FTP Passwörter gesnifft?
Hallo zusammen,
ich habe ein etwas merkwürdiges Problem:
auf meinem Server (Win2012) läuft ein Filezilla-Server.
Wenn jetzt jemand versucht, sich mit Benutzername "Administrator" einzuloggen, beunruhigt mich das natürlich nicht, aber wenn Benutzernamen und Passwörter verwendet werden, die ich tatsächlich mal genutzt habe (zum Glück aber nicht mehr nutze), dann bekomme ich ein bisschen Angst.
Es handelt sich um 2 "Accounts", die ich beide nicht Zeitgleich angelegt habe.
Die Zugangsdaten des ersten Accounts tauchten schon vor ca. einem Jahr mal in der Logdatei auf und jetzt plötzlich wieder. Zusätzlich versucht sich jemand aktuell mehrfach mit Zuangsdaten einzuloggen, die ich nur durch einen Zufall (System neu installiert und bei Einrichtung von Filezilla vergessen, diesen Account wieder anzulegen)nicht mehr angelegt habe.
Es könnte sein, dass eben diese Zugangsdaten (zusammen mit einigen anderen) in einem Backup-Verzeichnis auf dem Server noch existieren, aber ein Zugriff "von außen" auf dieses Verzeichnis war eigentlich nie möglich.
Einen Virencanner (Bitdefender) habe ich, die normale Win-Firewall auch und vor dem ganzen hängt ne Fritzbox mit Portfreigabe für ftp.
Warum kommt denn da jemand an die Daten und wie kann ich sowas in Zukunft unterbinden?
Gruß
nitia
ich habe ein etwas merkwürdiges Problem:
auf meinem Server (Win2012) läuft ein Filezilla-Server.
Wenn jetzt jemand versucht, sich mit Benutzername "Administrator" einzuloggen, beunruhigt mich das natürlich nicht, aber wenn Benutzernamen und Passwörter verwendet werden, die ich tatsächlich mal genutzt habe (zum Glück aber nicht mehr nutze), dann bekomme ich ein bisschen Angst.
Es handelt sich um 2 "Accounts", die ich beide nicht Zeitgleich angelegt habe.
Die Zugangsdaten des ersten Accounts tauchten schon vor ca. einem Jahr mal in der Logdatei auf und jetzt plötzlich wieder. Zusätzlich versucht sich jemand aktuell mehrfach mit Zuangsdaten einzuloggen, die ich nur durch einen Zufall (System neu installiert und bei Einrichtung von Filezilla vergessen, diesen Account wieder anzulegen)nicht mehr angelegt habe.
Es könnte sein, dass eben diese Zugangsdaten (zusammen mit einigen anderen) in einem Backup-Verzeichnis auf dem Server noch existieren, aber ein Zugriff "von außen" auf dieses Verzeichnis war eigentlich nie möglich.
Einen Virencanner (Bitdefender) habe ich, die normale Win-Firewall auch und vor dem ganzen hängt ne Fritzbox mit Portfreigabe für ftp.
Warum kommt denn da jemand an die Daten und wie kann ich sowas in Zukunft unterbinden?
Gruß
nitia
Please also mark the comments that contributed to the solution of the article
Content-Key: 204829
Url: https://administrator.de/contentid/204829
Printed on: April 23, 2024 at 18:04 o'clock
11 Comments
Latest comment
Hast du FileZilla auch als Clients im Einsatz? btw das schlechteste, was du machen kannst...
falls du im FileZilla-Client Verbindungsdaten speicherst, werden diese nämlich in Klarschrift in der FileZilla.xml gespeichert - für jeden Dödel mit Zugriff darauf per Texteditor einsehbar. Inwieweit sich das bei dir wiederspiegelt, keine Ahnung - ich wollte nur einen Denkanstoß geben.
Hatte neulich auch das Problem, dass FTP-Passwörter anscheinend außerhalb der Einrichtung bekannt waren, sodass irgendwer die PHPs unserer Webspaces versauen konnte... erst nach Änderung alle FTPs und löschen der Filezilla-xmls und harten Viren- und Trojanerscans war Ruhe... Vlt solltest du prüfen, inwieweit du oder sonstwer den Filezilla als Client zur damaligen Zeit im Einsatz hatten. Evtl wurden dort mal die Verbindungsdaten gespeichert und sind erst jetzt wieder entdeckt worden?! ;)
falls du im FileZilla-Client Verbindungsdaten speicherst, werden diese nämlich in Klarschrift in der FileZilla.xml gespeichert - für jeden Dödel mit Zugriff darauf per Texteditor einsehbar. Inwieweit sich das bei dir wiederspiegelt, keine Ahnung - ich wollte nur einen Denkanstoß geben.
Hatte neulich auch das Problem, dass FTP-Passwörter anscheinend außerhalb der Einrichtung bekannt waren, sodass irgendwer die PHPs unserer Webspaces versauen konnte... erst nach Änderung alle FTPs und löschen der Filezilla-xmls und harten Viren- und Trojanerscans war Ruhe... Vlt solltest du prüfen, inwieweit du oder sonstwer den Filezilla als Client zur damaligen Zeit im Einsatz hatten. Evtl wurden dort mal die Verbindungsdaten gespeichert und sind erst jetzt wieder entdeckt worden?! ;)
Hallo,
wie kann das passieren?
Naja wie du schon schreibst: sniffing.
Alternativ natürlich Social Engineering...
Wie kannst du das verhindern?
FTPS benutzen, wenn du willst noch Port ändern um bei einem Port Scan gar nicht erst die Aufmerksamkeit auf dich zu ziehen...
Gruß
windozer
wie kann das passieren?
Naja wie du schon schreibst: sniffing.
Alternativ natürlich Social Engineering...
Wie kannst du das verhindern?
FTPS benutzen, wenn du willst noch Port ändern um bei einem Port Scan gar nicht erst die Aufmerksamkeit auf dich zu ziehen...
Gruß
windozer
Hallo,
naja das heißt aber auch das du den Angreifer kennen musst bzw. der Anwender aus deinem persönlichem Umfeld kommt.
Die txt-Files muss schließlich jemand ausgelesen haben der auch Zugriff auf den Rechner hat, bzw. der sniffing Typ muss im Netzwerk sitzen!
Gruß
windozer
naja das heißt aber auch das du den Angreifer kennen musst bzw. der Anwender aus deinem persönlichem Umfeld kommt.
Die txt-Files muss schließlich jemand ausgelesen haben der auch Zugriff auf den Rechner hat, bzw. der sniffing Typ muss im Netzwerk sitzen!
Gruß
windozer
Wird auch im Klartext gespeichert...
Hier ein paar Infos:
http://www.glorf.it/blog/2011/05/30/windows-tools/ftp-passworter-in-fil ...
Eventuell könnte man das ganze durch spezielle Verzeichnisrechte verbessern - dafür müsste man aber wissen was du für Anwender hast... wenn alle lokale Admin Rechte haben, hilft dir das nichts!
Hier ein paar Infos:
http://www.glorf.it/blog/2011/05/30/windows-tools/ftp-passworter-in-fil ...
Eventuell könnte man das ganze durch spezielle Verzeichnisrechte verbessern - dafür müsste man aber wissen was du für Anwender hast... wenn alle lokale Admin Rechte haben, hilft dir das nichts!
Also mal kurz zusammengefasst:
- Nur du hast Zugriff auf den Server
- Auf das lokale Netzwerk auf Serverseite hat kein anderer außer dir Zugriff
- Adminrechte haben die Anwender nicht
- Du und die Anwender wissen das Passwort
Daraus ergeben sich folgende Möglichkeiten:
- Der Anwender gibt das Passwort weiter (bewusst oder unbewusst durch Trojaner etc)
- X sitzt im Netzwerk des Anwenders und fängt die Passwörter ab
- X hat die Passwörter die der AW gespeichert hat ausgelesen
- Nur du hast Zugriff auf den Server
- Auf das lokale Netzwerk auf Serverseite hat kein anderer außer dir Zugriff
- Adminrechte haben die Anwender nicht
- Du und die Anwender wissen das Passwort
Daraus ergeben sich folgende Möglichkeiten:
- Der Anwender gibt das Passwort weiter (bewusst oder unbewusst durch Trojaner etc)
- X sitzt im Netzwerk des Anwenders und fängt die Passwörter ab
- X hat die Passwörter die der AW gespeichert hat ausgelesen
Hi,
ist nur so ein Gedanke, der mir beim lesen kam, aber ist folgendes Szenario möglich? (falls du windows benutzt)
KEINER hat Passwörter abgefangen, die Zugangsdaten kommen stattdessen aus irgendwelchen Systemordnern, die du beim "Umzug" mitgenommen hast.
Mir ging es jedenfalls so nach einer Neuinstallation von Windows 7. Das ging soweit, dass ich irgendwann in den meta tags einer html-Datei, die ich gerade aufgesetzt hatte, einen vom editor generierten Eintrag "author" entdeckte, der als Wert einen alten Benutzernamen von mir angab. Ich hatte die Datei wie gesagt erst wenige Minuten davor erstellt, hatte den Benutzernamen seit ca. 3 Jahren nicht mehr benutzt, und die meta tags waren automatisch vom Editor (kompozer glaub ich) erstellt worden, wohlgemerkt in ubuntu. Die Hardware war die gleiche geblieben, aber das kann ja wohl nicht sein, dachte ich, und natürlich auch sofort "Hilfe, Eindringlinge".
Inzwischen bin ich überzeugt, dass ich es selbst war, der die Daten eingeschleust hat. Warum sie plötzlich auftauchten, keine Ahnung. Ich glaube ich habe, um meine e-mails zu archivieren, den ganzen ms systemordner kopiert oder irgendeine Bibliothek, jedenfalls kommt es immer wieder vor, dass aus dem Nichts irgendwelche alten Benutzerkonten in meiner aktuellen Installation auftauchen. Ich kann natürlich sniffer nicht ausschliessen, aber erstens glaub ich, die vermeintlichen Hacker wären ganz schön enttäuscht. Zweitens müssten das extrem ambivalente Wesen sein, die smart genug sind, mich ausfindig zu machen, nen freien Port durch die Firewall usw. an meinen Augen vorbei, aber dann so blöd ein total auffälliges (bzw. 2 oder 3) Benutzerkonto anzulegen mit Zugangsdaten von nem alten System. Das ist mir zuviel Paranoia, dafür koks ich nicht genug
Das heißt natürlich nicht, dass das bei dir der Fall ist, vielleicht kannst du meine Option ja von vornherein ausschließen. In dem Fall hoffe ich, meine Geschichte hat dir wenigstens gefallen. Viel Erfolg,
Thomas
ist nur so ein Gedanke, der mir beim lesen kam, aber ist folgendes Szenario möglich? (falls du windows benutzt)
KEINER hat Passwörter abgefangen, die Zugangsdaten kommen stattdessen aus irgendwelchen Systemordnern, die du beim "Umzug" mitgenommen hast.
Mir ging es jedenfalls so nach einer Neuinstallation von Windows 7. Das ging soweit, dass ich irgendwann in den meta tags einer html-Datei, die ich gerade aufgesetzt hatte, einen vom editor generierten Eintrag "author" entdeckte, der als Wert einen alten Benutzernamen von mir angab. Ich hatte die Datei wie gesagt erst wenige Minuten davor erstellt, hatte den Benutzernamen seit ca. 3 Jahren nicht mehr benutzt, und die meta tags waren automatisch vom Editor (kompozer glaub ich) erstellt worden, wohlgemerkt in ubuntu. Die Hardware war die gleiche geblieben, aber das kann ja wohl nicht sein, dachte ich, und natürlich auch sofort "Hilfe, Eindringlinge".
Inzwischen bin ich überzeugt, dass ich es selbst war, der die Daten eingeschleust hat. Warum sie plötzlich auftauchten, keine Ahnung. Ich glaube ich habe, um meine e-mails zu archivieren, den ganzen ms systemordner kopiert oder irgendeine Bibliothek, jedenfalls kommt es immer wieder vor, dass aus dem Nichts irgendwelche alten Benutzerkonten in meiner aktuellen Installation auftauchen. Ich kann natürlich sniffer nicht ausschliessen, aber erstens glaub ich, die vermeintlichen Hacker wären ganz schön enttäuscht. Zweitens müssten das extrem ambivalente Wesen sein, die smart genug sind, mich ausfindig zu machen, nen freien Port durch die Firewall usw. an meinen Augen vorbei, aber dann so blöd ein total auffälliges (bzw. 2 oder 3) Benutzerkonto anzulegen mit Zugangsdaten von nem alten System. Das ist mir zuviel Paranoia, dafür koks ich nicht genug
Das heißt natürlich nicht, dass das bei dir der Fall ist, vielleicht kannst du meine Option ja von vornherein ausschließen. In dem Fall hoffe ich, meine Geschichte hat dir wenigstens gefallen. Viel Erfolg,
Thomas