Frage: Bin ich gehackt worden ?

[Valkyrianer]

Ich hab jetzt nur oberflächlich durchgelesen, aber mir scheint es, dass am Thema vorbei diskutiert wird. Es ging um den FTP-Zugang und zwar unverschlüsselt, welcher ja wohl auch wohl vom Topic-Starter verwendet wird. Da kann man ja das Kennwort wohl auch im Klartext mitschneiden, oder?

Ganz allgemein sollte man sich überlegen, wozu die DS im Internet da ist. (Eigentlich ja nur als Web/Mail-Server). Und niemand braucht einen offenen administrativen Fernzugriff wirklich, und wenn, dann kann man den auch immer mit VPN absichern.

Es ist auch keine Schande sich speziell fürs Web eine DS anzuschaffen und die so einzurichten, dass es auch keine/kaum Nebeneffekte hat, wenn sie gehackt wird.

Itari

Falsch, der Zugang Uwe wurde immer verschlüsselt, einzig der Anonymous Zugang ist unverschlüsselt.

 

[itari]

Falsch, der Zugang Uwe wurde immer verschlüsselt, einzig der Anonymous Zugang ist unverschlüsselt.

Sorry ... vielleicht habe ich es ja überlesen, dass du FTP over SSL/TLS verwendet hast ...

Itari

 

[Valkyrianer]

Sorry ... vielleicht habe ich es ja überlesen, dass du FTP over SSL/TLS verwendet hast ...

Itari

Fand ich jetzt nicht weiter schlimm....

Gruß Uwe

 

[randfee]

hm, dann frage ich mich echt, wie da jemand drankommen konnte, da es ja kein 0815 Passwort(Wort) war.

 

[jahlives]

@topicstarter
bist du ganz sicher, dass es nicht der guest Zugriff war? Hat der guest eventuell sogar Schreibrechte für web?
welche firmware hattest du zum Zeitpunkt des Einbruchs installiert?

 

[Valkyrianer]

@topicstarter
bist du ganz sicher, dass es nicht der guest Zugriff war? Hat der guest eventuell sogar Schreibrechte für web?
welche firmware hattest du zum Zeitpunkt des Einbruchs installiert?

Da ich selber an einer Lösung interessiert bin, habe ich noch einmal nach geschaut. Der Guest ist bei mir deaktiviert. Lese und Schreibberechtigung hat Uwe und der A....
Sonst weiter keiner.
Mein Passwort war EchNaTon2009

Den User Uwe, den wird er wohl, von der Homepage haben.
Das Passwort, finde ich, bezog sich nicht auf meine Person, Familie, Hobby usw.
Das ich Uwe genommen war, wahr schon leichtsinnig von mir, habe mich aber ziemlich sicher gefühlt.

Gruß Uwe

Ach so, die Firmware ist die aktuelle (3.0-1354)

 

[jahlives]

Ach so, die Firmware ist die aktuelle (3.0-1354)

Auch zu dem Zeitpunkt als bei dir eingebrochen wurde? Dann kann es eigentlich auch nicht die Problematik mit den FTP Logs sein. Bist du sicher, dass es der User uwe war und nicht vielleicht doch der admin? Gehörte die Datei wirklich dem User uwe?

 

[Valkyrianer]

Auch zu dem Zeitpunkt als bei dir eingebrochen wurde? Dann kann es eigentlich auch nicht die Problematik mit den FTP Logs sein. Bist du sicher, dass es der User uwe war und nicht vielleicht doch der admin? Gehörte die Datei wirklich dem User uwe?

Siehe Anhang:

 

[jahlives]

Deine Clients auf Malware geprüft? Eventuell ein Keylogger? Denn dein PW hätte imho einer BruteForce Attacke ein Weilchen standhalten müssen
Du könntest auch mal Versuchen deine Logs (/var/log/messages) und auf dem Router nach der IP zu durchsuchen. Vielleicht findest du ein Muster oder sonstige "vorbereitende" Handlungen

 

[Valkyrianer]

Deine Clients auf Malware geprüft? Eventuell ein Keylogger? Denn dein PW hätte imho einer BruteForce Attacke ein Weilchen standhalten müssen

Hatte gerade die gleiche Idee, bin schon am scannen. Ich werde zur Sicherheit auch noch einen zweiten Scanner eines anderen Anbieter probieren. Muß hier 6 Rechner scannen melde mich. Danke für deine Mühe.

Gruß Uwe

 

[randfee]

Das Passwort benutzt du aber in ähnlicher Form sonst nirgendwo im Netz? Ich tippe auch fast auf eine Lücke auf den Rechnern, kann mir nicht vorstellen, dass man das Passwort mit den Standardmethoden knacken konnte.

 

[jahlives]

Ich tippe auch fast auf eine Lücke auf den Rechnern, kann mir nicht vorstellen, dass man das Passwort mit den Standardmethoden knacken konnte.

Zumindest nicht wenn AutoBlock aktiviert war

 

[Valkyrianer]

Zumindest nicht wenn AutoBlock aktiviert war

War aktiviert....

 

[Valkyrianer]

Zumindest nicht wenn AutoBlock aktiviert war

War aktiviert....

Und hier das File was ich aus dem /web kopiert habe. Das meint GDATA dazu.

 

[jahlives]

Da GData das Teil kennt muss es sich wohl um Code Generator Code (super Wort) handeln. Also hat der Übeltäter noch nicht mal den PHP Code selber geschrieben. Wie gesagt zu mehr als zum Spammen kann man diesen Code, so wie ich das gesehen habe, nicht verwenden
Und AutoBlock hat keine Häufung von blockierten IPs aufgezeichnet? Wenn nein, dann musste der dein PW gekannt haben, was Malware auf deinem Client imho noch wahrscheinlicher macht

 

[randfee]

jo... denke wir haben die Antwort.

 

[jahlives]

jo... denke wir haben die Antwort.

Wo?
Allfällige Malware wurde noch nicht gefunden und wie genau die Datei auf den Server gekommen ist würde mich auch noch wundernehmen.
@topicstarter
Bist du (relativ) sicher, dass alle deine Clients mit denen du dich jemals via FTP eingeloggt hast sauber sind? Hast du dich in der fraglichen Zeit mal von auswärts eingeloggt, vielleicht aus einem Internetcafe? Oder hast du Mails mit verdächtigen Dateianhängen bekommen? Einen ständig aktualisierten Virenscanner verwendest du auch?

 

[randfee]

naja, wenn die Blockierfunktion der DS nichts gesehn hat und wenn ich mir das Passwort so anschaue, dann ist das nur über ein leak auf den clients zu erklären.

Dazu eine nette Anekdote aus der Türkei. War da mal im Urlaub. Jung und gutgläubig setze ich mich in ein Internecafe. Mir fiel direkt der ganze Mist rechts unten in der Taskleiste auf und siehe da.... dreist gewinnt, ein keylogger der nichtmal versteckt war. Soviel dazu, ich bin froh, dass ich heute keine Internetcafés mehr aufsuchen muss.

 

[jahlives]

Ne Webcam mit hoher Auflösung und Zoom würde reichen im Internetcafe. Ich glaube kaum, dass die Leute auf die Idee kommen würden die Webcam abzudecken bevor man ein Passwort eingibt.
Ich geh wenn ich unterwegs bin wenn immer möglich mit dem eigenen Laptop ins Internet. Ich war vor gut 2 Monaten in Ägypten im Urlaub. Ich habe mehrere Bankomaten gesehen bei denen das Datenkabel einfach so ungeschützt zugänglich war.

 

[itari]

Ich denke, man sollte aufhören, das Internet zu benutzen. Also kein Web, kein ebay, keine E-Mail ...

Itari