Ftp-Server gehackt ?!

[TschiTschi]

Originally posted by stunned

gibt der ftp-server beim login eine versionsnummer mit? wenn ja, welche??

7.1 und dazu noch suse? *grml* naja brauchst dich net zu wundern...

Diesen Kommentar kann ich nicht nachvollziehen. Wenn die LINUX-Büchse richtig aufgesetzt ist, ist sie sicherer, wie jede Windows-Maschine.

Ich glaube eher, dass das Problem im persönlichen Umfeld von Ranger81 liegt. Schließlich ist es ja nicht das erste Mal, dass er solche Probelme hat.

@Ranger81: Vielleicht solltest Du 'mal in Dich gehen, WER von Dir das Password bekommen hat bzw.wer auf Deine verschiedenen rechner Zugang hat. Das Problem das Hades angesprochen hat war ja ähnlich "mysteriös"!

GG

[stunned]

was ändert eine richtige konfiguration an fehlerhaftem code der daemons??

[daking]

Hallo,

der Log war nicht gerade aufschlussreich..

Hooking ist bei der Windowsprogrammierung ganz normal. Man lenkt nur dir Systemqueue oder Applicationqueue um, um an Ereignisse zu kommen, wie z.B. Kartenterminalereignisse (karte rein - karte raus). Natürlich kann man dies auch zum Keylogging benutzen. Jedoch muss man das Programm erst mal starten.

Wenn du dir nicht ganz sicher bist, ob ein keylogger auf deiner Maschine läuft solltest du dir die Tasks im Taskmanager anschauen (rundll.exe ist im Taskmanager z.B. etwas ungewöhnlich. Außerdem solltest du bekannte startkeys /Run /services... in der Registry sowie win.ini und system.ini überprüfen (j16 sollte dir dabei helfen).

Mit etwas Glück könnte ein Idiot ein 12 Stellen langes PW schon in zwei Tagen erraten, wäre abe mit sicherheit zu auffällig.

Trotzdem ist dieser Server ein wenig komisch konfiguriert und bietet mehrere Angriffsmöglichkeiten....

Ciao

[Timon]

Diesen Kommentar kann ich nicht nachvollziehen. Wenn die LINUX-Büchse richtig aufgesetzt ist, ist sie sicherer, wie jede Windows-Maschine.

Das glauben immer nur alle. Und dann gibts großes Erstaunen wenn die Daten futsch sind.

[geloescht_JesterDay]

Originally posted by DingDong

Das glauben immer nur alle. Und dann gibts großes Erstaunen wenn die Daten futsch sind.

Aus deinem Kommentar schliesse ich einfach mal: du gehst davon aus, dass Linux generell nicht so sicher ist wie Windows? Komisch nur, dass Linux bevorzugt für Server eingesetzt wird, auch bei solchen, die sicher sein müssen.... naja... Jeder Server ist nur so sicher wie der Admin kompetent...

Zum Erkennen von Key-Loggern... hab mir so eine Frage schon gedacht, und ich wüsste nicht wie man sowas erkennen kann. Wie schonmal angesprochen muss das Ding ja gestartet werden, über den Taskmanager und dort Prozesse (wenn nicht Win9x, dort gibt es ja keine Prozesse, oder eben nur über ein anderes Tool) sollte man mal sehen was so läuft. Nur sagen einem die Namen nicht immer was, auch wenn alles in Ordnung ist laufen da manchmal komische Prozesse. Ein Programm kann man ohne Probleme aus der Anwendungsliste entfernen, in der Prozessliste werden aber immer alle Prozesse angezeigt. Auch solltest du (wie schon beschrieben) kucken, was so alles gestartet wird...

[hades]

Es gibt hier keinen Grund fuer eine Diskussion ob Linux sicherer als Windows ist, da das Betriebssystem SuSe 7.1 vorgegeben und durch Ranger81 nicht beeinflussbar ist.

Es gibt hoechstens Nachfragen bei Ranger81s Provider Greatnet, welche Patches eingespielt wurden.

[stunned]

ähm... schonmal daran gedacht dass diese prozessliste vielleicht auch (ich weiss nicht wie ich's ausdrücken soll)...

ihr wisst schon das gleiche was mit einem rootkit und "ps" passiert... also dass sich der prozess quasi versteckt und eine flasche prozessliste dem user vorgauckelt...

[daking]

Hallo,

wenn es sich um ein richtiges rootkit handelt, hast du ein Problem dieses zu finden.

Hier würde dir ein Backup der Systemdateien nach der Installation helfen, obwohl dass bei Windows so eine sache ist, da fast alle Anwendungen diese verändern (??)

..

Um z.B. Trojaner zu erkennen ist fport ein sehr gutes tool.

Ein Rootkit ist auch nur sinnvoll, wenn man sich ein Backdoor offenhält..

solltest also Netzwerkaktivität im Auge halten.

Auch das Starten mit Bestätigung (F8) kann in manchen Fällen hilfreich sein.

Die Kombination aus Regmon - Filemon - DebugView - Diskmon - Pmon -Portmoon

ist sicher hilfreich...

http://www.sysinternals.com/ntw2k/source/filemon.shtml

Ciao

[Doham]

Ich glaube Windowstipps werden Ranger81 nicht viel helfen

Originally posted by Ranger81

(...)Auf dem Webserver bei meinem Anbieter Greatnet ist meines wissens SuSe 7.1 installiert. (...)

[daking]

@Doham

Danke für die geistreiche Anmerkung.

Ranger81 muss sich nicht um den Server seines Anbieters kümmern, sondern um seinen eigenen Rechner.

[geloescht_JesterDay]

Originally posted by hades

Es gibt hier keinen Grund fuer eine Diskussion ob Linux sicherer als Windows ist, da das Betriebssystem SuSe 7.1 vorgegeben und durch Ranger81 nicht beeinflussbar ist.

Hatte ich nicht vor, ich schrieb ja:

"Jeder Server ist nur so sicher wie der Admin kompetent..."

(also unabhängig vom BS)

zum Thema Prozessliste:

Es wäre vielleicht(?) möglich, wenn die entpr. Windowsprogramme ersetzt werden... Windows hat aber die Möglichkeit das Ändern zu erkennen, zumindest 2000 (XP denk ich auch) bei 98, ME bin ich mir nicht sicher... unter 2000 einfach "sfc /scannow" in der Eingabeaufforderung und die Win2000 CD einlegen.

Das hat jetzt auch nix mit SuSe vom Provider zu tun, sondern mit seinem Rechner.

[jomama]

Ist jetzt nur ne unqualifizierte Frage meinerseits, aber benutzt du zufällig PHP in verbindung mit einer Datenbank und hast das Passwort in klartext auf der HP?

Müsste natürlich auch noch das selbe sein, wie für den FTP Server.

Tschuldigung, das ich dir sowas unterstelle, aber wenn der PHP Server abstürzt, könnte der gute Hacker dein Passwort dann in Klartext sehen, was wohl die Veränderung erklären würde.

War nur so ein Gedanke.

[geloescht_JesterDay]

Originally posted by jomama

Tschuldigung, das ich dir sowas unterstelle, aber wenn der PHP Server abstürzt, könnte der gute Hacker dein Passwort dann in Klartext sehen, was wohl die Veränderung erklären würde.

Eigentlich nicht, PHP hat zugriff auf den geamten Server, also legt man solche Infos in einer (z.B.) setup.php Datei ausserhalb des WebPfades ab. Vom Internet hat man darauf keinen Zugriff, PHP aber schon. Wenn PHP nicht läuft wird der PHP-Code auch nicht ausgewertet und der Besucher sieht nur eine

<? PHP

include /config/setup.php;

...

?>

z.B. über einen FTP-Zugang hab ich Zugang zu meinem Verzeichnis, von dem nur ein Unterverzeichnis als Webordner im Server freigegeben ist.

[hades]

Originally posted by JesterDay

Eigentlich nicht, PHP hat zugriff auf den geamten Server, also legt man solche Infos in einer (z.B.) setup.php Datei ausserhalb des WebPfades ab. Vom Internet hat man darauf keinen Zugriff, PHP aber schon.

Nicht ganz.

Der Webserver mit dem als Modul eingebundenen PHP-Interpreter laeuft in einem eigenen Prozess. Wenn Dateien ausserhalb des eingestellten DocumentRoot (Webpfad) fuer den PHP-Interpreter lesbar sein sollen, muss diese Datei Leserechte fuer den User des Webserver-Prozesses oder fuer die Gruppe other besitzen. Schutz bietet hier nur den Webserver in einem anderen Account als den FTP-Server laufen zu lassen und getrennte Gruppen fuer Webserver und FTP zu verwenden. Desweiteren sind verwendete Verzeichnisse ausserhalb von DocumentRoot ohne das Recht Ausfuehren (Wechsel ins Verzeichnis, autocompletion) zu konfigurieren. Die darin enthaltenen Dateien sind mit kompletter Pfadangabe weiterhin lesbar.

[Terwilliger]

Originally posted by Ranger81

ja, das war damals auch der, wie ich vermute.

dann ist das also quatsch mit den Hooks, dann bin cih wenigstens mal etwas beruhigt, wobei das immernoch nicht erklärt, woher er mein ftp-pw hat wenn nicht von meinem rechner. wie lange würde den eine "bruteforce"-attacke auf ein damals 12 zeichen langes, aus einem kleingeschriebenen buchstaben erstelltes pw dauern ? das kann doch nicht innerhalb von 2 tagen geknackt sein ?

Ich weiss nicht, wie dein aktueller Sachstand ist. Aber eine bruteforce attack scheint mir bei einem 12char langen Passwort doch sehr unwahrscheinlich.

Möglicherweise war es eine dictionary attack. Wahrscheinlich war dein PW ein sinnvolles Wort aus dem Sprachgebrauch. Im Netz kursieren hunderte von dictionary Listen, in den Wörter aus sämtlichen Sprachen drinnenstehen. Eine solche attack würde natürlich wesentlich schneller gehen, auch wenn 5sec verzögert wird..

BTW: Mach zusätzlich auf deinem Rechner noch einen Trojanerscan. Es gibt Trojaner, die sich selbst über Port 80 tunneln und dann bist du chancenlos gegen ungewolltes Gefunke aus dem Netzwerk heraus.

[jomama]

Originally posted by JesterDay

Eigentlich nicht, PHP hat zugriff auf den geamten Server, also legt man solche Infos in einer (z.B.) setup.php Datei ausserhalb des WebPfades ab. Vom Internet hat man darauf keinen Zugriff, PHP aber schon. Wenn PHP nicht läuft wird der PHP-Code auch nicht ausgewertet und der Besucher sieht nur eine

Ich weiß, das MAN das macht. Heisst aber noch lange nicht, das ER das auch gemacht hat.

Ich mein, wenn das DB-Kennwort mit dem FTP Kennwort übereinstimmt, dann könnte man mit dem PW in Klartext ohne was zu hacken reinkommen.

Das man das als Webprogger ausschliessen muss, ist mir auch klar. Jetzt. Anfangs hatte ich das Passwort auch im Code drinstehen, bis mir einer gesagt hat, das das gar nich mal so gut is.

[hades]

@Ranger81:

Du kannst nachpruefen, ob mit Deinem FTP-Account die ominoese intern.php angelegt wurde. Die meisten FTP-Programme zeigen Dir den Eigentuemer der Datei bei den Rechten mit an.

Ich habe mal Deine Clan-Seite aufgerufen und mir den Quelltext der Seite angeschaut. Die ominoese intern.php gibt es einmal in einem Kommentar und weiter unten einmal als Link hinter dem CI-Login. Sie scheint noch drauf zu sein, denn der CI-Login-Link funktioniert.

[Ranger81]

Hallo,

nun hab ich mal wieder kurz zeit,

also das FTP Passwort wird nirgends in einer PHP-Datei im Klartext angegeben. Das Passwort weiß nur ich und mein FTP-Programm sonst niemand.

Wer Rechte für die Datei hat weiß ich nicht mehr, dei habe ich bereits gelöscht, aber wenn jemand über meinen ftp-account was hochladet ist der benutzer und die gruppe automatisch gleich, wie mein loginname (z.b. web156 und gruppe ftp).

Hab die Homepage mittlerweile wieder "repariert". Bisher ist nichts mehr aufgetreten seit dem PW-Wechsel.

Danke, Gruß Ranger81

[FunkyBeat]

Stimmt, aber der webserver hat nicht den gleichen usernamen.

Es gibt (oder sagen wir 'hätte gegeben') da mehrere Möglichkeiten:

1. Der Angreifer hat deinen FTP-Account gehabt -> Die Datei sieht so aus wie alle anderen

2. Der Angreifer hat sich durch ein PHP-Loch (ob im Skript oder im Interpreter ist wurscht) den Zugang gelegt, dann hat die Datei den Usernamen des Webservers (vermutlich 'httpd'... wenn es 'root' ist an dieser Stelle bitte den Admin kloppen)

3. Der Angreifer hatte 'root'... unwahrscheinlich, aber möglich, dann kann die Datei prinzipiell jeden Besitzer haben, weil root den Besitzernamen ändern kann.

[Schlaubi]

Ich hab mir alles durchgelesen, ich hoffe ich habe nichts übersehen. Aber was ist denn mit einem Sniffer in deiner Arbeit?? Wieso hat das noch niemand in Erwägung gezogen?

Damit wäre das herausfinden des Passwortes doch kein Problem oder? Denkfehler??

[Naberius]

Originally posted by nic_power

Das ist eine T-Online Dialup-Account. Du muesstest Dich also an T-Online wenden, wobei Du sicherlich keine Daten erhaelst.

Nic

Kleiner Tipp, wenn du denn Typen anzeigst bekommst du seinen Namen und seine Adresse. Das ganze fellt in die Kategorie Strafrecht dh. es kostet dich keinen Pfennig, ähm Cent natürlich.

[hades]

@Ranger81:

Melde Dich bei mir, falls noch Interesse an diesem Problem besteht. Bis dahin ist dieser Thread erst mal zu.

~~~closed~~~