Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FTP Passwörter gesnifft?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: nitia124

nitia124 (Level 1) - Jetzt verbinden

11.04.2013, aktualisiert 13:22 Uhr, 2092 Aufrufe, 11 Kommentare

Hallo zusammen,
ich habe ein etwas merkwürdiges Problem:
auf meinem Server (Win2012) läuft ein Filezilla-Server.
Wenn jetzt jemand versucht, sich mit Benutzername "Administrator" einzuloggen, beunruhigt mich das natürlich nicht, aber wenn Benutzernamen und Passwörter verwendet werden, die ich tatsächlich mal genutzt habe (zum Glück aber nicht mehr nutze), dann bekomme ich ein bisschen Angst.
Es handelt sich um 2 "Accounts", die ich beide nicht Zeitgleich angelegt habe.
Die Zugangsdaten des ersten Accounts tauchten schon vor ca. einem Jahr mal in der Logdatei auf und jetzt plötzlich wieder. Zusätzlich versucht sich jemand aktuell mehrfach mit Zuangsdaten einzuloggen, die ich nur durch einen Zufall (System neu installiert und bei Einrichtung von Filezilla vergessen, diesen Account wieder anzulegen)nicht mehr angelegt habe.
Es könnte sein, dass eben diese Zugangsdaten (zusammen mit einigen anderen) in einem Backup-Verzeichnis auf dem Server noch existieren, aber ein Zugriff "von außen" auf dieses Verzeichnis war eigentlich nie möglich.
Einen Virencanner (Bitdefender) habe ich, die normale Win-Firewall auch und vor dem ganzen hängt ne Fritzbox mit Portfreigabe für ftp.

Warum kommt denn da jemand an die Daten und wie kann ich sowas in Zukunft unterbinden?

Gruß
nitia
Mitglied: Booyah
11.04.2013, aktualisiert um 12:53 Uhr
Hast du FileZilla auch als Clients im Einsatz? btw das schlechteste, was du machen kannst...

falls du im FileZilla-Client Verbindungsdaten speicherst, werden diese nämlich in Klarschrift in der FileZilla.xml gespeichert - für jeden Dödel mit Zugriff darauf per Texteditor einsehbar. Inwieweit sich das bei dir wiederspiegelt, keine Ahnung - ich wollte nur einen Denkanstoß geben.

Hatte neulich auch das Problem, dass FTP-Passwörter anscheinend außerhalb der Einrichtung bekannt waren, sodass irgendwer die PHPs unserer Webspaces versauen konnte... erst nach Änderung alle FTPs und löschen der Filezilla-xmls und harten Viren- und Trojanerscans war Ruhe... Vlt solltest du prüfen, inwieweit du oder sonstwer den Filezilla als Client zur damaligen Zeit im Einsatz hatten. Evtl wurden dort mal die Verbindungsdaten gespeichert und sind erst jetzt wieder entdeckt worden?! ;)
Bitte warten ..
Mitglied: win-dozer
11.04.2013 um 12:51 Uhr
Hallo,

wie kann das passieren?
Naja wie du schon schreibst: sniffing.
Alternativ natürlich Social Engineering...

Wie kannst du das verhindern?
FTPS benutzen, wenn du willst noch Port ändern um bei einem Port Scan gar nicht erst die Aufmerksamkeit auf dich zu ziehen...


Gruß

windozer
Bitte warten ..
Mitglied: nitia124
11.04.2013 um 13:19 Uhr
Ja, die Clients nutzen alle Filezilla... super.
Wenn dann nachts um 1:00 Uhr über einen italienischen Provider versucht wird sich mit speziellen Login-Daten einzuloggen, macht mich das nach euren Erklärungen auch nicht mehr stutzig.

Dann hab ich ja echt Glück gehabt, dass diese Clients zu dem Zeitpunkt nicht im Server eingegeben waren.


Dann werd ich jetzt mal tätig.

Vielen Dank!

nitia
Bitte warten ..
Mitglied: win-dozer
11.04.2013 um 13:27 Uhr
Hallo,

naja das heißt aber auch das du den Angreifer kennen musst bzw. der Anwender aus deinem persönlichem Umfeld kommt.

Die txt-Files muss schließlich jemand ausgelesen haben der auch Zugriff auf den Rechner hat, bzw. der sniffing Typ muss im Netzwerk sitzen!

Gruß

windozer
Bitte warten ..
Mitglied: nitia124
11.04.2013 um 13:27 Uhr
Und mit Filezilla-Clients per FTPS? Auch Mist?
Bitte warten ..
Mitglied: win-dozer
11.04.2013 um 13:38 Uhr
Wird auch im Klartext gespeichert...
Hier ein paar Infos:
http://www.glorf.it/blog/2011/05/30/windows-tools/ftp-passworter-in-fil ...

Eventuell könnte man das ganze durch spezielle Verzeichnisrechte verbessern - dafür müsste man aber wissen was du für Anwender hast... wenn alle lokale Admin Rechte haben, hilft dir das nichts!
Bitte warten ..
Mitglied: nitia124
11.04.2013 um 13:41 Uhr
"bzw. der sniffing Typ muss im Netzwerk sitzen!": Das wäre aber fast nicht möglich. Zugriff auf den Server (außer per ftp auf bestimmte Ordner) habe nur ich und mein PC mit gespeicherten Anmeldedaten per Remote. Außerdem melde ich mich ab und an mal per Teamviewer an um von unterwegs nach dem Rechten zu schauen (ohne das Passwort zu speichern natürlich).
Wenn der "Typ" ein Trojaner ist, kann ich es natürlich nicht ausschließen, aber für meine Mitbewohner würde ich die Hand ins Feuer legen. Die versuchen mit Sicherheit nicht, mitten in der Nacht per ftp auf den Server zu kommen, um an Daten zu gelangen, die sie über ein Netzlaufwerk/Remotedesktop/Mediaplayer wesentlich bequemer einsehen könnten.

Gruß
nitia
Bitte warten ..
Mitglied: nitia124
11.04.2013 um 13:45 Uhr
Anwender bin nur ich, mit dem Administrator-Konto. Auf dem Server selbst gibts keine weiteren Benutzer, außer den FTP-Clients.
Bitte warten ..
Mitglied: win-dozer
11.04.2013 um 13:56 Uhr
Also mal kurz zusammengefasst:

- Nur du hast Zugriff auf den Server
- Auf das lokale Netzwerk auf Serverseite hat kein anderer außer dir Zugriff
- Adminrechte haben die Anwender nicht
- Du und die Anwender wissen das Passwort

Daraus ergeben sich folgende Möglichkeiten:

- Der Anwender gibt das Passwort weiter (bewusst oder unbewusst durch Trojaner etc)
- X sitzt im Netzwerk des Anwenders und fängt die Passwörter ab
- X hat die Passwörter die der AW gespeichert hat ausgelesen
Bitte warten ..
Mitglied: nitia124
11.04.2013 um 14:29 Uhr
Beim aktuellsten Fall weiß noch nichtmal der Anwender das Passwort. Das habe ich in seiner Abwesenheit eingegeben und gespeichert.
Auslesen durch Trojaner ist natürlich möglich, merkwürdig dabei ist nur, dass diese Benutzer/Passwörter (wenn ich mich richtig erinnere) noch nicht einmal zeitgleich eingerichtet waren. Außerdem definitiv nicht im selben Netzwerk. Und die Zugangsdaten des Anwenders (eigentlich ich selbst mit irgendeinem Gerät (Mediaplayer/Handy oder so)), der vor einiger Zeit schon mal "unberechtigt" aufgetaucht ist, taucht jetzt auch plötzlich wieder auf.

Aber Spekulationen bringen mich jetzt auch nicht weiter.
Ich habe vorerst alles dicht gemacht und werde mich die nächsten Tage mit der Einrichtung einer sicheren Lösung beschäftigen.
Und wenn ich keine finde, dann ist es zwar schade für die Clients, aber weh tuts mir nicht sonderlich.

Gruß
nitia
Bitte warten ..
Mitglied: formless
12.04.2013 um 20:02 Uhr
Hi,
ist nur so ein Gedanke, der mir beim lesen kam, aber ist folgendes Szenario möglich? (falls du windows benutzt)
KEINER hat Passwörter abgefangen, die Zugangsdaten kommen stattdessen aus irgendwelchen Systemordnern, die du beim "Umzug" mitgenommen hast.
Mir ging es jedenfalls so nach einer Neuinstallation von Windows 7. Das ging soweit, dass ich irgendwann in den meta tags einer html-Datei, die ich gerade aufgesetzt hatte, einen vom editor generierten Eintrag "author" entdeckte, der als Wert einen alten Benutzernamen von mir angab. Ich hatte die Datei wie gesagt erst wenige Minuten davor erstellt, hatte den Benutzernamen seit ca. 3 Jahren nicht mehr benutzt, und die meta tags waren automatisch vom Editor (kompozer glaub ich) erstellt worden, wohlgemerkt in ubuntu. Die Hardware war die gleiche geblieben, aber das kann ja wohl nicht sein, dachte ich, und natürlich auch sofort "Hilfe, Eindringlinge".
Inzwischen bin ich überzeugt, dass ich es selbst war, der die Daten eingeschleust hat. Warum sie plötzlich auftauchten, keine Ahnung. Ich glaube ich habe, um meine e-mails zu archivieren, den ganzen ms systemordner kopiert oder irgendeine Bibliothek, jedenfalls kommt es immer wieder vor, dass aus dem Nichts irgendwelche alten Benutzerkonten in meiner aktuellen Installation auftauchen. Ich kann natürlich sniffer nicht ausschliessen, aber erstens glaub ich, die vermeintlichen Hacker wären ganz schön enttäuscht. Zweitens müssten das extrem ambivalente Wesen sein, die smart genug sind, mich ausfindig zu machen, nen freien Port durch die Firewall usw. an meinen Augen vorbei, aber dann so blöd ein total auffälliges (bzw. 2 oder 3) Benutzerkonto anzulegen mit Zugangsdaten von nem alten System. Das ist mir zuviel Paranoia, dafür koks ich nicht genug
Das heißt natürlich nicht, dass das bei dir der Fall ist, vielleicht kannst du meine Option ja von vornherein ausschließen. In dem Fall hoffe ich, meine Geschichte hat dir wenigstens gefallen. Viel Erfolg,
Thomas
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Tools
Automatischer FTP-Upload ohne angemeldeten Benutzer (5)

Frage von SarekHL zum Thema Windows Tools ...

DNS
gelöst Sophos UTM9 - FTP nur über IP erreichbar (4)

Frage von PronMaster zum Thema DNS ...

CMS
Wordpress FTP Client im Frontend (4)

Frage von Yannosch zum Thema CMS ...

Java
Problem bei Java und FTP (1)

Frage von Marlon1 zum Thema Java ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...