Frage: Bin ich gehackt worden ?

Status
Für weitere Antworten geschlossen.

Valkyrianer

Benutzer
Mitglied seit
02. Aug 2009
Beiträge
132
Punkte für Reaktionen
14
Punkte
18
Ich hab jetzt nur oberflächlich durchgelesen, aber mir scheint es, dass am Thema vorbei diskutiert wird. Es ging um den FTP-Zugang und zwar unverschlüsselt, welcher ja wohl auch wohl vom Topic-Starter verwendet wird. Da kann man ja das Kennwort wohl auch im Klartext mitschneiden, oder?

Ganz allgemein sollte man sich überlegen, wozu die DS im Internet da ist. (Eigentlich ja nur als Web/Mail-Server). Und niemand braucht einen offenen administrativen Fernzugriff wirklich, und wenn, dann kann man den auch immer mit VPN absichern.

Es ist auch keine Schande sich speziell fürs Web eine DS anzuschaffen und die so einzurichten, dass es auch keine/kaum Nebeneffekte hat, wenn sie gehackt wird.

Itari

Falsch, der Zugang Uwe wurde immer verschlüsselt, einzig der Anonymous Zugang ist unverschlüsselt.
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Falsch, der Zugang Uwe wurde immer verschlüsselt, einzig der Anonymous Zugang ist unverschlüsselt.

Sorry ... vielleicht habe ich es ja überlesen, dass du FTP over SSL/TLS verwendet hast ...

Itari
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
hm, dann frage ich mich echt, wie da jemand drankommen konnte, da es ja kein 0815 Passwort(Wort) war.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@topicstarter
bist du ganz sicher, dass es nicht der guest Zugriff war? Hat der guest eventuell sogar Schreibrechte für web?
welche firmware hattest du zum Zeitpunkt des Einbruchs installiert?
 

Valkyrianer

Benutzer
Mitglied seit
02. Aug 2009
Beiträge
132
Punkte für Reaktionen
14
Punkte
18
@topicstarter
bist du ganz sicher, dass es nicht der guest Zugriff war? Hat der guest eventuell sogar Schreibrechte für web?
welche firmware hattest du zum Zeitpunkt des Einbruchs installiert?

Da ich selber an einer Lösung interessiert bin, habe ich noch einmal nach geschaut. Der Guest ist bei mir deaktiviert. Lese und Schreibberechtigung hat Uwe und der A....
Sonst weiter keiner.
Mein Passwort war EchNaTon2009

Den User Uwe, den wird er wohl, von der Homepage haben.:(
Das Passwort, finde ich, bezog sich nicht auf meine Person, Familie, Hobby usw.
Das ich Uwe genommen war, wahr schon leichtsinnig von mir, habe mich aber ziemlich sicher gefühlt.

Gruß Uwe

Ach so, die Firmware ist die aktuelle (3.0-1354)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ach so, die Firmware ist die aktuelle (3.0-1354)
Auch zu dem Zeitpunkt als bei dir eingebrochen wurde? Dann kann es eigentlich auch nicht die Problematik mit den FTP Logs sein. Bist du sicher, dass es der User uwe war und nicht vielleicht doch der admin? Gehörte die Datei wirklich dem User uwe?
 

Valkyrianer

Benutzer
Mitglied seit
02. Aug 2009
Beiträge
132
Punkte für Reaktionen
14
Punkte
18
Auch zu dem Zeitpunkt als bei dir eingebrochen wurde? Dann kann es eigentlich auch nicht die Problematik mit den FTP Logs sein. Bist du sicher, dass es der User uwe war und nicht vielleicht doch der admin? Gehörte die Datei wirklich dem User uwe?

Siehe Anhang:
 

Anhänge

  • IP.jpg
    IP.jpg
    21,2 KB · Aufrufe: 85

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Deine Clients auf Malware geprüft? Eventuell ein Keylogger? Denn dein PW hätte imho einer BruteForce Attacke ein Weilchen standhalten müssen
Du könntest auch mal Versuchen deine Logs (/var/log/messages) und auf dem Router nach der IP zu durchsuchen. Vielleicht findest du ein Muster oder sonstige "vorbereitende" Handlungen
 

Valkyrianer

Benutzer
Mitglied seit
02. Aug 2009
Beiträge
132
Punkte für Reaktionen
14
Punkte
18
Deine Clients auf Malware geprüft? Eventuell ein Keylogger? Denn dein PW hätte imho einer BruteForce Attacke ein Weilchen standhalten müssen

Hatte gerade die gleiche Idee, bin schon am scannen. Ich werde zur Sicherheit auch noch einen zweiten Scanner eines anderen Anbieter probieren. Muß hier 6 Rechner scannen melde mich. Danke für deine Mühe.

Gruß Uwe
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
Das Passwort benutzt du aber in ähnlicher Form sonst nirgendwo im Netz? Ich tippe auch fast auf eine Lücke auf den Rechnern, kann mir nicht vorstellen, dass man das Passwort mit den Standardmethoden knacken konnte.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ich tippe auch fast auf eine Lücke auf den Rechnern, kann mir nicht vorstellen, dass man das Passwort mit den Standardmethoden knacken konnte.
Zumindest nicht wenn AutoBlock aktiviert war ;)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Da GData das Teil kennt muss es sich wohl um Code Generator Code (super Wort) handeln. Also hat der Übeltäter noch nicht mal den PHP Code selber geschrieben. Wie gesagt zu mehr als zum Spammen kann man diesen Code, so wie ich das gesehen habe, nicht verwenden
Und AutoBlock hat keine Häufung von blockierten IPs aufgezeichnet? Wenn nein, dann musste der dein PW gekannt haben, was Malware auf deinem Client imho noch wahrscheinlicher macht
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
jo... denke wir haben die Antwort.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
jo... denke wir haben die Antwort.
Wo? ;)
Allfällige Malware wurde noch nicht gefunden und wie genau die Datei auf den Server gekommen ist würde mich auch noch wundernehmen.
@topicstarter
Bist du (relativ) sicher, dass alle deine Clients mit denen du dich jemals via FTP eingeloggt hast sauber sind? Hast du dich in der fraglichen Zeit mal von auswärts eingeloggt, vielleicht aus einem Internetcafe? Oder hast du Mails mit verdächtigen Dateianhängen bekommen? Einen ständig aktualisierten Virenscanner verwendest du auch?
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
naja, wenn die Blockierfunktion der DS nichts gesehn hat und wenn ich mir das Passwort so anschaue, dann ist das nur über ein leak auf den clients zu erklären.

Dazu eine nette Anekdote aus der Türkei. War da mal im Urlaub. Jung und gutgläubig setze ich mich in ein Internecafe. Mir fiel direkt der ganze Mist rechts unten in der Taskleiste auf und siehe da.... dreist gewinnt, ein keylogger der nichtmal versteckt war. Soviel dazu, ich bin froh, dass ich heute keine Internetcafés mehr aufsuchen muss.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ne Webcam mit hoher Auflösung und Zoom würde reichen im Internetcafe. Ich glaube kaum, dass die Leute auf die Idee kommen würden die Webcam abzudecken bevor man ein Passwort eingibt.
Ich geh wenn ich unterwegs bin wenn immer möglich mit dem eigenen Laptop ins Internet. Ich war vor gut 2 Monaten in Ägypten im Urlaub. Ich habe mehrere Bankomaten gesehen bei denen das Datenkabel einfach so ungeschützt zugänglich war.
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Ich denke, man sollte aufhören, das Internet zu benutzen. Also kein Web, kein ebay, keine E-Mail ...

Itari
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat