Ranger81 Geschrieben 2. März 2003 Geschrieben 2. März 2003 Hallo, hab da n dringendes Problem: hab ne Homepage im Web, die man per FTP hochladen kann. Nun wurde meine Homepage verändert (Inhalt von Daten verändert). Dies ist ja nur mit FTP Zugang möglich, da die Files nur CHMOD 644 haben also Owner: allen, Group: read, Public: read. Das FTP-Passwort habe ich geändert gehabt und anscheinend hat sich der Hacker per FTP bei mir eingeloggt und die Daten verändert. Aber wie ist das möglich, woher hat der das Passwort ? Was kann ich dagegen tun ? Kann ich das irgendeiner Stelle melden, die der Sache nachgehen (seine IP habe ich) ? Bitte dringend um Hilfe, danke Gruß ranger81
nic_power Geschrieben 2. März 2003 Geschrieben 2. März 2003 Hallo, Sofern Du tatsaechlich gehackt wurdest, solltest Du in jedem Fall Deinen Web-Provider benachrichtigen. Möglichkeiten an das Passwort zu kommen gibt es einige, beispielsweise einen Trojaner auf Deinem Rechner (hast Du einen aktuellen Virenchecker mit dazugehörigem Dat-File installiert)? Verwendest Du ein leicht erratbares Passwort oder loggst Du dich oefter mal von einem Internetcafe aus ein? Eine andere Moeglichkeit ist, dass zwischen Dir und Deiner Web-Seite jemand sitzt, der einen Sniffer verwendet. Normalerweise ist das zwar eher unwahrscheinlich, aber es gibt durchaus Szenarien die denkbar sind (je nach den Sicherheitsvorkehrungen Deines Web-Providers, wenn beispielsweise verschiedene Server an einem Hub haengen und die Nutzer auf den Systemen entsprechende Zugriffsrechte haben). Nic
Ranger81 Geschrieben 2. März 2003 Autor Geschrieben 2. März 2003 Hallo, vielen Dank für deine Antwort, also mein Passwort ist nicht leicht zu erraten das schliesse ich aus, benachrichtigt habe ich Greatnet auf jeden Fall mal. Einen Virenscanner habe ich drauf ja (aktuell und vorgestern gescannt). Dazu lasse ich gerade Anti Trojan 5.5 laufen, das aber so wie es bisher aussieht nichts findet. Das mit dem Sniffer kann ich nicht ausschliessen, aber halte ich auch eher für unwahrscheinlich. :confused: edit: Ich logge mich nur von privat um im Geschäft ein, sonst nirgendwo
daking Geschrieben 2. März 2003 Geschrieben 2. März 2003 Hallo, wäre noch interessant warum dein pw nicht leicht zu erraten ist. Welche Kombinationen hast du benutzt, wie lang ist dein pw. Ein Web defacement ist nicht gerade nett, kann aber in der Regel schnell erkannt werden (Logfiles). ....... Ciao
Ranger81 Geschrieben 2. März 2003 Autor Geschrieben 2. März 2003 hallo, zu dem zeitpunkt des hacks bestand das passwort aus einem wort, dass aus 11 Buchstaben bestand. Das Passwort hat keinerlei bedeutung zur webpage oder ähnlichem. Daher kommt man da nicht so ohne weiteres drauf. ich hoffe, ich habe mal meinem provider eine mail geschrieben.
hades Geschrieben 2. März 2003 Geschrieben 2. März 2003 Mit welchem FTP Programm machst Du den Upload? Gibt es diesem Programm die Moeglichkeit, Verbindungen inkl. Passwoertern als Favoriten oder als Historie zu speichern? Originally posted by Ranger81 edit: Ich logge mich nur von privat um im Geschäft ein, sonst nirgendwo Es koennte durchaus sein, dass es ein Arbeitskollege von Dir war.
daking Geschrieben 2. März 2003 Geschrieben 2. März 2003 Kombinationen aus kleinbuchstaben oder Grossbuchstaben lassen sich "recht leicht" erraten (vielleicht auch durch Glück). Man sollte bei seiner eigenen Passwordpolicy immer auf nummer sicher gehen und kombinationen mit sonderzeichen benutzen.. Wenn einer deiner Mitarbeiter auf deinen Rechner zugreift (also du kannst dir dass vorstellen), solltest du die Auditpolicies deines Rechners auf das Max stellen, d.h. loggen bei Erfolg und Misserfolg. Denke trotzdem, dass das pw durch Brute Force oder Guessing rausgefunden wurde.. Vielleicht hat dein Provider auch die Situation zu spät erkannt => die Möglichkeit länger pw Kombinationen auszuprobieren. Ist dies der Fall solltest du den Provider wechseln. Leider hast du nciht die Möglchkeit die Logs selber zu überprüfen. Ciao
nic_power Geschrieben 2. März 2003 Geschrieben 2. März 2003 Originally posted by daking Denke trotzdem, dass das pw durch Brute Force oder Guessing rausgefunden wurde.. [...] Leider hast du nciht die Möglchkeit die Logs selber zu überprüfen. Warum nicht? Das hängt vom Provider ab. Viele Provider stellen den Kunden auch die ftp-logs für ihre Präsens zur Verfügung. Ranger81 hatte geschrieben, dass er die IP-Adresse kennt. Ich gehe mal davon aus, das diese aus einem ftplog stammt. Nic
daking Geschrieben 2. März 2003 Geschrieben 2. März 2003 Hola, dann den Log posten...... und weiter sehen.... Ciao
Ranger81 Geschrieben 2. März 2003 Autor Geschrieben 2. März 2003 ich hab ne Log, ne access_log die zugriffe auf dateien, die auf dem webserver gespeichert sind, von wo diese aufgerufen wurde (welche ip, uhrzeit, etc...). In dieser Log steht allerdings nicht, wer sich per ftp eingeloggt hat. die ip habe ich herausgefunden, weil der hacker zum gleichen zeitpunkt ein php formualr auf der page absendete, welches mir die ip übermittelt per mail. hier ein Ausschnitt der Log (ist auch eine Tätigkeit des Hackers): 217.82.79.5 - - [02/Mar/2003:12:42:29 +0100] "POST /intern.php HTTP/1.1" 200 15782 "http://www.dsuclan.de/index.php?page=news" "Mozilla/4.0 (compatible; MSIE 5.0; UNIX) Opera 6.1 [en]" 217.82.79.5 - - [02/Mar/2003:12:42:29 +0100] "POST /intern.php HTTP/1.1" 200 15782 "http://www.dsuclan.de/index.php?page=news" "Mozilla/4.0 (compatible; MSIE 5.0; UNIX) Opera 6.1 [en]" 217.82.79.5 - - [02/Mar/2003:12:42:35 +0100] "GET /pics/ci.gif HTTP/1.1" 304 - "http://213.202.192.131/intern.php?mode=home&auth=**************" "Mozilla/4.0 (compatible; MSIE 5.0; UNIX) Opera 6.1 [en]" 217.82.79.5 - - [02/Mar/2003:12:42:43 +0100] "GET /rconlight/command.txt HTTP/1.1" 200 882 "-" "Mozilla/4.0 (compatible; MSIE 5.0; UNIX) Opera 6.1 [en]" edit: Diese intern.php, auf die ein POST-Vorgang statt fand, existierte NICHT auf meinem server, habe ich auch nie hochgeladen, sie kommt also vom hacker. daher war er per ftp definitiv drauf. Gruß Ranger81, danke
nic_power Geschrieben 2. März 2003 Geschrieben 2. März 2003 Das ist eine T-Online Dialup-Account. Du muesstest Dich also an T-Online wenden, wobei Du sicherlich keine Daten erhaelst. Nic
TschiTschi Geschrieben 3. März 2003 Geschrieben 3. März 2003 Das hat nicht zufälliger Weise etwas mit Deinem Clanmitglied (und Serverbetreuer) Mad_Max zu tun, der einen Memberlogin über eine Seite mit dem Namen intern.php ermöglicht? GG
Ranger81 Geschrieben 3. März 2003 Autor Geschrieben 3. März 2003 hallo, erst mal viel dank für die vielen antworten und großartige hilfe. Also ich logge mich daheim mit PSFTP 2003 Professional, oder SmartFTP ein, diese FTP Programme haben die daten gesichert ja, in einer art Historie / Connection-Manager. Im Geschäft logge ich mich ausschließlich durch WebFTP ein und wenn ich nicht am PC bin, so sperre ich ihn (WIN NT4), daher vermute ich kann es im Geschäft nicht ausspioniert worden sein. Hab mich an abuse@ipnet.de gewendet, das ist die abuse adresse von t-online, ich kann nur hoffen dass die was für mich tun können, wobei ich bei t-online immer gleich rot sehe wenns um kundendienst geht, naja mal keine voreiligen schlüse ziehen. Also mit Mad_Max bringe ich das gar nicht in verbindung! Nix gegen ihn, aber das er einen FTP hacken könnte traue ich ihm beim besten willen nicht zu, ich kenne den seit der realschule und der hat nie den eindruck eines hackers gemacht nee also der wars nich. (Wahrscheinlich meinst du Sevrerbetreuer heisst Webserver. Damit meinte ich unseren Counter-Strike Gameserver, da hat der FTP Zugang, aber nicht auf meinen Webspace) Problem ist folgendes: Auf unserer Clanpage war rechts ein clanintern-formular, wo das member den usernamen auswählen und das passwort eingeben konnte, die daten wurden direkt an clanzworld gesendet, wo man sich dann ins claninter einloggte. diese intern-php liegt auf: 201.... und nicht auf meinem server. Der hacker hat nun meine index.php gespiegelt und sie intern.php genannt und auf meinem webserver gesichert (< wie ?!) und dann wurden die formulardaten statt an 201.../intern.php an ./intern.php weitergeleitet. in die intern.php hat er ein script eingefügt, welches die passwörter / logininfos in einer textdatei sichert (rconlight/commands.txt) (< die file existierte zuvor noch nie !) und dann hat er mit einem meta-refresh ganz normal an clanzworld (201...) die datenweitergeleitet. ein zwischenspeicher sozusagen, das habe ich anhand der (gottseidank) verfügbaren log erkennen und jetz beseitigen können. Ich kann nun nicht mehr sicher das ding freigeben, wenn sich der anscheinen so ohne weiteres draufhacken kann. ich weiß nich mehr was ich von meiner seite aus sicherer machen soll... ps: antitrojan hat bei mir daheim keine trojaner gefunden. die registry wieß auch keine trojaner auf (explorer.exe xxx). Hab die Passwörter nochmals geändert auf den Rat von euch. Es besteht nun aus der maximalen Anzahl an Zeichen, die mir möglich sind. danke und gruß ranger81
Ranger81 Geschrieben 3. März 2003 Autor Geschrieben 3. März 2003 Originally posted by nic_power Das ist eine T-Online Dialup-Account. Du muesstest Dich also an T-Online wenden, wobei Du sicherlich keine Daten erhaelst. Nic jo da hab ich mich hingewendet. will keine daten von ihm, aber was werden die wohl unternehmen ? bekommt er ne abmahnung ? T-online zugangssperre ? wisst ihr was auf solche leute zukommt, wenn überhaupt ? Anmerken möchte ich noch folgendes: Der Hacker schriebt mir diverse Mails mit dem Inhalt zum Beispiel: "Windows XP basiert auf Hooks, da kann man sich ganz einfach per Hook einklinken" Mir sagt Hook gar nix und weiß nix dazu anfangen. Weiter schrieb er "Dein Rechner ist offen, ich war auf diener Platte..." Das kann aber meines wissens unmöglich der fall sein, denn 1. Ich habe einen Router mit NAT Firewall, also sind doch die Rechner hinter dem Router nicht sichtbar / angreifbar (der Router SMC Barricade 7004 leitet KEINEN Port weiter an einen Rechner) 2. Hab ich noch Norton Pers. Firewall 2003 auf sicherster Stufe laufen. Diese meldet mir nichts, kein Eingriff gar nix. Wie soll der dann in mein XP kommen ? Was sind Hooks ? Bis zu FTP Angriff dachte ich das wär n Bluffer, aber... hmm... :confused:
hades Geschrieben 3. März 2003 Geschrieben 3. März 2003 Die Hacker Geschichte um WinXP hast Du bereits hier gepostet.
Ranger81 Geschrieben 3. März 2003 Autor Geschrieben 3. März 2003 ja, das war damals auch der, wie ich vermute. dann ist das also quatsch mit den Hooks, dann bin cih wenigstens mal etwas beruhigt, wobei das immernoch nicht erklärt, woher er mein ftp-pw hat wenn nicht von meinem rechner. wie lange würde den eine "bruteforce"-attacke auf ein damals 12 zeichen langes, aus einem kleingeschriebenen buchstaben erstelltes pw dauern ? das kann doch nicht innerhalb von 2 tagen geknackt sein ?
Ranger81 Geschrieben 3. März 2003 Autor Geschrieben 3. März 2003 ich kann mir jetz vorstellen wie er an das pw gekommen sein könnte. da ich mich ja im geschäft in confixx (webftp) einlogge, werden ja die userinfos in nem cookie gesichert. der hacker (n sysadmin z.b.) müsste nur noch meine cookies durchsuchen nach dem confixx cookie und fertig. ^das wäre doch ne möglichkeit, oder ? weil mit Bruteforce, das dauert doch zu lage, oder ?
Spoom Geschrieben 3. März 2003 Geschrieben 3. März 2003 Ich glaub nicht, dass bei Confix die Zugansdaten in nem Cookie gespeichert werden ... Wenn dann verschlüsselt aber normalerweise nur ne Session-ID, die Du wenn Du dich ausloggst nicht mehr zu gebrauchen ist... Ermüsste also wenn dann darauf gewartet haben, dass Du Dich einloggst und dann deine Session übernommen haben ... MfG Spoom
Ranger81 Geschrieben 3. März 2003 Autor Geschrieben 3. März 2003 also wenn ich mich einloggen will bei webftp, steht da drunter: "Zum vernwenden von WebFTP werden Coockies benötigt". Ja gut das mit der Session, aber es wäre möglich, denn wie soll er sonst an das pw gelangen ? ich kann mir das nicht so recht erklären
geloescht_JesterDay Geschrieben 3. März 2003 Geschrieben 3. März 2003 Originally posted by Ranger81 dann ist das also quatsch mit den Hooks, dann bin cih wenigstens mal etwas beruhigt, also Quatsch ist das mit den Hooks nicht, Hooks gibt es tatsächlich. Technically, a "hook" function is a callback function that can be inserted in the Windows message system so an application can access the message stream before other processing of the messag takes place. Ein berühmtes Beispiel ist der Keyboard-Hook. Er ermöglicht es einen Key-Logger zu schreiben, also alle Tasten aufzuzeichnen, die du drückst. (normalerweise erhält ein Programm nur die Nachrichten von Windows, die für es bestimmt sind. Also z.B. nur die Tasten, die gedrückt werden, wenn ein Fenster dieses Programms aktiv ist) Man kann den Keyboard-Hook aber auch "sinnvoll" einsetzen Ich hab damit z.B. mal ein Programm geschrieben, dass ein anderes Keyboard-Layout simuliert. Aber ansonsten ist es wohl nur ein Wort, dass ein Wannabe-Hacker aufgeschnappt hat.
Timon Geschrieben 3. März 2003 Geschrieben 3. März 2003 Wäre doch möglich, dass der einfach den Webserver gehackt hat. Was läuft denn da für ein OS drauf, bzw. welcher ftp-server.
Spoom Geschrieben 3. März 2003 Geschrieben 3. März 2003 Originally posted by DingDong Wäre doch möglich, dass der einfach den Webserver gehackt hat. Was läuft denn da für ein OS drauf, bzw. welcher ftp-server. Klar er macht sich die Arbeit einen Bufferoverflow zu erzeugen um die Kontrolle des FTP-Servers zu erlangen ... Ich glaube die von Puretec können sowas einigermaßen ausschließen...
stunned Geschrieben 3. März 2003 Geschrieben 3. März 2003 wie bitte willst du dinge ausschließen die niemand beeinflussen kann?? ich seh täglich provider die mehrere patches verpennen etc. hab neulich bei 1&1 ein sendmail v8 gesehen!!! nein die version-nummer wurde nicht in der sendmail.cf geändert... ich traue keinem provider mehr... ich glaube nicht das der kerl ein BF durchgeführt hat, bei 12 stellen viel zu aufwendig, und das noch über FTP über 20 hops oder so?!?!? nie im leben... aber wenn das PW aus einem wort besteht und zufällig in seiner dictonary stand, dann könnt ich mir das ganze gut vorstellen... ansonsten eben über seinen eigenen account eventuell einen local exploit?!?
Ranger81 Geschrieben 3. März 2003 Autor Geschrieben 3. März 2003 Solche einen Key-Logger, wie kann ich den aufspühren ? VIrenscanner / AntiTrojan hat nix gefunden ? Muss ich noch irgendwo suchen ? Auf dem Webserver bei meinem Anbieter Greatnet ist meines wissens SuSe 7.1 installiert. FTP Server muss ich nacher nachsehen, kann ich gerade nicht auswendig sagen.
stunned Geschrieben 3. März 2003 Geschrieben 3. März 2003 gibt der ftp-server beim login eine versionsnummer mit? wenn ja, welche?? 7.1 und dazu noch suse? *grml* naja brauchst dich net zu wundern...
Empfohlene Beiträge