moin leute
und zwar folgendes!
es gibt ein ganz ganz neuer trojana! den hab/hatte ich leider auf meinem rechner ohne ist zu wissen!
bemerkt hab ich das so!
auf meinem webserver wurden ständig alle dateien mit index.* modifiziert und ein schadcode eingetragen!
angefangen hat der code hiermit
#bf760a#
und auch wieder damit aufgehört!!! es ist ein javascript mit ganz vielen zahlen!!! (aus sicherheitsgründen werde ich ihn hier nicht posten!!!)
naja ich hab dan den code aus allen dateien gelöscht und gehofft das es vorbei wäre aber nein! er kam wieder und im filezillalog vom rootserver habe ich gesehen das sich jemand mit meinen acc-daten eingeloggt hat! das hab ich eben gesehen weil vor paar min wieder ein angriff kam!
im netz habe ich gestöbert und einige meinen zu100% das es an filezilla liegt!
auf eurem (zumindest bei mir) ist mein hauptftp-password in filezilla gespeichert! und nur das! und mit diesem logge ich mich immer ein! (name hauptadmin!) laut profis liest der trojana auf eurem rechner das filezillapassword aus und schickt es (anscheint) zum hacker! und der hacker hackt dan logischerweisse! wie genau das geht weiss ich nicht!
ich habe jetzt mein ftp-password vom rootserver geändert und es auf meinem hauptrechner nicht gespeichert! (noch ist das alte gespeichert)
hat jemand eine idee wie ich den trojana vom rechner bekomme? kaskersky findet nix!!!
auf dem rootserver hab ich immunet (testversion) und das hat alle dateien gelöscht! (top)
auf dem rootserver waren mehrere java.exe an gewesen! nach einem neustart sind alle aus und bis jetzt keine mehr an! auch nach dem angriff sehe ich keine java.exe! (könnte auch ein minecraft-bug gewesen sein)
also info an euch
SPEICHERT KEINE FTPDATEN IN FILEZILLA!!! DIE WERDEN IM KLARTEXT IN IRGENTEINE XML-DATEI GESPEICHERT UND WERDEN VOM TROJANA AUSGELESEN!!!
link
externer Link
Zuletzt modifiziert von MVN050 am 30.06.2013 - 17:47:18
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Allgemein » Plauder Ecke » Schwere sicherheitslücke in Filezilla!!!
| Geschlossen | ||
-
So. 30.06.2013
17:45 Uhr
#1
- Registriert seit
- 20.09.2008
- Beiträge
- 1.273
- Beitragswertungen
-
So. 30.06.2013
18:56 Uhr
#2
- Registriert seit
- 14.08.2006
- Beiträge
- 1.688
- Beitragswertungen
Wie oft hab ich das hier bereit geschrieben (10 mal mindestens), Filezilla ist die größte Sicherheitslücke die es gibt, die Entwickler sind einfach vollidoten. Aussagen wie : "Das Betriebssystem sorgt für die Sicherheit".... klar besonders Windood, ist sicherlich auch so ein NSA ding, damit sie schneller an FTP Daten kommen
Logindaten für Filezilla einfach in KeyPass speichern, dann geht es fast genau so fix wie in Filezilla selbst.
Das genau Einfallstor zu finden ist immer schwer, außer du Provozierst es nochmal und logst auf deinem PC Dateizugriffe und den Datenverkehr. Aber auch dann dürfte die Analyse der Daten Tage/Woche dauern.
Hast du vor diesem Vorfall, Programme, Tools, Cracks etc neu geladen?
Da Java auch mehr löcher hat als ein Schweizerkäse ist das eh immer eine Varainte, am besten gesamt deaktivieren (Browser).
Schau dir aufjedenfall alle Dateien auf deinem Server an, nicht das es eine Backdoor z.b. Shell Script gibt, dann bringt auch dein neues FTP PW wenig.
Zuletzt modifiziert von Revolution am 30.06.2013 - 19:08:37Kreativ, modern, Conversion und Usability optimiert
individuelles Webdesign für ein optimales Erscheinungsbild
404studios
-
Mo. 01.07.2013
21:10 Uhr
#3
- Registriert seit
- 15.04.2013
- Beiträge
- 21
- Beitragswertungen
Autsch. Ich benutze auch Filezilla. Ich pass da besser auf! -
Di. 02.07.2013
07:36 Uhr
#4
- Registriert seit
- 17.01.2009
- Beiträge
- 539
- Beitragswertungen
Ich benutze schon seit einigen Jahren WinSCP. Ist auch kostenlos, man kann kleinere Änderungen in den Dateien direkt auf dem Server bearbeiten und abspeichern (ohne das lästige runterladen-bearbeiten-wieder hochladen), Verzeichnissynchronisation bringt WinSCP auch gleich mit (Verzeichnis auf dem eigenen Rechner-Datei wird bearbeitet-WinSCP überprüft dieses Verzeichnis-synchronisiert dieses mit dem ftp Verzeichnis) und die Passwörter werden verschlüsselt in einer Datei oder in der Registry abgespeichert. Das kann man einstellen, wie man es möchte. -
Mi. 03.07.2013
12:55 Uhr
#5
- Registriert seit
- 02.02.2006
- Beiträge
- 2.094
- Beitragswertungen
Also das FileZilla die im Klar-Text speichert war mir selbst schon länger bekannt, da mir es damals beim Export auffiel und ich die XML anpasste. Seit dem speicher ich das nie.
KeyPass ist auch ganz nett.
Danke für die Info MVN050
Ich würde einen Scan generell vor dem Betriebsystems durchführen, nicht während dem Betrieb.
Zuletzt modifiziert von Swamp am 03.07.2013 - 12:56:19Wer zuletzt lacht, hat den schlechtesten Ping. -
Hi, uhh ich benutze momentan auch Filezilla. Es wird glaube ich besser sein, nachdem ich das gelesen habe, wenn ich mich um eine Alternative kümmere. Hier hat jemand WinSCP empfohlen, ist das die beste momentane Alternative? Vielen Dank. LG
-
Di. 09.07.2013
15:34 Uhr
#7
- Registriert seit
- 14.08.2006
- Beiträge
- 1.688
- Beitragswertungen
WinSCP ist ebenfalls ein tolles Programm
Aber es spricht auch nichts gegen FileZilla! Nur wenn du Filezilla benutzt weil du damit z.b. sehr gut klar kommst...speicher einfach kein Serverpasswort mit Filezilla.
Schreib sie in eine Textdatei, Excel oder nutz zusatz Software wie Keypass etc. Hauptsache das PW liegt nicht im Standard Installationspfad von Filezilla. Wenn du das beachtest soricht nichts gegen dieses Programm.
Auch musst du dir erst ein Schadprogramm einfangen, welches diese Daten ausliest....
Leider ist ein einlenken und damit aktzeptieren dieser Sicherheitslücke seitens der Entwickler unwahrscheinlich.
Zuletzt modifiziert von Revolution am 09.07.2013 - 15:37:53Kreativ, modern, Conversion und Usability optimiert
individuelles Webdesign für ein optimales Erscheinungsbild
404studios
-
Je nach dem was für ein System auf deinem Server ist kann sowas auch von anderer stelle kommen.
z.B.: von eine veralteten plesk
Sicherheitslücke in der Plesk
Hier auch noch ein schöner beitrag:
Schadcode auf meinem Server
Hatten auch das Problem vor einem Jahr, die Parallels Plesk 10 hat bis dahin die Passwörter auch in Klartext gespeichert. Ups
Ein update der Plesk und ändern aller Passwörter hat dann wieder ruhe gebracht.Wer Rechtschreibfehler findet darf sie behalten!
-
Mi. 10.07.2013
11:08 Uhr
#9
- Registriert seit
- 06.05.2013
- Beiträge
- 74
- Beitragswertungen
Gibts gescheite Clienten die Ihr sonst benutzt?
LG -
Mi. 10.07.2013
13:05 Uhr
#10
- Registriert seit
- 03.06.2009
- Beiträge
- 1.029
- Beitragswertungen
Ich benutze nur WinSCP..
| Geschlossen | ||
 |
Zurück zu Plauder Ecke | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten