Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FTP Passwörter gesnifft?

Mitglied: nitia124

nitia124 (Level 1) - Jetzt verbinden

11.04.2013, aktualisiert 13:22 Uhr, 2194 Aufrufe, 11 Kommentare

Hallo zusammen,
ich habe ein etwas merkwürdiges Problem:
auf meinem Server (Win2012) läuft ein Filezilla-Server.
Wenn jetzt jemand versucht, sich mit Benutzername "Administrator" einzuloggen, beunruhigt mich das natürlich nicht, aber wenn Benutzernamen und Passwörter verwendet werden, die ich tatsächlich mal genutzt habe (zum Glück aber nicht mehr nutze), dann bekomme ich ein bisschen Angst.
Es handelt sich um 2 "Accounts", die ich beide nicht Zeitgleich angelegt habe.
Die Zugangsdaten des ersten Accounts tauchten schon vor ca. einem Jahr mal in der Logdatei auf und jetzt plötzlich wieder. Zusätzlich versucht sich jemand aktuell mehrfach mit Zuangsdaten einzuloggen, die ich nur durch einen Zufall (System neu installiert und bei Einrichtung von Filezilla vergessen, diesen Account wieder anzulegen)nicht mehr angelegt habe.
Es könnte sein, dass eben diese Zugangsdaten (zusammen mit einigen anderen) in einem Backup-Verzeichnis auf dem Server noch existieren, aber ein Zugriff "von außen" auf dieses Verzeichnis war eigentlich nie möglich.
Einen Virencanner (Bitdefender) habe ich, die normale Win-Firewall auch und vor dem ganzen hängt ne Fritzbox mit Portfreigabe für ftp.

Warum kommt denn da jemand an die Daten und wie kann ich sowas in Zukunft unterbinden?

Gruß
nitia
Mitglied: Booyah
11.04.2013, aktualisiert um 12:53 Uhr
Hast du FileZilla auch als Clients im Einsatz? btw das schlechteste, was du machen kannst...

falls du im FileZilla-Client Verbindungsdaten speicherst, werden diese nämlich in Klarschrift in der FileZilla.xml gespeichert - für jeden Dödel mit Zugriff darauf per Texteditor einsehbar. Inwieweit sich das bei dir wiederspiegelt, keine Ahnung - ich wollte nur einen Denkanstoß geben.

Hatte neulich auch das Problem, dass FTP-Passwörter anscheinend außerhalb der Einrichtung bekannt waren, sodass irgendwer die PHPs unserer Webspaces versauen konnte... erst nach Änderung alle FTPs und löschen der Filezilla-xmls und harten Viren- und Trojanerscans war Ruhe... Vlt solltest du prüfen, inwieweit du oder sonstwer den Filezilla als Client zur damaligen Zeit im Einsatz hatten. Evtl wurden dort mal die Verbindungsdaten gespeichert und sind erst jetzt wieder entdeckt worden?! ;)
Bitte warten ..
Mitglied: win-dozer
11.04.2013 um 12:51 Uhr
Hallo,

wie kann das passieren?
Naja wie du schon schreibst: sniffing.
Alternativ natürlich Social Engineering...

Wie kannst du das verhindern?
FTPS benutzen, wenn du willst noch Port ändern um bei einem Port Scan gar nicht erst die Aufmerksamkeit auf dich zu ziehen...


Gruß

windozer
Bitte warten ..
Mitglied: nitia124
11.04.2013 um 13:19 Uhr
Ja, die Clients nutzen alle Filezilla... super.
Wenn dann nachts um 1:00 Uhr über einen italienischen Provider versucht wird sich mit speziellen Login-Daten einzuloggen, macht mich das nach euren Erklärungen auch nicht mehr stutzig.

Dann hab ich ja echt Glück gehabt, dass diese Clients zu dem Zeitpunkt nicht im Server eingegeben waren.


Dann werd ich jetzt mal tätig.

Vielen Dank!

nitia
Bitte warten ..
Mitglied: win-dozer
11.04.2013 um 13:27 Uhr
Hallo,

naja das heißt aber auch das du den Angreifer kennen musst bzw. der Anwender aus deinem persönlichem Umfeld kommt.

Die txt-Files muss schließlich jemand ausgelesen haben der auch Zugriff auf den Rechner hat, bzw. der sniffing Typ muss im Netzwerk sitzen!

Gruß

windozer
Bitte warten ..
Mitglied: nitia124
11.04.2013 um 13:27 Uhr
Und mit Filezilla-Clients per FTPS? Auch Mist?
Bitte warten ..
Mitglied: win-dozer
11.04.2013 um 13:38 Uhr
Wird auch im Klartext gespeichert...
Hier ein paar Infos:
http://www.glorf.it/blog/2011/05/30/windows-tools/ftp-passworter-in-fil ...

Eventuell könnte man das ganze durch spezielle Verzeichnisrechte verbessern - dafür müsste man aber wissen was du für Anwender hast... wenn alle lokale Admin Rechte haben, hilft dir das nichts!
Bitte warten ..
Mitglied: nitia124
11.04.2013 um 13:41 Uhr
"bzw. der sniffing Typ muss im Netzwerk sitzen!": Das wäre aber fast nicht möglich. Zugriff auf den Server (außer per ftp auf bestimmte Ordner) habe nur ich und mein PC mit gespeicherten Anmeldedaten per Remote. Außerdem melde ich mich ab und an mal per Teamviewer an um von unterwegs nach dem Rechten zu schauen (ohne das Passwort zu speichern natürlich).
Wenn der "Typ" ein Trojaner ist, kann ich es natürlich nicht ausschließen, aber für meine Mitbewohner würde ich die Hand ins Feuer legen. Die versuchen mit Sicherheit nicht, mitten in der Nacht per ftp auf den Server zu kommen, um an Daten zu gelangen, die sie über ein Netzlaufwerk/Remotedesktop/Mediaplayer wesentlich bequemer einsehen könnten.

Gruß
nitia
Bitte warten ..
Mitglied: nitia124
11.04.2013 um 13:45 Uhr
Anwender bin nur ich, mit dem Administrator-Konto. Auf dem Server selbst gibts keine weiteren Benutzer, außer den FTP-Clients.
Bitte warten ..
Mitglied: win-dozer
11.04.2013 um 13:56 Uhr
Also mal kurz zusammengefasst:

- Nur du hast Zugriff auf den Server
- Auf das lokale Netzwerk auf Serverseite hat kein anderer außer dir Zugriff
- Adminrechte haben die Anwender nicht
- Du und die Anwender wissen das Passwort

Daraus ergeben sich folgende Möglichkeiten:

- Der Anwender gibt das Passwort weiter (bewusst oder unbewusst durch Trojaner etc)
- X sitzt im Netzwerk des Anwenders und fängt die Passwörter ab
- X hat die Passwörter die der AW gespeichert hat ausgelesen
Bitte warten ..
Mitglied: nitia124
11.04.2013 um 14:29 Uhr
Beim aktuellsten Fall weiß noch nichtmal der Anwender das Passwort. Das habe ich in seiner Abwesenheit eingegeben und gespeichert.
Auslesen durch Trojaner ist natürlich möglich, merkwürdig dabei ist nur, dass diese Benutzer/Passwörter (wenn ich mich richtig erinnere) noch nicht einmal zeitgleich eingerichtet waren. Außerdem definitiv nicht im selben Netzwerk. Und die Zugangsdaten des Anwenders (eigentlich ich selbst mit irgendeinem Gerät (Mediaplayer/Handy oder so)), der vor einiger Zeit schon mal "unberechtigt" aufgetaucht ist, taucht jetzt auch plötzlich wieder auf.

Aber Spekulationen bringen mich jetzt auch nicht weiter.
Ich habe vorerst alles dicht gemacht und werde mich die nächsten Tage mit der Einrichtung einer sicheren Lösung beschäftigen.
Und wenn ich keine finde, dann ist es zwar schade für die Clients, aber weh tuts mir nicht sonderlich.

Gruß
nitia
Bitte warten ..
Mitglied: formless
12.04.2013 um 20:02 Uhr
Hi,
ist nur so ein Gedanke, der mir beim lesen kam, aber ist folgendes Szenario möglich? (falls du windows benutzt)
KEINER hat Passwörter abgefangen, die Zugangsdaten kommen stattdessen aus irgendwelchen Systemordnern, die du beim "Umzug" mitgenommen hast.
Mir ging es jedenfalls so nach einer Neuinstallation von Windows 7. Das ging soweit, dass ich irgendwann in den meta tags einer html-Datei, die ich gerade aufgesetzt hatte, einen vom editor generierten Eintrag "author" entdeckte, der als Wert einen alten Benutzernamen von mir angab. Ich hatte die Datei wie gesagt erst wenige Minuten davor erstellt, hatte den Benutzernamen seit ca. 3 Jahren nicht mehr benutzt, und die meta tags waren automatisch vom Editor (kompozer glaub ich) erstellt worden, wohlgemerkt in ubuntu. Die Hardware war die gleiche geblieben, aber das kann ja wohl nicht sein, dachte ich, und natürlich auch sofort "Hilfe, Eindringlinge".
Inzwischen bin ich überzeugt, dass ich es selbst war, der die Daten eingeschleust hat. Warum sie plötzlich auftauchten, keine Ahnung. Ich glaube ich habe, um meine e-mails zu archivieren, den ganzen ms systemordner kopiert oder irgendeine Bibliothek, jedenfalls kommt es immer wieder vor, dass aus dem Nichts irgendwelche alten Benutzerkonten in meiner aktuellen Installation auftauchen. Ich kann natürlich sniffer nicht ausschliessen, aber erstens glaub ich, die vermeintlichen Hacker wären ganz schön enttäuscht. Zweitens müssten das extrem ambivalente Wesen sein, die smart genug sind, mich ausfindig zu machen, nen freien Port durch die Firewall usw. an meinen Augen vorbei, aber dann so blöd ein total auffälliges (bzw. 2 oder 3) Benutzerkonto anzulegen mit Zugangsdaten von nem alten System. Das ist mir zuviel Paranoia, dafür koks ich nicht genug
Das heißt natürlich nicht, dass das bei dir der Fall ist, vielleicht kannst du meine Option ja von vornherein ausschließen. In dem Fall hoffe ich, meine Geschichte hat dir wenigstens gefallen. Viel Erfolg,
Thomas
Bitte warten ..
Ähnliche Inhalte
Utilities

FTP-Ordner mit Passwort schützen, um über FTP Passwort eingeben zu müssen

Frage von wescraven07Utilities2 Kommentare

Weiss jemand, ob und wie man einen FTP-Ordner nochmal separat passwort-schützen kann. Also, wenn man sich mit einem FTP-User ...

Windows Server

Gibt es eine Möglichkeit ein einheitliches Passwort mit Benutzernamen für eine FTP Site im IIS 7.5 einzurichten?

Frage von PimmlerWindows Server1 Kommentar

Hallo, ich habe auf einem Application-Server eine FTP Site eingerichtet, die auf einen Ordner zeigt, welcher in zwei Unterordner ...

C und C++

Passwort im Code

Frage von leon123C und C++3 Kommentare

Hallo zusammen, ich stehe vor einem Problem das schon viele hatten aber überall gibt es keine wirkliche Lösung. Ich ...

Windows Server

Drucken nur mit Passwort

gelöst Frage von 116108Windows Server9 Kommentare

Hallo zusammen Ich plane zu Hause einen Druckerserver einzurichten. Der Druckerserver soll auf Windows Server R2 zum laufen kommen. ...

Neue Wissensbeiträge
Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 8 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 8 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 8 StundenHardware10 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 8 StundenMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL17 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...