11
FTP Passwörter gesnifft?
Hallo zusammen,
ich habe ein etwas merkwürdiges Problem:
auf meinem Server (Win2012) läuft ein Filezilla-Server.
Wenn jetzt jemand versucht, sich mit Benutzername "Administrator" einzuloggen, beunruhigt mich das natürlich nicht, aber wenn Benutzernamen und Passwörter verwendet werden, die ich tatsächlich mal genutzt habe (zum Glück aber nicht mehr nutze), dann bekomme ich ein bisschen Angst.
Es handelt sich um 2 "Accounts", die ich beide nicht Zeitgleich angelegt habe.
Die Zugangsdaten des ersten Accounts tauchten schon vor ca. einem Jahr mal in der Logdatei auf und jetzt plötzlich wieder. Zusätzlich versucht sich jemand aktuell mehrfach mit Zuangsdaten einzuloggen, die ich nur durch einen Zufall (System neu installiert und bei Einrichtung von Filezilla vergessen, diesen Account wieder anzulegen)nicht mehr angelegt habe.
Es könnte sein, dass eben diese Zugangsdaten (zusammen mit einigen anderen) in einem Backup-Verzeichnis auf dem Server noch existieren, aber ein Zugriff "von außen" auf dieses Verzeichnis war eigentlich nie möglich.
Einen Virencanner (Bitdefender) habe ich, die normale Win-Firewall auch und vor dem ganzen hängt ne Fritzbox mit Portfreigabe für ftp.
Warum kommt denn da jemand an die Daten und wie kann ich sowas in Zukunft unterbinden?
Gruß
nitia
ich habe ein etwas merkwürdiges Problem:
auf meinem Server (Win2012) läuft ein Filezilla-Server.
Wenn jetzt jemand versucht, sich mit Benutzername "Administrator" einzuloggen, beunruhigt mich das natürlich nicht, aber wenn Benutzernamen und Passwörter verwendet werden, die ich tatsächlich mal genutzt habe (zum Glück aber nicht mehr nutze), dann bekomme ich ein bisschen Angst.
Es handelt sich um 2 "Accounts", die ich beide nicht Zeitgleich angelegt habe.
Die Zugangsdaten des ersten Accounts tauchten schon vor ca. einem Jahr mal in der Logdatei auf und jetzt plötzlich wieder. Zusätzlich versucht sich jemand aktuell mehrfach mit Zuangsdaten einzuloggen, die ich nur durch einen Zufall (System neu installiert und bei Einrichtung von Filezilla vergessen, diesen Account wieder anzulegen)nicht mehr angelegt habe.
Es könnte sein, dass eben diese Zugangsdaten (zusammen mit einigen anderen) in einem Backup-Verzeichnis auf dem Server noch existieren, aber ein Zugriff "von außen" auf dieses Verzeichnis war eigentlich nie möglich.
Einen Virencanner (Bitdefender) habe ich, die normale Win-Firewall auch und vor dem ganzen hängt ne Fritzbox mit Portfreigabe für ftp.
Warum kommt denn da jemand an die Daten und wie kann ich sowas in Zukunft unterbinden?
Gruß
nitia
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 204829
Url: https://administrator.de/contentid/204829
Printed on: April 23, 2024 at 18:04 o'clock
11 Comments
Latest comment
Hast du FileZilla auch als Clients im Einsatz? btw das schlechteste, was du machen kannst...
falls du im FileZilla-Client Verbindungsdaten speicherst, werden diese nämlich in Klarschrift in der FileZilla.xml gespeichert - für jeden Dödel mit Zugriff darauf per Texteditor einsehbar. Inwieweit sich das bei dir wiederspiegelt, keine Ahnung - ich wollte nur einen Denkanstoß geben.
Hatte neulich auch das Problem, dass FTP-Passwörter anscheinend außerhalb der Einrichtung bekannt waren, sodass irgendwer die PHPs unserer Webspaces versauen konnte... erst nach Änderung alle FTPs und löschen der Filezilla-xmls und harten Viren- und Trojanerscans war Ruhe... Vlt solltest du prüfen, inwieweit du oder sonstwer den Filezilla als Client zur damaligen Zeit im Einsatz hatten. Evtl wurden dort mal die Verbindungsdaten gespeichert und sind erst jetzt wieder entdeckt worden?! ;)
falls du im FileZilla-Client Verbindungsdaten speicherst, werden diese nämlich in Klarschrift in der FileZilla.xml gespeichert - für jeden Dödel mit Zugriff darauf per Texteditor einsehbar. Inwieweit sich das bei dir wiederspiegelt, keine Ahnung - ich wollte nur einen Denkanstoß geben.
Hatte neulich auch das Problem, dass FTP-Passwörter anscheinend außerhalb der Einrichtung bekannt waren, sodass irgendwer die PHPs unserer Webspaces versauen konnte... erst nach Änderung alle FTPs und löschen der Filezilla-xmls und harten Viren- und Trojanerscans war Ruhe... Vlt solltest du prüfen, inwieweit du oder sonstwer den Filezilla als Client zur damaligen Zeit im Einsatz hatten. Evtl wurden dort mal die Verbindungsdaten gespeichert und sind erst jetzt wieder entdeckt worden?! ;)
Hallo,
wie kann das passieren?
Naja wie du schon schreibst: sniffing.
Alternativ natürlich Social Engineering...
Wie kannst du das verhindern?
FTPS benutzen, wenn du willst noch Port ändern um bei einem Port Scan gar nicht erst die Aufmerksamkeit auf dich zu ziehen...
Gruß
windozer
wie kann das passieren?
Naja wie du schon schreibst: sniffing.
Alternativ natürlich Social Engineering...
Wie kannst du das verhindern?
FTPS benutzen, wenn du willst noch Port ändern um bei einem Port Scan gar nicht erst die Aufmerksamkeit auf dich zu ziehen...
Gruß
windozer
Ja, die Clients nutzen alle Filezilla... super.
Wenn dann nachts um 1:00 Uhr über einen italienischen Provider versucht wird sich mit speziellen Login-Daten einzuloggen, macht mich das nach euren Erklärungen auch nicht mehr stutzig.
Dann hab ich ja echt Glück gehabt, dass diese Clients zu dem Zeitpunkt nicht im Server eingegeben waren.
Dann werd ich jetzt mal tätig.
Vielen Dank!
nitia
Wenn dann nachts um 1:00 Uhr über einen italienischen Provider versucht wird sich mit speziellen Login-Daten einzuloggen, macht mich das nach euren Erklärungen auch nicht mehr stutzig.
Dann hab ich ja echt Glück gehabt, dass diese Clients zu dem Zeitpunkt nicht im Server eingegeben waren.
Dann werd ich jetzt mal tätig.
Vielen Dank!
nitia
Hallo,
naja das heißt aber auch das du den Angreifer kennen musst bzw. der Anwender aus deinem persönlichem Umfeld kommt.
Die txt-Files muss schließlich jemand ausgelesen haben der auch Zugriff auf den Rechner hat, bzw. der sniffing Typ muss im Netzwerk sitzen!
Gruß
windozer
naja das heißt aber auch das du den Angreifer kennen musst bzw. der Anwender aus deinem persönlichem Umfeld kommt.
Die txt-Files muss schließlich jemand ausgelesen haben der auch Zugriff auf den Rechner hat, bzw. der sniffing Typ muss im Netzwerk sitzen!
Gruß
windozer
Und mit Filezilla-Clients per FTPS? Auch Mist?
Wird auch im Klartext gespeichert...
Hier ein paar Infos:
http://www.glorf.it/blog/2011/05/30/windows-tools/ftp-passworter-in-fil ...
Eventuell könnte man das ganze durch spezielle Verzeichnisrechte verbessern - dafür müsste man aber wissen was du für Anwender hast... wenn alle lokale Admin Rechte haben, hilft dir das nichts!
Hier ein paar Infos:
http://www.glorf.it/blog/2011/05/30/windows-tools/ftp-passworter-in-fil ...
Eventuell könnte man das ganze durch spezielle Verzeichnisrechte verbessern - dafür müsste man aber wissen was du für Anwender hast... wenn alle lokale Admin Rechte haben, hilft dir das nichts!
"bzw. der sniffing Typ muss im Netzwerk sitzen!": Das wäre aber fast nicht möglich. Zugriff auf den Server (außer per ftp auf bestimmte Ordner) habe nur ich und mein PC mit gespeicherten Anmeldedaten per Remote. Außerdem melde ich mich ab und an mal per Teamviewer an um von unterwegs nach dem Rechten zu schauen (ohne das Passwort zu speichern natürlich).
Wenn der "Typ" ein Trojaner ist, kann ich es natürlich nicht ausschließen, aber für meine Mitbewohner würde ich die Hand ins Feuer legen. Die versuchen mit Sicherheit nicht, mitten in der Nacht per ftp auf den Server zu kommen, um an Daten zu gelangen, die sie über ein Netzlaufwerk/Remotedesktop/Mediaplayer wesentlich bequemer einsehen könnten.
Gruß
nitia
Wenn der "Typ" ein Trojaner ist, kann ich es natürlich nicht ausschließen, aber für meine Mitbewohner würde ich die Hand ins Feuer legen. Die versuchen mit Sicherheit nicht, mitten in der Nacht per ftp auf den Server zu kommen, um an Daten zu gelangen, die sie über ein Netzlaufwerk/Remotedesktop/Mediaplayer wesentlich bequemer einsehen könnten.
Gruß
nitia
Anwender bin nur ich, mit dem Administrator-Konto. Auf dem Server selbst gibts keine weiteren Benutzer, außer den FTP-Clients.
Also mal kurz zusammengefasst:
- Nur du hast Zugriff auf den Server
- Auf das lokale Netzwerk auf Serverseite hat kein anderer außer dir Zugriff
- Adminrechte haben die Anwender nicht
- Du und die Anwender wissen das Passwort
Daraus ergeben sich folgende Möglichkeiten:
- Der Anwender gibt das Passwort weiter (bewusst oder unbewusst durch Trojaner etc)
- X sitzt im Netzwerk des Anwenders und fängt die Passwörter ab
- X hat die Passwörter die der AW gespeichert hat ausgelesen
- Nur du hast Zugriff auf den Server
- Auf das lokale Netzwerk auf Serverseite hat kein anderer außer dir Zugriff
- Adminrechte haben die Anwender nicht
- Du und die Anwender wissen das Passwort
Daraus ergeben sich folgende Möglichkeiten:
- Der Anwender gibt das Passwort weiter (bewusst oder unbewusst durch Trojaner etc)
- X sitzt im Netzwerk des Anwenders und fängt die Passwörter ab
- X hat die Passwörter die der AW gespeichert hat ausgelesen
Beim aktuellsten Fall weiß noch nichtmal der Anwender das Passwort. Das habe ich in seiner Abwesenheit eingegeben und gespeichert.
Auslesen durch Trojaner ist natürlich möglich, merkwürdig dabei ist nur, dass diese Benutzer/Passwörter (wenn ich mich richtig erinnere) noch nicht einmal zeitgleich eingerichtet waren. Außerdem definitiv nicht im selben Netzwerk. Und die Zugangsdaten des Anwenders (eigentlich ich selbst mit irgendeinem Gerät (Mediaplayer/Handy oder so)), der vor einiger Zeit schon mal "unberechtigt" aufgetaucht ist, taucht jetzt auch plötzlich wieder auf.
Aber Spekulationen bringen mich jetzt auch nicht weiter.
Ich habe vorerst alles dicht gemacht und werde mich die nächsten Tage mit der Einrichtung einer sicheren Lösung beschäftigen.
Und wenn ich keine finde, dann ist es zwar schade für die Clients, aber weh tuts mir nicht sonderlich.
Gruß
nitia
Auslesen durch Trojaner ist natürlich möglich, merkwürdig dabei ist nur, dass diese Benutzer/Passwörter (wenn ich mich richtig erinnere) noch nicht einmal zeitgleich eingerichtet waren. Außerdem definitiv nicht im selben Netzwerk. Und die Zugangsdaten des Anwenders (eigentlich ich selbst mit irgendeinem Gerät (Mediaplayer/Handy oder so)), der vor einiger Zeit schon mal "unberechtigt" aufgetaucht ist, taucht jetzt auch plötzlich wieder auf.
Aber Spekulationen bringen mich jetzt auch nicht weiter.
Ich habe vorerst alles dicht gemacht und werde mich die nächsten Tage mit der Einrichtung einer sicheren Lösung beschäftigen.
Und wenn ich keine finde, dann ist es zwar schade für die Clients, aber weh tuts mir nicht sonderlich.
Gruß
nitia
Hi,
ist nur so ein Gedanke, der mir beim lesen kam, aber ist folgendes Szenario möglich? (falls du windows benutzt)
KEINER hat Passwörter abgefangen, die Zugangsdaten kommen stattdessen aus irgendwelchen Systemordnern, die du beim "Umzug" mitgenommen hast.
Mir ging es jedenfalls so nach einer Neuinstallation von Windows 7. Das ging soweit, dass ich irgendwann in den meta tags einer html-Datei, die ich gerade aufgesetzt hatte, einen vom editor generierten Eintrag "author" entdeckte, der als Wert einen alten Benutzernamen von mir angab. Ich hatte die Datei wie gesagt erst wenige Minuten davor erstellt, hatte den Benutzernamen seit ca. 3 Jahren nicht mehr benutzt, und die meta tags waren automatisch vom Editor (kompozer glaub ich) erstellt worden, wohlgemerkt in ubuntu. Die Hardware war die gleiche geblieben, aber das kann ja wohl nicht sein, dachte ich, und natürlich auch sofort "Hilfe, Eindringlinge".
Inzwischen bin ich überzeugt, dass ich es selbst war, der die Daten eingeschleust hat. Warum sie plötzlich auftauchten, keine Ahnung. Ich glaube ich habe, um meine e-mails zu archivieren, den ganzen ms systemordner kopiert oder irgendeine Bibliothek, jedenfalls kommt es immer wieder vor, dass aus dem Nichts irgendwelche alten Benutzerkonten in meiner aktuellen Installation auftauchen. Ich kann natürlich sniffer nicht ausschliessen, aber erstens glaub ich, die vermeintlichen Hacker wären ganz schön enttäuscht. Zweitens müssten das extrem ambivalente Wesen sein, die smart genug sind, mich ausfindig zu machen, nen freien Port durch die Firewall usw. an meinen Augen vorbei, aber dann so blöd ein total auffälliges (bzw. 2 oder 3) Benutzerkonto anzulegen mit Zugangsdaten von nem alten System. Das ist mir zuviel Paranoia, dafür koks ich nicht genug
Das heißt natürlich nicht, dass das bei dir der Fall ist, vielleicht kannst du meine Option ja von vornherein ausschließen. In dem Fall hoffe ich, meine Geschichte hat dir wenigstens gefallen. Viel Erfolg,
Thomas
ist nur so ein Gedanke, der mir beim lesen kam, aber ist folgendes Szenario möglich? (falls du windows benutzt)
KEINER hat Passwörter abgefangen, die Zugangsdaten kommen stattdessen aus irgendwelchen Systemordnern, die du beim "Umzug" mitgenommen hast.
Mir ging es jedenfalls so nach einer Neuinstallation von Windows 7. Das ging soweit, dass ich irgendwann in den meta tags einer html-Datei, die ich gerade aufgesetzt hatte, einen vom editor generierten Eintrag "author" entdeckte, der als Wert einen alten Benutzernamen von mir angab. Ich hatte die Datei wie gesagt erst wenige Minuten davor erstellt, hatte den Benutzernamen seit ca. 3 Jahren nicht mehr benutzt, und die meta tags waren automatisch vom Editor (kompozer glaub ich) erstellt worden, wohlgemerkt in ubuntu. Die Hardware war die gleiche geblieben, aber das kann ja wohl nicht sein, dachte ich, und natürlich auch sofort "Hilfe, Eindringlinge".
Inzwischen bin ich überzeugt, dass ich es selbst war, der die Daten eingeschleust hat. Warum sie plötzlich auftauchten, keine Ahnung. Ich glaube ich habe, um meine e-mails zu archivieren, den ganzen ms systemordner kopiert oder irgendeine Bibliothek, jedenfalls kommt es immer wieder vor, dass aus dem Nichts irgendwelche alten Benutzerkonten in meiner aktuellen Installation auftauchen. Ich kann natürlich sniffer nicht ausschliessen, aber erstens glaub ich, die vermeintlichen Hacker wären ganz schön enttäuscht. Zweitens müssten das extrem ambivalente Wesen sein, die smart genug sind, mich ausfindig zu machen, nen freien Port durch die Firewall usw. an meinen Augen vorbei, aber dann so blöd ein total auffälliges (bzw. 2 oder 3) Benutzerkonto anzulegen mit Zugangsdaten von nem alten System. Das ist mir zuviel Paranoia, dafür koks ich nicht genug
Das heißt natürlich nicht, dass das bei dir der Fall ist, vielleicht kannst du meine Option ja von vornherein ausschließen. In dem Fall hoffe ich, meine Geschichte hat dir wenigstens gefallen. Viel Erfolg,
Thomas
