auf solche leute zukommt, wenn überhaupt ?

Anmerken möchte ich noch folgendes: Der Hacker schriebt mir diverse Mails mit dem Inhalt zum Beispiel: "Windows XP basiert auf Hooks, da kann man sich ganz einfach per Hook einklinken" Mir sagt Hook gar nix und weiß nix dazu anfangen. Weiter schrieb er "Dein Rechner ist offen, ich war auf diener Platte..." Das kann aber meines wissens unmöglich der fall sein, denn

1. Ich habe einen Router mit NAT Firewall, also sind doch die Rechner hinter dem Router nicht sichtbar / angreifbar (der Router SMC Barricade 7004 leitet KEINEN Port weiter an einen Rechner)

2. Hab ich noch Norton Pers. Firewall 2003 auf sicherster Stufe laufen. Diese meldet mir nichts, kein Eingriff gar nix.

Wie soll der dann in mein XP kommen ? Was sind Hooks ? Bis zu FTP Angriff dachte ich das wär n Bluffer, aber... hmm... :confused:

Link zu diesem Kommentar
Auf anderen Seiten teilen

ja, das war damals auch der, wie ich vermute.

dann ist das also quatsch mit den Hooks, dann bin cih wenigstens mal etwas beruhigt, wobei das immernoch nicht erklärt, woher er mein ftp-pw hat wenn nicht von meinem rechner. wie lange würde den eine "bruteforce"-attacke auf ein damals 12 zeichen langes, aus einem kleingeschriebenen buchstaben erstelltes pw dauern ? das kann doch nicht innerhalb von 2 tagen geknackt sein ?

Link zu diesem Kommentar
Auf anderen Seiten teilen

ich kann mir jetz vorstellen wie er an das pw gekommen sein könnte. da ich mich ja im geschäft in confixx (webftp) einlogge, werden ja die userinfos in nem cookie gesichert. der hacker (n sysadmin z.b.) müsste nur noch meine cookies durchsuchen nach dem confixx cookie und fertig.

^das wäre doch ne möglichkeit, oder ? weil mit Bruteforce, das dauert doch zu lage, oder ?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich glaub nicht, dass bei Confix die Zugansdaten in nem Cookie gespeichert werden ...

Wenn dann verschlüsselt aber normalerweise nur ne Session-ID, die Du wenn Du dich ausloggst nicht mehr zu gebrauchen ist... Ermüsste also wenn dann darauf gewartet haben, dass Du Dich einloggst und dann deine Session übernommen haben ...

MfG Spoom

Link zu diesem Kommentar
Auf anderen Seiten teilen

also wenn ich mich einloggen will bei webftp, steht da drunter: "Zum vernwenden von WebFTP werden Coockies benötigt". Ja gut das mit der Session, aber es wäre möglich, denn wie soll er sonst an das pw gelangen ? ich kann mir das nicht so recht erklären

Link zu diesem Kommentar
Auf anderen Seiten teilen

Originally posted by Ranger81

dann ist das also quatsch mit den Hooks, dann bin cih wenigstens mal etwas beruhigt,

also Quatsch ist das mit den Hooks nicht, Hooks gibt es tatsächlich.

Technically, a "hook" function is a callback function that can be inserted in the Windows message system so an application can access the message stream before other processing of the messag takes place.

Ein berühmtes Beispiel ist der Keyboard-Hook. Er ermöglicht es einen Key-Logger zu schreiben, also alle Tasten aufzuzeichnen, die du drückst.

(normalerweise erhält ein Programm nur die Nachrichten von Windows, die für es bestimmt sind. Also z.B. nur die Tasten, die gedrückt werden, wenn ein Fenster dieses Programms aktiv ist)

Man kann den Keyboard-Hook aber auch "sinnvoll" einsetzen ;) Ich hab damit z.B. mal ein Programm geschrieben, dass ein anderes Keyboard-Layout simuliert.

Aber ansonsten ist es wohl nur ein Wort, dass ein Wannabe-Hacker aufgeschnappt hat.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Originally posted by DingDong

Wäre doch möglich, dass der einfach den Webserver gehackt hat. Was läuft denn da für ein OS drauf, bzw. welcher ftp-server.

Klar er macht sich die Arbeit einen Bufferoverflow zu erzeugen um die Kontrolle des FTP-Servers zu erlangen ...

Ich glaube die von Puretec können sowas einigermaßen ausschließen...

Link zu diesem Kommentar
Auf anderen Seiten teilen

wie bitte willst du dinge ausschließen die niemand beeinflussen kann??

ich seh täglich provider die mehrere patches verpennen etc.

hab neulich bei 1&1 ein sendmail v8 gesehen!!!:rolleyes:

nein die version-nummer wurde nicht in der sendmail.cf geändert...

ich traue keinem provider mehr... ich glaube nicht das der kerl ein BF durchgeführt

hat, bei 12 stellen viel zu aufwendig, und das noch über FTP über 20 hops oder so?!?!? nie im leben... aber wenn das PW aus einem wort besteht und zufällig in seiner dictonary stand, dann könnt ich mir das ganze gut vorstellen... ansonsten eben über seinen eigenen account eventuell einen local exploit?!?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Solche einen Key-Logger, wie kann ich den aufspühren ? VIrenscanner / AntiTrojan hat nix gefunden ? Muss ich noch irgendwo suchen ?

Auf dem Webserver bei meinem Anbieter Greatnet ist meines wissens SuSe 7.1 installiert. FTP Server muss ich nacher nachsehen, kann ich gerade nicht auswendig sagen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gast
Dieses Thema wurde nun für weitere Antworten gesperrt.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...