Thema: FTP - gehackt / Hack erfolgte über das Netzwerk des Rechenzentrums

Hallo,

ein FTP mit einem 100% sicheren Passwort welches auf den Rechnern nirgends gespeichert wurde, wurde dennoch gehackt. Von einem System wurden alle index-Dateien getauscht. (Der Angriff fiel nach wenigen Minuten auf und das System wurde unverzüglich vom Server genommen und neu aufgesetzt bzw. wurden alle Passwörter getauscht). Da an dem System seit geraumer Zeit auch nicht über das FTP gearbeitet wurde, musste das Passwort schon vorher abgefangen worden sein.
Der Angriff erfolgte laut Auskunft des Hosters aus dem Netzwerk des Rechenzentrums selbst (da, wo auch der Server steht).

"So was hätten sie noch nie gesehen."

Hat jemand eine Ahnung wie das gemacht wurde? Waren wirklich Mitarbeiter des Rechenzentrums daran beteiligt, oder gibt es für "der Angriff erfolgte laut Auskunft des Hosters aus dem Netzwerk des Rechenzentrums selbst" auch eine andere Möglichkeit?



LG Tina

Nun der Mist ist halt das FTP ein unverschlüsseltes Protokoll ist.

Besser ist FTPS(ecure) oder SFTP über SSH.

Um das Passwort bei unverschlüsselten Verbindungen mitzubekommen genügt ein mit einem Rootkit verseuchter Rechner der dann fleissig Daten sammelt.

Hier noch was zur Info http://de.wikipedia.org/wiki/Promiscuous_Mode

Hallo Tina!

Danke für Deinen Threat mit der Info über den Hack! Da ich ein sicherheitsbewußter Mensch bin, bin ich auch mal dem Link von cylance gefolgt. In der Folge stieß ich auf zwei Seiten mit recht informativem Inhalt:
1. easy network Eine Seite, die sich mit dem Thema Netzwerk eingehend beschäftigt.
2. network lab Diese Seite befasst sich mit der Netzwerkanalyse.

Aus beiden Inhalten wird die Brisanz von Sniffern sehr deutlich. Ebenso deutlich wird leider auch, wie relativ machtlos, selbst der Netzwerkadmin, gegen einen "gut gemachten" Lauschangriff ist. Dies zeigt mir wiedereinmal mehr, dass Sicherheit tatsächlich eine Illusion ist und man im Umgang mit dem Internet und den damit verbundenen Komponenten, nur von Risikominimierung sprechen sollte.

Ich versuche nun noch rauszufinden, wie man feststellen kann, ob sich die eigene NW-Karte respektive WLAN-Stick sich plötzlich doch im "Promiscuous Mode" befindet. Ist zwar nicht das richtige Portal dafür, aber vielleicht weiß ja doch jemand hier im Forum mehr darüber.

@cylance
Wenn schon keine Schneeflocken oder tanzende Weihnachtsmänner, dann wenigstens ein entsprechendes Outfit oder ? Cool das mit dem roten Umhang im Avatar !

Liebe Grüße und einen schönen 3.Advent wünscht der Windoofer0815.

Wieso kann der Hoster selbst keine qualifizierten Hinweise geben und verbreitet nur irgendwelche diffusen Statements (wenn es wirklich die Ursache im Rechenzentrum hat)?

Wenn ich mal orakelnd vermuten darf.

Ein guter Hoster ist m.E. mit sämtl. sicherheitstech. Wassern gewaschen. Es dürfte kaum etwas geben, was die nicht kennen. So haben die "Guten" auch alles in ihrer Macht stehende getan, um ihre Netzwerke von und nach aussen abzusichern. ABER, was ist mit internen Lausbuben/-mädchen die dem Hoster schlechtes wollen? Ich denke hier liegt der Hase im Pfeffer. Wenn nun bekannt würde, dass Mitarbeiter des Hosters für den Hack verantwortlich wären, würde sich dies aller Wahrscheinlichkeit schnell rumsprechen. So würde der Hoster ggf. beim Kampf im Haifischbecken der Anbieter eine Runde aussetzen, nicht über "Los" gehen und keine "400" Kunden (ran)einziehen . Ich meine hier eine unternehmenspolitische Hinhaltetaktik zu erkennen.

Ein Gegenbeispiel bot am 06. Oktober der Hoster "Hetzner", bei dem auch ein, zugegeben selbst verschuldeter Angriff durch Tobias Huch stattfand. Hierüber wurde der Kunde ausführlich, mit dem Rat der sofortigen Passwortänderung für den Zugang, hingewiesen und hatte dann auch die Möglichkeit den Status der Ermittlungen unter hetzner-status.de zu verfolgen. Das nenne ich offene Problemaufarbeitung. Dieser Angriff hat mein Vertrauen in Hetzner eher gestärkt als geschwächt, trotz der Sicherheitspanne.

SICHERHEIT IST EINE ILLUSION! Erfährt man täglich

Munter bleiben, rät der Windoofer0815!

Hallo, vielen Danke für die Antworten und die Links!


Zu:

Besser ist FTPS(ecure) oder SFTP über SSH.

Ich habe auf diesem Server keinen Rootzugriff mehr. Es ist ein Managend-Server. Früher hatte ich die Daten per WinSCP /SFTP übertragen. (Rootzugriff)

@GN2 netwerk: Ich verstehe nicht was Du meinst. Anhand der Log wurde eindeutig das Netzwerk des Rechzentrums (sie haben dort ihre Server stehen) festgestellt.
Allerdings glaube ich nicht an Mitarbeiter des Rechenzentrums. Niemand ist so dumm vom eigenen Netzwerk, dazu auch noch die Server, die in die eigene Obhut fallen, zu hacken. (ohne die eigene Identität zu verschleiern - wer will das glauben? lol) Dazu kommt dass es ein großes, bekanntes Rechenzentrum ist. Dort arbeiten Vollprofis.

@manuelgut: Es ist kein Joomla. Es ist ein anderes php-System, ganz ohne Extensions und auch aktuell, immer!

SICHERHEIT IST EINE ILLUSION! Erfährt man täglich

Genau!



LG Tina

Garantierte Sicherheit gibt es nur vom Fachinformatiker.

Zitat von Matrikular

Garantierte Sicherheit gibt es nur vom Fachinformatiker.

... und was soll das? Spaß auf Kosten anderer? Frustabbau?

Zumindest paßt es hier überhaupt nicht rein!

Gehst du ab jetzt durch alle Post in denen irgendwas, irgendwie nicht hinein passt, oder nur heute? Wenn es auch nicht dein oder wessen Humor auch immer ist, was bringt dich dazu zu glauben ich möchte mich auf Kosten anderer lustig machen? Bleib mal locker.