Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Ein Fall für Sicherheitsexperten

Bomania / 21 Antworten / Baumansicht Nickles

Hallo,


wie ich in letzter Zeit gesehen habe, befinden sich hier im Forum einige fähige Leute. Vielleicht könnt ihr mir weiterhelfen. Zu Situation: Vor etwas zwei Wochen wurde meine Website von unbekannten gehackt (Startbildschirm wurde ausgetauscht, irgendwelche CGI-Scripte raufgeladen...). Den Eingriff habe umgehend rückgängig gemacht. Natürlich habe ich außerdem sofort meinen Provider/Webhoster (Bytecamp.net) kontaktiert. Natürlich weisen sie jegliche Schuld von sich - 1. soetwas würde bei Bytecamp nur ein bis zwei mal im Jahr passieren. 2. Schuld daran seien immer die User selbst, denn bei den Webservern würden große Sicherheitsvorkehrungen getroffen.


Es sei noch erwähnt, dass Bytecamp VOLLSTÄNDIG auf Open Source Software setzt. Da mir der Support also auch nicht unbedingt weiter geholfen hat, habe ich einige Vorkehrungen getroffen. Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer natürlich im FTP-Programm selbst. Deshalb habe ich dieses deinstalliert, habe sicherheitshalber die neuesten Windowsupdates drauf gezogen, und natürlich habe ich das Passwort für den FTP-Zugang geändert.


Soweit so gut. Seitdem passierte nichts. Bis ich gestern nachmittag ein JPG-Bild im Root meines Webspace vorfand. Die Herkunft dieses Bildes war mir gänzlich unbekannt und ich ahnte übles. Das Bild ist übrigens ein Screenshot irgendeines Tools. Nach einigen Recherchen habe ich heraus gefunden, dass es sich um ein Linux-Tool handelt, mit welchem man anscheinend das Erscheinungsbild bzw. die Farben der Linuxoberfläche ändern kann. Wie gesagt, keinen blassen Schimmer wo das Bild hergekommen ist und was das überhaupt soll.
Gestern abend dann eine neue Entdeckung. Die unbekannten hatten wieder zugeschlagen. Wieder die selbe organisierte Gruppe (V4mu), diesmal aber ein anderes Mitglied. Die Person hatte allerdings vergessen, meinen Startbildschirm (PHP) zu löschen, nachdem er den neuen Startbildschirm (HTML) aufgespielt hatte. Deshalb war der neue Angriff zuerst mal unbemerkt gewesen. Ich fand erneut mir unbekannte CGI-Scripts vor, die ich samt Startbildschirm wieder löschte.


Es scheint, egal wie oft ich mein Passwort ändere, egal welches FTP-Tool ich nutze - diese Leute scheinen jedesmal Zugang zu meinem Webspace zu erlangen. Ich habe nur allerdings keine Idee mehr, welche Schwachstelle zum Komprimitieren meines Systems noch offen wäre. Nach einigen Überlegungen festigt sich mein Verdacht mehr und mehr, dass die Angreifer nicht MEIN System sondern das System meines Webhosters komprimitieren.


Hat jemand von euch damit schon Erfahrungen gemacht? Wer kennt sich in der Materie aus und könnte mir Tipps geben, wie ich nun vorgehen soll? Bitte aber keine "Allheil-Ratschläge" wie umsteigen auf Linux oder so.


Danke und Gruß,
Björn

bei Antwort benachrichtigen
GarfTermy Bomania „Ein Fall für Sicherheitsexperten“
Optionen

"...Es scheint, egal wie oft ich mein Passwort ändere, egal welches FTP-Tool ich nutze - diese Leute scheinen jedesmal Zugang zu meinem Webspace zu erlangen...."

ich denke es ist die aufgabe des providers die sicherheit zu gewährleisten. deine verantwortung ist ein ausreichend gutes passwort.

wenn der provider das nicht auf die reihe bekommt, dann würde ich wechseln.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
xafford Bomania „Ein Fall für Sicherheitsexperten“
Optionen

Die Einfallsmöglichkeiten sind ziemlich breit gefächert. Als erstes solltest Du dir die Logs des Servers sehr genau anschauen um heraus zu finden, ob es auffällige Meldungen gibt, die Rückschluß auf die Art des eindringens geben. Weiterhin solltest Du ebenso dringends den Server dahingehend überprüfen, ob sie eine Backdoor installiert haben, das ist nämlich oftmals das erste, was ein Eindringling macht, um sich wieder Zugang verschaffen zu können, falls die ursprüngliche Lücke geschlossen ist.
Die Tatsache, daß Daten auf deinen Webserver geladen wurden muß im Übrigen nicht zwingend darauf hin deuten, daß sie FTP genutzt haben zum Eindringen, sie könnten auch einen anderen Exploit genutzt haben und sich dann lokal die Zugangsrechte verschafft haben, also prüfe auch alle existierenden Accounts und deren Rechte.
Im Übrigen gibt es ganz unpretentiöse nette kleine Lücken in CGI-Scripten oder CMS-Systemen. Nuke hat in älteren Versionen z.B. einige Lücken, für die sich Crackerkiddies sogar schon Webfrontends gebastelt haben um reihenweise Sites zu defacen. Aktualisiere also ggf. alle CGIs, CMS, etc die Du auf dem Server nutzt, schmeiße alle raus, die Du nicht nutzt, vor allem auch eventuell vorhandene, die standardmäßig mitinstalliert wurden, gerade z.B. beim IIS wurden teilweise CGIs mitinstalliert, die Cross-Site-Scripting anfällig waren, und genau so etwas könnte dir zum Verhängnis geworden sein.
Falls Du Traffic extra bezahlst, dann würde ich an deiner Stelle auch den Server erst einmal dicht machen, so lange Du nicht genau weißt, was passiert ist.
Am Besten machst Du auch eine Auflistung deiner installierten Software und recherchierst auf Bugtraq nach beannten Lücken, frag beim Provider nach, was gepatcht wurde und was nicht. Auch wenn es wohl Entrüstung verursachen wird: Microsoft als Webserver ist nicht unbedingt die sicherste Wahl.

PS: Ich muß garf widerpsrechen. Falls Du einen Rootserver hast, und danach klingen deine Ausführungen eigentlich, so bist Du selbst für den Betrieb und die Sicherheit des Systems verantwortlich, nicht der Provider. Dies ist bei Rootservern anders, als in Shared Hosts oder dedizierten Servern.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Bomania xafford „Die Einfallsmöglichkeiten sind ziemlich breit gefächert. Als erstes solltest...“
Optionen

Vielen Dank erstmal für die Infos. Allerdings hast du da was falsch verstanden. Ich habe keinen eigenen Webserver, den ich administrieren kann, sondern lediglich einen "ganz normalen" Webspace auf einem Webserver, dessen Speicherplatz mit vielen anderen Usern geshared wird. Dementsprechend wenig Eingriffsmöglichkeiten habe ich da. Zugriff über FTP und das wars auch schon. Ich kann den Server nicht dicht machen, maximal kann ich den Vertrag kündigen, was ich allerdings nur ungern machen würde und nur als letzte Alternative in Betracht ziehen würde.

Ich habe ein monatliches Transfer-Volumen von 15 GB inklusive. Wenn die Grenze überschritten wird, muss ich extra zahlen. Allerdings bietet mein Hoster glücklicherweise eine einfache Kontrolle per Web-Frontend an, über die ich jederzeit den aktuellen Trafficstand nachsehen kann.

"Auch wenn es wohl Entrüstung verursachen wird: Microsoft als Webserver ist nicht unbedingt die sicherste Wahl."
Wie ich bereits im Eröffnungsbeitrag erwähnt hatte, verwendet mein Hoster AUSSCHLIESSLICH OPEN SOURCE SOFTWARE. Das gilt also auch fürs Betriebssystem. Kein Microsoft. Aber sagt ja niemand, dass Open Source unbezwingbar sei...

bei Antwort benachrichtigen
xafford Bomania „Vielen Dank erstmal für die Infos. Allerdings hast du da was falsch verstanden....“
Optionen

Okay, das mit dem MS-Server und Rootserver hatte ich falsch verstanden bzw falsch zusammen gereimt, streich das. Ich hab mir deine Webseite auch mal angeschaut und selbst festgestellt, daß es sich um einen Apache 1.3.29 handelt.
An deiner Stelle würde ich mir einmal Nuke genauer anschauen, denn wäre der Webserver gehackt, dann hätten die Jungs garantiert auch die Seiten der anderen User auf dem Server defaced und dein Provider hätte entsprechend reagiert.
Selbst neuste Nuke-Versionen besitzen SQL-Injection-Lücken und Lücken in Upload-Modulen, die es ermöglichen eine Site ohne FTP-Zugang zu kompromittieren. Wie gesagt, falls Du Zugang zu den Logs deiner Site hast, dann schaue dir die einmal genauer an.

PS: Ich wollte auch nicht behaupten, daß OS unbezwingbar sei. Es erfordert jedoch meist mehr Aufwand und mehr Wissen einen vernünftig installierten und administrierten Linuxserver zu knacken, als einen Windowsserver zu hacken, da Windowsserver homogener sind und ein neu entdecktes Loch funktioniert mit großer Wahrscheinlichkeit auf allen Microsoftservern. Bei einem Linuxserver nicht zwingend, da die Vielfalt an Distributionen und die Vielfalt an z.B. selbt kompilierten Kerneln teilweise als Seiteneffekt hat, daß ein Exploit auf einem System funktioniert und auf einem anderen nicht.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Bomania xafford „Okay, das mit dem MS-Server und Rootserver hatte ich falsch verstanden bzw...“
Optionen
"An deiner Stelle würde ich mir einmal Nuke genauer anschauen"
Sorry ich steh grad aufm Schlauch. Meinst du mit Nuke die Logs?
bei Antwort benachrichtigen
xafford Bomania „ An deiner Stelle würde ich mir einmal Nuke genauer anschauen Sorry ich steh...“
Optionen

Nein, dein CMS und die aktuellen Bugs.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Bomania xafford „Nein, dein CMS und die aktuellen Bugs.“
Optionen

Achso du meintest phpNuke. Ich verwende kein CMS. Meine Website ist komplett self-made (bis auf Gästebuch, Umfrage - alles aber auf Dateibasis). Bei mir ist keine mySQL-Datenbank in Verwendung.

bei Antwort benachrichtigen
xafford Bomania „Achso du meintest phpNuke. Ich verwende kein CMS. Meine Website ist komplett...“
Optionen

Hm...komplett daneben gelegen. Ich hielt es auf den ersten Blick für phpNuke. Würde aber trotzdem, wie Rika, eher auf eine Lücke in den Scripten tippen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
jasmin S. Bomania „Achso du meintest phpNuke. Ich verwende kein CMS. Meine Website ist komplett...“
Optionen

Zum Thema JPG Dateien bist du nicht auf dem neusten Stand, man kann sehr wohl Programmcode hinter einer *.JPG, bzw. *.bmp Datei verstecken.

Das geschieht entweder mit Tools, ähnlich wie bei Subseven (Server Editor)
(da gehts nur mit *.exe Dateien) oder manuell (Steganophie).
Erst vor einiger Zeit machte sich ein Wurm breit: W32/Perrun-A.
Er verändert die Registrierung so, dass beim Doppelklick auf eine .JPG-Datei anstelle der originalen entsprechenden Bildanzeige extrk.exe gestartet wird.

Hier gibts nen beitrag zu einem versteckten Trojaner in einer JPG : http://www.winfuture.de/news,11702.html

Andererseits gibts noch angehängte Trojaner/Viren
zb. aus Verona.jpg wird Verona.jpg.vbs oder von mir aus auch Verona.pif (*.pif Dateien werden wie *.exe dateien behandelt.

Schade ich hatte einen GB Eintrag mit einer URL zu solch einem JPG, allerdings war der Autor so blöd seine echte IP beim Eintagen zu bbenutzen und so hatte ich schnell ISP, Email und Hoster der Webseite raus. Informierte ihn per Mail, wie blöd er sei seine Spuren nicht zu verwischen und schickte ihm gleich die Kopie der Email an seinen Hoster mit.

Tja, jetzt ist die Seite mit dem Bild natürlich weg.
Hab ich übrigens nicht getan um ihn zu verpetzen, sondern weil der Spaß bei Viren einfach aufhört. (obwohl ja nicht alle schädlich sind.)

Fast vergessen... schon mal in nem Chat gewesen?
Schon mal gelesen: "Hi, ich bin die geile Steffi, wer will mit mir Pics tauschen?" Ich sag dir, die Person heisst zu 80% nicht Steffi (wohl eher Stefan) und freut sich wenn du seine Pics entgegen nimmst.

Und zu dem Problem würde ich sagen du solltest echt den Hoster wechseln.
Deine PWLänge ist ok. gibts vielleicht irgendeinen Bug in deiner HP?
hast du php scripte benutzt? Hast du eine Mysql Datenbank?

Wenn ja, hast du schon mal was von dem Bug der Cookies auslesen gehört?
Durch Eingabe einer bestimmten URL wird eine Alert-DialogBox erzeugt, in dieser kann man das Cookie der HP betrachten. In diesem Cookie werden die für die automatische Anmeldung benötigten Daten gespeichert. Cookies können nur von der Webseite, die sie erstellt hat, gelöscht, bearbeitet oder angesehen werden. Man könnte die URL weiter ausbauen und das Cookie auf einem Webserver speichern. Anschliessend könnte man mit den geklauten Cookies mit den Accounts anderer User anmelden, auch mit den der Admins!! Dazu muß allerdings einer Mods oder Admins auf den Link klicken, zb. könnte man einen beitrag ins Forum schreiben und dazu einen spannenden Link posten, der dann alle Informationen auf meinem Webserver speichert die ich brauche. Somit habe ich Zugriff auf HP sprich zb Admin Panel, und kann je nach Aufbau deiner seite (kenne sie ja nicht) zb. auch ftp und mysql Account auslesen. Das reicht um deine HP zu verändern.





bei Antwort benachrichtigen
jasmin S. Bomania „ An deiner Stelle würde ich mir einmal Nuke genauer anschauen Sorry ich steh...“
Optionen

Ich administriere ein PHPkit und denke daher dass xafford ein PHPNUKE meint. Denke vom Aufbau her müsste es das gleiche sein.
Also das wäre dann ein vorgefertigtes Templatepack mit MYSQL Datenbank. Sprich du haust den fertigen Ordner auf den FTP Server,
setzt chmod rechte, und führst im Rootverzeichnis die install.php aus. Da gibst du dann DBhost, DBname, DBroot und DBPasswort ein, den Rest macht das teil dann allein.

Wenn die Installation abgeschlossen ist, hast du eine fertige professionelle und umfangreiche Seite, mit GB, Forum und sonstigen Schnickschnack, die du nachher im Adminbereich administrieren und anpassen kannst.

Ich hab mal kurz einen Blick drauf geworfen und hatte auch den Eindruck, dass es sich um ein PHPnuke oder PHPkit handelt.
Deshalb hatte ich in meinem vorletzten Thread ja auch das Thema Cookies angesprochen, weil ich das Sicherheitsproblem im Moment auch mit meinem PHPkit habe. Wenn es ein PHPnuke ist, logge dich mal auf der PHPnuke Seite ein und zieh dir die Patches.
Durch den Bug, der bug der fast bei allen Foren funktioniert ist es dem angreifer möglich adminrechte zu bekommen und dann brauch man auch kein ftp pw. denn ich kann zb. als admin bilder hochladen. somit wäre das jpg zu erklären und auch warum das öfter passiert. ich persönlich frage mich nämlich, warum die 1337 hacker kiddies nicht die ganze page gelöscht haben. eine html seite mit jpg hätte doch gereicht. also tippe ich auf jedenfall auf eine sicherheitslücke in dem script deiner hp. Einfacher gehts nicht.

bei Antwort benachrichtigen
-IRON- Bomania „Ein Fall für Sicherheitsexperten“
Optionen
Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer natürlich im FTP-Programm selbst.

Das ist ein Widerspruch.
Wieso ist es natürlich, dass das FTP-Programm das Passwort speichert?
Du musst das nicht speichern lassen sondern kannst es auch jedes Mal eingeben.

Neben den Möglichkeiten, dass der Server selbst erfolgreich kompromittiert wurde, solltest du auch in Betracht ziehen, dass auf deiner Windows-Kiste eine nette kleine Backdoor, ein Keylogger oder ähnliches läuft. Ist für den Angreifer auf jeden Fall einfacher zu realisieren.
Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Bomania -IRON- „Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer...“
Optionen
"Du musst das nicht speichern lassen sondern kannst es auch jedes Mal eingeben."
Ja das ist mir schon klar. Habe es aber eben - wie die meisten - im Programm gespeichert, um nicht jedesmal das 15stellige kryptische Passwort eingeben zu müssen. Klar, dies stellt ein Sicherheitsrisiko dar.

"[...] solltest du auch in Betracht ziehen, dass auf deiner Windows-Kiste eine nette kleine Backdoor, ein Keylogger oder ähnliches läuft."
Das war sogar meine erste Vermutung. Aber wenn man mit sämtlichen Trojaner- und Virenscannern nichts findet, die Suche mit spezieller Software zum Aufspüren von Keyloggern ergebnislos bleibt, und das Durchforsten der Prozesse und Dienste nichts auffälliges zu Tage fördert - was soll man dann noch tun? Naja ich hatte sowieso vor, am Wochenende zu formatieren...
bei Antwort benachrichtigen
mäusebjoern Bomania „Ein Fall für Sicherheitsexperten“
Optionen

Hallöchen,
wenn du deine kiste platt machst, lösche die Platte mit S0Kill.EXE,mal googlen.
Danach hast Du definitiv kein Backdoor oder ähnliches mehr auf der Festplatte.

bei Antwort benachrichtigen
jasmin S. mäusebjoern „Hallöchen, wenn du deine kiste platt machst, lösche die Platte mit...“
Optionen

Eigentlich reicht die erste Spur zu löschen (mbr) aber wenn du ganz sicher sein willst und keine Lust zum googlen hast, wandele das Dateiformat auf FAT und wieder zurück, oder umgekehrt, denke du wirst sicher NTFS haben. Das umwandeln ist die sicherste Methode wirklich "alles" Platt und unwiederherstellbar zu machen. Gibt ja echt so Spezis die hauen sich die Platten mit illegalen Sachen voll, werden erwischt, formatieren die HDD und geben die brav bei Polermannzei ab. *immernoch besser als in den Papierkorb schmeissen, lol*

Aber Vorsicht wenn du Win2k hast, ich entsinne mich, dass man erst ab Whistler das Dateiformat wieder nach FAT wandeln kann. Also wenn du WIn2000 drauf hast, vergiss das mit dem umwandeln, es sei denn du hast XP drauf, (oder irgendwo rumfliegen) damit gehts.

bei Antwort benachrichtigen
Rika Bomania „Ein Fall für Sicherheitsexperten“
Optionen

Schon mal versucht, die Webseite mit reinem statischen HTML und komplett ohne PHP laufen zu lassen? Vielleicht sind ja gerade deine PHP-Scripte jedesmal die Einfallstore!

bei Antwort benachrichtigen
Bomania Rika „Schon mal versucht, die Webseite mit reinem statischen HTML und komplett ohne...“
Optionen

Ja, dass könnte sein. Wäre aber ein ziemlich großer Einschnitt in die Website - da könnt ich sie gleich ganz vom Netz nehmen. Naja mal sehen...

bei Antwort benachrichtigen
jasmin S. Bomania „Ein Fall für Sicherheitsexperten“
Optionen

In den meissten Fällen liegt es am User selbst.
Welches PW hast du gewählt? (lol, nicht posten!)

Ich meine, ist es vielleicht offensichtlich, gibts Hinweise zum PW auf deiner Seite?
blödes Beispiel, aber zb. jemand der eine Heidi Klum Fanpage hat, hat warscheinlich ein PW wie: heidi, klum, heidiklum... so was ist leicht zu erraten.
Dann bräuchte man noch den FTP Zugang, nehmen wir Lycos als Beispiel.
lautet deine URL: www.mitglied.lycos.de/bomania, lautet deine FTP Addi: ftp.mitglied.lycos.de Benutzername:Bomania PW:Heidi??
Somit habe ich schon viele Informationen über Dich.
Finde ich dein PW trotzdem nicht raus, habe ich eine andere Möglichkeit.
Ich schreibe eine Email an den lycos kundenservice:

Sehr geehrte damen und herren,

ich habe meinem ISP gewechselt und habe daher eine neue Email Adresse, habe aber mein PW vergesen, bitte schicken Sie mir eine pw Erinnerung an meine neue Adresse: 1337@bullen.de

Das funktioniert zu 80%
wenn nicht, versuche ich die PW Erinnerungs Sicherheitsabfrage die du beim einrichten des accounts angelegt hast.
zb. wie lautet Ihr Lieblings-schauspieler/in? Test-Antwort: heidi klum??? oder ich probiere weiter.
Dann gibts noch andere Methoden, wie zb. den brute Force hack.
Die brute Force methode ist ein tool, die alle zeichenfolgen ausprobiert. Den Usernamen haben wir schon, also fehlt nur das pw. Ein FTP hack tool, und die brute force methode wählen.
Dann gehts los. er versucht... a,b,c,d,e,f,...... aa,ab,ac,...aba,abb,abc... usw. bis das richtige pw rausgefunden ist.

dann gibts noch die möglichkeit dein pw über einen trojaner oder einen keylogger auszuspähen, wenn dein pw erst mal gehackt ist und sich ein jpg in deinem root verzeichnis befunden hat, du es angeklickt hast, (was du ja getan hast) könntest du dir einen Trojaner eingefangen haben. (doppelklicken auf die jpg datei reicht!!)
nur zur info, man kann zb. den subseven (sollte jedem ein begriff sein) so konfigurieren, dass immer wenn du online bist, eine email an mich geschickt wird, mein messenger (ICQ) sich meldet o. ä.
So weiss ich wann du online bist und kann auf deinen rechner zugreifen ohne dass du es siehst. Also Möglichkeiten gibt es wie sand am meer.
am besten lädst du dir einen anständigen trojanscanner runter, hol dir adaware, asquared, und spybot, das volle programm... lass sie alle suchen. Dann ändere dein pw vom ftp. Ein sicheres pw hat viele zeichen, denke an den Brute force, viele zeichen kosten zeit, am besten so was wie:"schneewittchen&die7Zwerge" inkl. Gänsefüsschen! je mehr zeichen zahlen und sonderzeichen um so besser!!! Niemals pw wie: admin,administrator,root,hund,katze,maus,kevin,haus,ball,bmw oder so was nehmen! und schon garkein pw, was man durch den inhalt deiner hp erraten könnte. Falls du irgendwo einen fremden pc für den FTP zugang benutzt, lösche immer alle cookies, proggies wie cain können alle geheimen daten auslesen.
Versuchs und warte ab was passiert. achso, lösch den ganzen mist der auf deinem ftp ist, warscheinlich stecken noch trojaner drin.
Sicher ist sicher, wenn dein account immernoch gehackt wird, wechsle den provider.

bei Antwort benachrichtigen
Bomania jasmin S. „Ein Fall für Sicherheitsexperten“
Optionen

Also den ersten Teil deines Postings kann man definitiv ausschließen. Ich habe übrigens eine "richtige" Domain, bin bei keinem dieser Hoster wie Lycos oder so - es existiert also auch keine Sicherheitsabfrage. Der Brief ist eine gute Idee, hat allerdings einen Haken. Mein Hoster kommuniziert nur über meine Domain-Mailaddresse. Da kann also auch kein Schindluder mit betrieben werden.

"Welches PW hast du gewählt?"
*************** ;)

Ich verwende grundsätzlich nur sog. "starke" Passwörter, die ich in unregelmäßigen Abständen ändere. Diese Passwörter sind zwischen 8 bis 15 Zeichen lang, keine Wörter die in Wörterbüchern zu finden sind, ein bunter Mix aus Ziffern, Zahlen und Sonderzeichen. Mein Benutzername entspricht nicht der Domain.

Wie Brute Force funktioniert, ist mir bekannt. Mein Passwort für den FTP-Zugang ist sagen wir mal 13 Zeichen lang. Alle darstellbaren Zeichen entspricht ca 56. Es existieren also 56 hoch 13 Möglichkeiten = 53265296773187132416! Das sind über 53 Trillionen Kombinationen. Es dürfte also selbst für Geheimdienste ziemlich schwierig sein, das Passwort in gegebener Zeit zu knacken. Da ich jetzt in letzter Zeit meine Passwörter häufiger ändere, würden die Hacker (eigentlich sinds ja Cracker) nie zum Zug kommen. Man muss das Problem also woanders suchen.

"doppelklicken auf die jpg datei reicht!"
Hab ich irgendwas verpasst? Seit wann können reine Bilddateien träger von ausführbaren Code sein? Bekannte Dateierweiterungen werden natürlich angezeigt, und es ist definitiv ein JPG-Bild. Außerdem hätte meine AV-Software sofort Alarm geschlagen (ja das hätte sie!).

Nun gut, dann bleibt als letztes nur noch die Möglichkeit, dass irgendwo doch ein Keylogger oder Troja sein übles Werk verrichtet. Ein Blick in die Prozessliste und die Dienste brachte bis jetzt nichts zutage. Die zusätzlichen Scanner verwende ich grundsätzlich. Wenn ein akuter Verdacht besteht, scanne ich zusätzlich zu meiner AV-Software (BitDefender) sowieso standardmäßig noch mit a2 free, Ad-aware, SpyBot, The Cleaner, Elbtec Scan, Avert Stinger.....

Falls noch ein Troja irgendwo auf meinem Webspace versteckt sein sollte, hätte das aufgedeckt werden müssen. Ich habe nämlich den gesamten Inhalt auf meinen Rechner gezogen, und mit sämtlichen Tools (siehe oben) gescannt. Ergebnis negativ.

Also bleibt mir wohl doch nur noch der Providerwechsel übrig.

bei Antwort benachrichtigen
Andylol Bomania „Ein Fall für Sicherheitsexperten“
Optionen

Moin,

"Ich verwende grundsätzlich nur sog. "starke" Passwörter, die ich in unregelmäßigen Abständen ändere. Diese Passwörter sind zwischen 8 bis 15 Zeichen lang, keine Wörter die in Wörterbüchern zu finden sind, ein bunter Mix aus Ziffern, Zahlen und Sonderzeichen"

--> tja, da wird die Wahl langsam eng ;-)

Aber eines gebe ich dennoch zu bedenken:

Auch ein noch so starkes Passwort ist unsicher !!! .. solange es wie bei ftp im KLARTEXT und somit unverschlüsselt übers Netz übertragen wird !!!

Ist bei FTP leider nichts dran zu ändern ... und einen ssh-Zugang haben die mir bekannten Webspace-provider leider auch nicht :-(.

darum tippe ich auch eher (wenn es denn schon keine Sicherheitslücke beim Provider ist) darauf, dass irgendjemand etwas auf deinem rechner installiert hat, dass ihm in schöner Reglmäßigkeit Deine "starken Passwörter" im Klartext überträgt ;-)

Ist natürlich nur eine Hypothese ;-)

.....aber eine reinigende Neuinstallation ist IMMER noch wesentlich besser, als sich auf die "Erkenntnisfähigkeit" eines Ad-Aware, Spybot o.ä. zu verlassen.

Mögen aber auch die Sicherheitskopien (auch Deines Webauftritts), die Du hinterher wieder raufkopierst vollständig virenfrei sein.... sonst stehst Du wieder am Anfang Deines problems ;-)!


@mäusebjoern
--> S0Kill ist tatsächlich ein gründliches Programm
(genauso wie ein "dd if=/dev/null of=/dev/hda" unter Linux) , denn wo nur Nullen sind, ist nichts anderes mehr!.

Aber eine (unter Windows) normale Formatierung reicht völlig aus (es sei denn man ist Paranoiker, oder will die Festplatte verkaufen)!



Gruß
Andylol


bei Antwort benachrichtigen
Spacebast Bomania „Ein Fall für Sicherheitsexperten“
Optionen

Ich lasse meine Webspaces immer "überprüfen", besonders wenn von diesen oder Accounts auf dem gleichen Server Perl-, PHP- oder sonstwas-Scripte ausgeführt werden können. Bei der Mehrzahl der mir bekannten und verwendeten Anbieter war es kein Problem, sich mit allen Rechten bis ins root-Verzeichnis vor zu arbeiten. Mit einem geringen Maß an Unix-/Linuxkenntnissen können böse Kinder dann schlimme Dinge anstellen. Der Provider sollte also mal in seine hoffentlich vorhandenen Logs schauen, von welchem Webspace aus auffällige oder signifikant viele Scripte ausgeführt werden und diese dann mal etwas unter die Lupe nehmen.
Ein Trojaner auf Deinem Rechner ist natürlich die wahrscheinlichere Variante.

Böser Biber Bocki benagte Bären Bummis breitstämmigen Buchenbaum bis Buchenbaum brach.
bei Antwort benachrichtigen
Bomania Spacebast „Ich lasse meine Webspaces immer überprüfen , besonders wenn von diesen oder...“
Optionen

Da Kaspersky und Bitdefender eher nach Viren suchen, und Progs wie Spybot und Ad-aware auf Spyware ausgerichtet sind, hab ich mir PestPatrol angeschafft, was ja speziell auch nach Trojaner (RAT), Keylogger etc. scannt - bis auf ein paar Adwares war allerdings nix auf meinem Rechner.

bei Antwort benachrichtigen