Vserver Attacke auf und von unserem Server

  • Aus Erfahrung kann ich sagen, dass meist infizierte Clients die Ursache für geklaute Passwörter sind. Besonders gerne werden so FTP-Zugangsdaten "ergattert" (es gab z.B. mal auf illegalen Downloadportalen eine modifizierte Version von Frontpage durch die massenhaft Passwörter gesammelt wurde).


    Bei SSH-Zugangsdaten passiert dieses durchaus seltener, aber es ist bei mehreren unserer > 4000 Kunden schon vorgekommen.


    Per Bruteforce hatten wir bislang einen uns bekannten Hack. Als Passwort hatte der Kunde "test" vergeben.

  • Wir verwenden nur original Software, auf dem User selbst der zum arbeiten dient gibt es nur Putty,Winscp,Namo (alte Namo version die schon ca 5 Jahre im Einsatz ist).
    Auf dem Standard User gibt es mehr Software Office, Lexware etc die aber alle original sind.


    Ich bin was den PC angeht sehr empfindlich, Jahre lange Erfahrung (oder auch Alpträume mit MS Produkten genannt:)) und etliche Nerven lassn mich da sehr vorsichtig werden.

  • Teilweise liegt das Problem auch nicht im eigenen Rechner. Wir hatten schonmal den Fall, dass ein Bot Zugang zum Mailpostfach eines Kunden hatte und so an Passwörter kam. Dieser Kunde hatte sich mal auf einem fremden Rechner über Webmail eingeloggt und dabei wurde das mail-Kennwort von einem Trojaner abgegriffen.


    Der Rechner des Kunden selber war sauber.


    ps: Gegen ssh-bruteforce hilft denyhosts ungemein.

  • Hallo hannes.b,


    WinSCP stößt bei mir ein wenig mulmig auf.
    WinSCP hat die Eigenart nach Hause telefonieren zu wollen.
    PhoneHome scheint ja nun ein bekanntes Hobby von SoftwareHerstellern zu sein. Hin und wieder nutze ich auch Windows, und ich schäme mich fast festzustellen, das Putty und FileZilla besser, unkomplizierter unter Windows arbeiten, als unter Linux. Aber davon mal abgesehen, Software die nach Hause telefoniert ist nicht zu unterschätzen. Nach dem ich WinSCP installiert hatte und dieses Proggie gleich nach winscp.net Kontakt aufnehmen wollte, was ich verhindert habe, habe ich es gleich wieder deinstalliert. Vertrauenswürdige Software sieht anders aus.


    Gruß,
    Sunshine

  • Wenn das Passwort angeblich typische Folgen enthielt, habt ihr das netcup schon geschickt, damit die das analysieren können? Wenn ich es nicht überlesen habe, dann wurde es hier ja noch nicht veröffentlicht.
    Mein initiales Passwort, welches ich von netcup erhalten habe, war definitiv komplex genug und sollte auch jeder Passwortliste und Brute-Force-Attacke standhalten.


    Zitat von Sunshine;10068

    WinSCP hat die Eigenart nach Hause telefonieren zu wollen.

    Wurde da vielleicht nur nach Updates gesucht? afaik ist WinSCP OSS und man könnte sich anschauen was da übertragen wird.


    Zitat von Sunshine;10068

    ... und ich schäme mich fast festzustellen, das Putty und FileZilla besser, unkomplizierter unter Windows arbeiten, als unter Linux.

    Man muss unter Linux auch nicht unbedingt Putty nutzen. Ich glaube jede Distribution hat standardmäßig einen SSH-Client installiert, den ich in der Shell aufrufen kann.

  • Hallo Henne,


    ich gehe nur noch über Proxy ins Netz.
    Unter Windows ist das einfacher, schneller und unkomplizierter als unter Linux.
    Stimmt, WinSCP ist OSS. Trotzdem kann ich mich nicht an ein Verhalten gewöhnen, einfach und ohne zu fragen eine Verbindung zur Heimatwelt herzustellen. Ich lege, wenn man so will, wert auf einen guten Ton. Einige mögen solch ein Verhalten heute als selbstverstänflich betrachten. Mit geht eine solche Betrachtungsweise nach wie vor ab. Auch wenn es sich "nur" um ein Update handeln sollte. Auch baut WinSCP nach Aufruf eine Verbindung so rasch auf, ohne mir Gelegenheit zu geben in den Einstellungen "automatische Updates" zu deaktivieren. So entsteht bei mir ein fader Beigeschmack und um den nicht zu behalten deinstalliere ich solche Software.


    Gruß,
    Sunshine

  • Hallo,
    erstmal wollte ich anmerken das ich seit 2 Tagen selbst Zugriffe von unserem w00tw00t Freund habe - bisher allerdings nur HTTP Get Abfragen, ist doch ok. :>
    Dann warum sollte Putty auch unter Linux besser als unter Windows laufen?
    Unter Linux gibt es wie Henne schon sagte den SSH Client, einfach im xterm oder sonst wo ssh in die Konsole, z.B.

    Code
    ssh any0n3@any0n3.de


    Schon hast Du ne SSH Session!
    Dann noch zu der Sache mit dem FTP, ich verwende "curlftpfs" und mounte den FTP-Server direkt in ein Verzeichnis unter /mnt/.
    Und bin damit zufrieden, Probleme hatte ich da noch niemals.
    Filezilla ist mir unter Linux auch unangenehm aufgefallen weil man "unsichtbare" Dateien nicht ausblenden kann (Dateien die mit . beginnen werden unter Linux nur mit ls -a angezeigt, z.B. unter Gnome mit der Tastenkombination "STRG - H"!).
    Und man sollte IMMER wie auch von Netcup auf der VServer Seite steht das Passwort direkt ändern!
    Grüße,
    Michael