FTP gehackt - wer ist schuld?

[Term]

Gestern leitete ein Webdesign-Kunde von mir eine handvoll Mails weiter, in dem er von 1&1 darauf hingewiesen wurde, daß sein Webspace gehackt wurde und über zwei dort abgelegte Dateien haufenweise Spammails verschickt wurden. Angeblich sei der Zugriff über FTP erfolgt und es wurde von 1&1 gemutmaßt, daß ein Virus auf einer Maschine mit Zugang zum FTP diesen gehackt habe. So weit, so schlecht.

Nun sitzt mein Kunde aber an einem Mac und mein PC ist absolut sauber, außer uns beiden hat keiner die Zugangsdaten. Außerdem habe ich mich auf dem entsprechenden FTP seit über 2 Jahren nicht mehr eingeloggt, es gab auch keine weiteren Vorfälle obwohl ich rund zwei Dutzend Kundenwebsites auf verschiedenen FTPs betreue. Die Zugangsdaten zu den Servern liegen außerdem nirgendwo auf meinem System in Textform vor, allerdings sind sie in WS_FTP gespeichert.

Meine Frage ist nun wie wahrscheinlich es ist, daß wirklich jemand über meinen PC Zugang zu diesem FTP bekommen hat? Kann ein eventueller Virus (den ich nicht bemerkt und den mein Scanner nicht gefunden hat) die Daten von WS_FTP auslesen ohne daß ich den entsprechenden Server überhaupt anwähle? Ist es nicht viel wahrscheinlicher, daß das Passwort des FTP zu lausig und der Hackerangriff ein Zufallsprodukt außerhalb meines Systems war?

 

[Marv82]

Es kann auch sein, dass der FTP-Server eine Sicherheitslücke hat, über die jemand ins System eingebrochen ist. Wurden regelmäßig Sicherheitsupdates eingespielt?
Ich benutze für solche Zwecke aus Sicherheitsgründen nur noch SSH-Verbindungen mit Public-Key-Auth. FTP ist mir da zu unsicher. Außerdem ist FTP standardmäßig ja nicht verschlüsselt. Weiß jetzt gar nicht mal aus dem Stehgreif, ob da wenigstens das Kennwort bei Anmeldung verschlüsselt wird. Aber wahrscheinlich nicht. Ist glaube ich alles nur Klartext.

 

[Term]

Wurden regelmäßig Sicherheitsupdates eingespielt?

Es handelt sich hierbei meines Wissens nach um ein preiswertes Sharedserver-Angebot, die Updates wären dann also doch Sache von 1&1, oder kann ich da irgendwie Einfluß drauf nehmen?

Ich benutze für solche Zwecke aus Sicherheitsgründen nur noch SSH-Verbindungen mit Public-Key-Auth.

SSH ist aber in so Standard-Billighosting nicht mit drin, oder? Ich kann natürlich versuchen, meine Kunden von einem Paket-Upgrade zu überzeugen... aber da die meisten lediglich eine Art "Webvisitenkarte" haben wollen, dürfte es schwierig werden die von einem teureren Hosting zu überzeugen

 

[max2k3]

ich würde aber mal sagen dich trifft eh keine große schuld, er hätte ja die zugangsdaten danach abändern können. das würde ich zumindest machen wenn ich jemanden mit der einrichtung beauftragen würde

ich vermute auch eher dass der angriff eher direkt auf den ftp erfolgt ist

 

[Paranoimia]

@Term: Willkommen im Club. Diese Mail habe ich letztens auch bekommen, mit der Nachricht, das meine Webseite kurzfristig auf Eis gelegt wurde, weil über eine sogenannte "Remote File Inclusion" ein fehlerhaftes Script meines Gästebuches manipuliert wurde und, so 1&1, man daraus Spam verschickt hatte.

Gruß

 

[Term]

Exakt, das war hier auch der Text der Mail. Und hast Du bei Dir einen Virus gefunden oder würdest Du das Auslesen der Daten von Deinem Rechner ebenfalls für unwahrscheinlich halten?

Ich hätte da halt irgendwie gerne etwas mehr Gewissheit um 1) meinen Kunden zu beruhigen damit er sich bei mir weiterhin gut aufgehoben fühlt und 2) selber Vorsichtsmaßnahmen zu ergreifen falls auf meiner Kiste wirklich irgendwas nicht stimmen sollte.

 

[Paranoimia]

Prinzipiell kann ich ein "Selbstverschulden" ausschließen, da meine Webseite für ein Vierteljahr ohne .index Datei auf dem Webspace lag, also ohne Zugriffmöglichkeit. Meine Daten selbst waren aber verfügbar, trotzdem begann der Angriff auf meine Seite erste kürzlich, deshalb nehme ich an, das "die" es direkt auf dem Server versuchten und nicht durch irgendein Spionageprogramm o.ä. bzw. auch die Logdateien auf dem Server sprechen dafür.

Ergänzung (4. September 2010)

Wäre interessant, wenn jeder, der kürzlich von der 1&1 Abuse Abteilung angeschrieben wurde, sich hier melden könnte und was dazu schreibt.

 

[Term]

Ja, das wäre nicht schlecht falls sich da weitere eventuell Betroffene zu äußern würden.

Leider komme ich zur weiteren Überprüfung an die Logs des FTP gar nicht mehr ran, da 1&1 gestern direkt das Passwort geändert hat, und das hat jetzt erstmal nur der Kunde. Aber momentan will ich auch gar nicht wieder auf den FTP, solange nicht klar ist ob mein neuer Zugang nicht vielleicht doch direkt wieder lokal ausspioniert wird.

 

[TheWape]

Remote File Inclusion bedeutet das ein Script auf einem anderen Server als eurem liegt, aber eins eurer eigenen PHP-Skripte anfällig für ebendiese Inclusion ist und damit das fremde Script auf eurem Server ausgeführt wurde.

Dieser Angriff hat mit FTP garnichts zu tun, ihr könnt es auch nur durch finden der Sicherheitslücken in euren Webseiten beenden.

 

[Paranoimia]

@TheWape: Richtig, mich hat 1&1 darauf hingewiesen, dieses beknackte Gästebuch abzumurksen. Die hatten es für mich stillgelegt. Ein 'Gästebuchangriff'.. "hmpf"-wie weit ist es mit dieser Welt gekommen^^

 

[Term]

Das kommt für die von mir betreute Seite aber nicht in Frage, da liegen ausschließlich .html-Seiten und Grafiken. Angeblich wurden aber zwei schadhafte .php-Dateien hochgeladen, diese werden dann wohl den Mist ausgelöst haben?

 

[Backslash]

Hast du das alte Passwort noch um beurteilen zu können ob es schwach war? Für wahrscheinlicher halte ich es auf jeden Fall, dass dieses "geknackt" wurde.

 

[Term]

Leider nur als 8 Sternchen in WS_FTP, das Projekt ist schon so lange her daß ich da keine weiteren Unterlagen mehr zu habe. Komme ich da ohne irgendeinen illegalen Passwortcracker irgendwie ran?

 

[666eraser666]

um die Sternchen wiegzumachen, gibt es nen Programm namens "Passwort Lupe", hatte ich damal auch für irgendwelche Zugangsdaten genommen (weiß aber nicht ob Fileziller, Ws_ftp, oder was anderes), hat aber letztendlich geklappt

hier der link:http://www.chip.de/downloads/Password-Finder-2.2_13008542.html

 

[Term]

Ah danke! Das Programm gibt's leider nicht mehr, aber ich hab ein anderes gefunden. Tjooo... das Passwort ist halt so'n Klassiker: paar Zahlen, kleine und große Buchstaben. Allerdings keine Sonderzeichen. Bringt mich in der Suche nach der Verantwortung auch nicht so richtig weiter :/

 

[major-crab]

Wenn du mit WS-FTP gearbeitest hast, kann es sein, dass deine Login-Daten bei Google zu finden waren. Schau dir mal dieses Video an: WS-FTP Login und Passwort in Google finden

 

[Term]

Ja nää, ich bin doch nicht so verrückt und lege die Daten meiner Softwareinstallationen online ab! Aber dies wäre umgekehrt ja auch der Weg, über den ein Trojaner lokal auf meinem System an die Daten gekommen sein könnte - nur daß mein System halt absolut sauber ist und dies (meines Wissens nach) auch die letzten Jahre gewesen ist. Es beantwortet aber zumindest meine Frage, ob ein Trojaner theoretisch die FTP-Daten auch auslesen kann, ohne daß der entsprechende FTP-Server angewählt wurde oder die Daten irgendwo auf dem Rechner in reiner Textform vorliegen.

 

[Term]

Jetzt wird's richtig lustig: gerade eben hat mein Kunde eine Mail erhalten, daß sein FTP schon wieder gehackt wurde!

Zumindest kann ich jetzt definitiv ausschließen, daß der Angriff von meinem Rechner aus erfolgt ist, denn 1&1 hatte das Passwort ja auf einen Zufallswert zurückgesetzt und ich habe es mir extra nicht schicken lassen. Der Typ an der Hotline eben war wenig kompetent und riet auch wieder nur, das FTP-Passwort möglichst schnell zu ändern. Meine Frage, ob denn die Sicherheitslücke nicht viel eher bei ihnen zu suchen wäre, wenn ein- und derselbe FTP in 2 Wochen ohne Schuld des Kunden zweimal gehackt würde, konnte er nicht wirklich beantworten *rolleyes*

 

[Matthias2x]

Ihr könnt das FTP-Passwort noch 100mal ändern, das wird gar nichts helfen weil die Ursache nicht in einem "unsicheren" FTP Zugang liegt. Euer Problem ist ein "unsicheres" Script auf dem Webspace und über das kommt die Spamschleuder ins System. Mit anderen Worten, über die Sicherheitslücke des Scriptes gelingt es den Angreifern (wahrscheinlich sogar nur ein Bot) ins System einzusteigen und eine Spamschleuder bei euch auf dem Webspace abzulegen. Dazu braucht es keinerlei FTP-Zugang, sondern nur ein, für den Webserver beschreibbares, Verzeichnis auf dem Webspace. Fazit, das anfällige Script (Gästebuch etc.) komplett löschen und ein anderes (sicheres) verwenden. Ich persönlich setze bei solchen Sachen nie auf Lösungen von der Stange bzw. auf frei verfügbare Scripte, denn bei denen wird immermal wieder eine Lücke gefunden. Ich verwende meine selbst geschriebenen, denn da kennt (außer mir natürlich ) keiner auf anhieb Schwachstellen da keiner den Code einsehen kann.

Ansonsten ist es, bei Shared Webhosting Angeboten bzw. Managed Servern, Sache von 1&1 das BS aktuell zu halten bzw. Patches einzuspielen. Wobei die Ursache im o.g. Fall dort wohl nicht zu suchen ist.

 

[Term]

Wie neulich schon beschrieben liegt auf dem Webspace nicht ein einziges Skript, kein Gästebuch, kein PHP, kein CMS, kein CSS, kein gar nix. Die gesamte Website besteht ausschließlich aus ca. 100 kleinen .html-Seiten, in denen nicht mal ein Javascript enthalten ist. Wie soll ich das denn noch sicherer gestalten?!