11
FTP Passwörter gesnifft?
Hallo zusammen,
ich habe ein etwas merkwürdiges Problem:
auf meinem Server (Win2012) läuft ein Filezilla-Server.
Wenn jetzt jemand versucht, sich mit Benutzername "Administrator" einzuloggen, beunruhigt mich das natürlich nicht, aber wenn Benutzernamen und Passwörter verwendet werden, die ich tatsächlich mal genutzt habe (zum Glück aber nicht mehr nutze), dann bekomme ich ein bisschen Angst.
Es handelt sich um 2 "Accounts", die ich beide nicht Zeitgleich angelegt habe.
Die Zugangsdaten des ersten Accounts tauchten schon vor ca. einem Jahr mal in der Logdatei auf und jetzt plötzlich wieder. Zusätzlich versucht sich jemand aktuell mehrfach mit Zuangsdaten einzuloggen, die ich nur durch einen Zufall (System neu installiert und bei Einrichtung von Filezilla vergessen, diesen Account wieder anzulegen)nicht mehr angelegt habe.
Es könnte sein, dass eben diese Zugangsdaten (zusammen mit einigen anderen) in einem Backup-Verzeichnis auf dem Server noch existieren, aber ein Zugriff "von außen" auf dieses Verzeichnis war eigentlich nie möglich.
Einen Virencanner (Bitdefender) habe ich, die normale Win-Firewall auch und vor dem ganzen hängt ne Fritzbox mit Portfreigabe für ftp.
Warum kommt denn da jemand an die Daten und wie kann ich sowas in Zukunft unterbinden?
Gruß
nitia
ich habe ein etwas merkwürdiges Problem:
auf meinem Server (Win2012) läuft ein Filezilla-Server.
Wenn jetzt jemand versucht, sich mit Benutzername "Administrator" einzuloggen, beunruhigt mich das natürlich nicht, aber wenn Benutzernamen und Passwörter verwendet werden, die ich tatsächlich mal genutzt habe (zum Glück aber nicht mehr nutze), dann bekomme ich ein bisschen Angst.
Es handelt sich um 2 "Accounts", die ich beide nicht Zeitgleich angelegt habe.
Die Zugangsdaten des ersten Accounts tauchten schon vor ca. einem Jahr mal in der Logdatei auf und jetzt plötzlich wieder. Zusätzlich versucht sich jemand aktuell mehrfach mit Zuangsdaten einzuloggen, die ich nur durch einen Zufall (System neu installiert und bei Einrichtung von Filezilla vergessen, diesen Account wieder anzulegen)nicht mehr angelegt habe.
Es könnte sein, dass eben diese Zugangsdaten (zusammen mit einigen anderen) in einem Backup-Verzeichnis auf dem Server noch existieren, aber ein Zugriff "von außen" auf dieses Verzeichnis war eigentlich nie möglich.
Einen Virencanner (Bitdefender) habe ich, die normale Win-Firewall auch und vor dem ganzen hängt ne Fritzbox mit Portfreigabe für ftp.
Warum kommt denn da jemand an die Daten und wie kann ich sowas in Zukunft unterbinden?
Gruß
nitia
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 204829
Url: https://administrator.de/contentid/204829
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
11 Kommentare
Neuester Kommentar
Hast du FileZilla auch als Clients im Einsatz? btw das schlechteste, was du machen kannst...
falls du im FileZilla-Client Verbindungsdaten speicherst, werden diese nämlich in Klarschrift in der FileZilla.xml gespeichert - für jeden Dödel mit Zugriff darauf per Texteditor einsehbar. Inwieweit sich das bei dir wiederspiegelt, keine Ahnung - ich wollte nur einen Denkanstoß geben.
Hatte neulich auch das Problem, dass FTP-Passwörter anscheinend außerhalb der Einrichtung bekannt waren, sodass irgendwer die PHPs unserer Webspaces versauen konnte... erst nach Änderung alle FTPs und löschen der Filezilla-xmls und harten Viren- und Trojanerscans war Ruhe... Vlt solltest du prüfen, inwieweit du oder sonstwer den Filezilla als Client zur damaligen Zeit im Einsatz hatten. Evtl wurden dort mal die Verbindungsdaten gespeichert und sind erst jetzt wieder entdeckt worden?! ;)
falls du im FileZilla-Client Verbindungsdaten speicherst, werden diese nämlich in Klarschrift in der FileZilla.xml gespeichert - für jeden Dödel mit Zugriff darauf per Texteditor einsehbar. Inwieweit sich das bei dir wiederspiegelt, keine Ahnung - ich wollte nur einen Denkanstoß geben.
Hatte neulich auch das Problem, dass FTP-Passwörter anscheinend außerhalb der Einrichtung bekannt waren, sodass irgendwer die PHPs unserer Webspaces versauen konnte... erst nach Änderung alle FTPs und löschen der Filezilla-xmls und harten Viren- und Trojanerscans war Ruhe... Vlt solltest du prüfen, inwieweit du oder sonstwer den Filezilla als Client zur damaligen Zeit im Einsatz hatten. Evtl wurden dort mal die Verbindungsdaten gespeichert und sind erst jetzt wieder entdeckt worden?! ;)
Hallo,
wie kann das passieren?
Naja wie du schon schreibst: sniffing.
Alternativ natürlich Social Engineering...
Wie kannst du das verhindern?
FTPS benutzen, wenn du willst noch Port ändern um bei einem Port Scan gar nicht erst die Aufmerksamkeit auf dich zu ziehen...
Gruß
windozer
wie kann das passieren?
Naja wie du schon schreibst: sniffing.
Alternativ natürlich Social Engineering...
Wie kannst du das verhindern?
FTPS benutzen, wenn du willst noch Port ändern um bei einem Port Scan gar nicht erst die Aufmerksamkeit auf dich zu ziehen...
Gruß
windozer
Ja, die Clients nutzen alle Filezilla... super.
Wenn dann nachts um 1:00 Uhr über einen italienischen Provider versucht wird sich mit speziellen Login-Daten einzuloggen, macht mich das nach euren Erklärungen auch nicht mehr stutzig.
Dann hab ich ja echt Glück gehabt, dass diese Clients zu dem Zeitpunkt nicht im Server eingegeben waren.
Dann werd ich jetzt mal tätig.
Vielen Dank!
nitia
Wenn dann nachts um 1:00 Uhr über einen italienischen Provider versucht wird sich mit speziellen Login-Daten einzuloggen, macht mich das nach euren Erklärungen auch nicht mehr stutzig.
Dann hab ich ja echt Glück gehabt, dass diese Clients zu dem Zeitpunkt nicht im Server eingegeben waren.
Dann werd ich jetzt mal tätig.
Vielen Dank!
nitia
Hallo,
naja das heißt aber auch das du den Angreifer kennen musst bzw. der Anwender aus deinem persönlichem Umfeld kommt.
Die txt-Files muss schließlich jemand ausgelesen haben der auch Zugriff auf den Rechner hat, bzw. der sniffing Typ muss im Netzwerk sitzen!
Gruß
windozer
naja das heißt aber auch das du den Angreifer kennen musst bzw. der Anwender aus deinem persönlichem Umfeld kommt.
Die txt-Files muss schließlich jemand ausgelesen haben der auch Zugriff auf den Rechner hat, bzw. der sniffing Typ muss im Netzwerk sitzen!
Gruß
windozer
Und mit Filezilla-Clients per FTPS? Auch Mist?
Wird auch im Klartext gespeichert...
Hier ein paar Infos:
http://www.glorf.it/blog/2011/05/30/windows-tools/ftp-passworter-in-fil ...
Eventuell könnte man das ganze durch spezielle Verzeichnisrechte verbessern - dafür müsste man aber wissen was du für Anwender hast... wenn alle lokale Admin Rechte haben, hilft dir das nichts!
Hier ein paar Infos:
http://www.glorf.it/blog/2011/05/30/windows-tools/ftp-passworter-in-fil ...
Eventuell könnte man das ganze durch spezielle Verzeichnisrechte verbessern - dafür müsste man aber wissen was du für Anwender hast... wenn alle lokale Admin Rechte haben, hilft dir das nichts!
"bzw. der sniffing Typ muss im Netzwerk sitzen!": Das wäre aber fast nicht möglich. Zugriff auf den Server (außer per ftp auf bestimmte Ordner) habe nur ich und mein PC mit gespeicherten Anmeldedaten per Remote. Außerdem melde ich mich ab und an mal per Teamviewer an um von unterwegs nach dem Rechten zu schauen (ohne das Passwort zu speichern natürlich).
Wenn der "Typ" ein Trojaner ist, kann ich es natürlich nicht ausschließen, aber für meine Mitbewohner würde ich die Hand ins Feuer legen. Die versuchen mit Sicherheit nicht, mitten in der Nacht per ftp auf den Server zu kommen, um an Daten zu gelangen, die sie über ein Netzlaufwerk/Remotedesktop/Mediaplayer wesentlich bequemer einsehen könnten.
Gruß
nitia
Wenn der "Typ" ein Trojaner ist, kann ich es natürlich nicht ausschließen, aber für meine Mitbewohner würde ich die Hand ins Feuer legen. Die versuchen mit Sicherheit nicht, mitten in der Nacht per ftp auf den Server zu kommen, um an Daten zu gelangen, die sie über ein Netzlaufwerk/Remotedesktop/Mediaplayer wesentlich bequemer einsehen könnten.
Gruß
nitia
Anwender bin nur ich, mit dem Administrator-Konto. Auf dem Server selbst gibts keine weiteren Benutzer, außer den FTP-Clients.
Also mal kurz zusammengefasst:
- Nur du hast Zugriff auf den Server
- Auf das lokale Netzwerk auf Serverseite hat kein anderer außer dir Zugriff
- Adminrechte haben die Anwender nicht
- Du und die Anwender wissen das Passwort
Daraus ergeben sich folgende Möglichkeiten:
- Der Anwender gibt das Passwort weiter (bewusst oder unbewusst durch Trojaner etc)
- X sitzt im Netzwerk des Anwenders und fängt die Passwörter ab
- X hat die Passwörter die der AW gespeichert hat ausgelesen
- Nur du hast Zugriff auf den Server
- Auf das lokale Netzwerk auf Serverseite hat kein anderer außer dir Zugriff
- Adminrechte haben die Anwender nicht
- Du und die Anwender wissen das Passwort
Daraus ergeben sich folgende Möglichkeiten:
- Der Anwender gibt das Passwort weiter (bewusst oder unbewusst durch Trojaner etc)
- X sitzt im Netzwerk des Anwenders und fängt die Passwörter ab
- X hat die Passwörter die der AW gespeichert hat ausgelesen
Beim aktuellsten Fall weiß noch nichtmal der Anwender das Passwort. Das habe ich in seiner Abwesenheit eingegeben und gespeichert.
Auslesen durch Trojaner ist natürlich möglich, merkwürdig dabei ist nur, dass diese Benutzer/Passwörter (wenn ich mich richtig erinnere) noch nicht einmal zeitgleich eingerichtet waren. Außerdem definitiv nicht im selben Netzwerk. Und die Zugangsdaten des Anwenders (eigentlich ich selbst mit irgendeinem Gerät (Mediaplayer/Handy oder so)), der vor einiger Zeit schon mal "unberechtigt" aufgetaucht ist, taucht jetzt auch plötzlich wieder auf.
Aber Spekulationen bringen mich jetzt auch nicht weiter.
Ich habe vorerst alles dicht gemacht und werde mich die nächsten Tage mit der Einrichtung einer sicheren Lösung beschäftigen.
Und wenn ich keine finde, dann ist es zwar schade für die Clients, aber weh tuts mir nicht sonderlich.
Gruß
nitia
Auslesen durch Trojaner ist natürlich möglich, merkwürdig dabei ist nur, dass diese Benutzer/Passwörter (wenn ich mich richtig erinnere) noch nicht einmal zeitgleich eingerichtet waren. Außerdem definitiv nicht im selben Netzwerk. Und die Zugangsdaten des Anwenders (eigentlich ich selbst mit irgendeinem Gerät (Mediaplayer/Handy oder so)), der vor einiger Zeit schon mal "unberechtigt" aufgetaucht ist, taucht jetzt auch plötzlich wieder auf.
Aber Spekulationen bringen mich jetzt auch nicht weiter.
Ich habe vorerst alles dicht gemacht und werde mich die nächsten Tage mit der Einrichtung einer sicheren Lösung beschäftigen.
Und wenn ich keine finde, dann ist es zwar schade für die Clients, aber weh tuts mir nicht sonderlich.
Gruß
nitia
