mir ist in der letzten Zeit mehrfach untergekommen, dass Websites per FTP verändert wurden. Also dass Dateien heruntergeladen, mit JavaScript-Code oder iframe versehen werden und wieder hochgeladen werden.
Ist bekannt, welche Malware da zur Zeit ihr Unwesen treibt? Alles, was ich dazu finden konnte, stammt aus dem Jahr 2009, z.B. <http://www.searchsecurity.de/themenbereiche/bedrohungen/viren-wuermer...> ist also schon etwas out-of-date.
Da verschiedene Kunden, verschiedene Provider, verschiedene Server betrifft, kann die Ursache eigentlich nur eine Malware sein. Die FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine brute-force-Attacken. Es wäre halt interessant zu wissen, welche Malware das ist und wie sie zu erkennen ist, um die infizierten Rechner konkret zu ermitteln.
Und nein, ich habe mir nichts eingefangen. In nur einem Fall war ich in Besitz der Zugangsdaten. Außerdem ist Malware unter Linux zum Glück relativ selten.
> Da verschiedene Kunden, verschiedene Provider, verschiedene Server
> betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
> FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
> brute-force-Attacken.
Vermutlich war es doch ein simpler Brute-Force Angriff, der dann im
Nachgang gezielt benutzt wurde, denn FTP-Server stehen eigentlich
mehrmals täglich unter sinnlosen Wörterbuch-Attacken. Andererseits
werden auch gerne Mail&Web-Zugangsdaten für das Wörterbuch bei der-
artigen "Zugangs-Scans" verwendet.
Tschau,
--------------
/ h o m a s
-- email : supp...@gohel.de / go...@basicguru.de (PGP-Key available)
www : http://www.gohel.de / http://www.pbhq.de (PowerBASIC)
filter: html-postings, fullquotes, no realnames & no valid adresses
>> Da verschiedene Kunden, verschiedene Provider, verschiedene Server
>> betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
>> FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
>> brute-force-Attacken.
> Vermutlich war es doch ein simpler Brute-Force Angriff, der dann im
> Nachgang gezielt benutzt wurde, denn FTP-Server stehen eigentlich
> mehrmals täglich unter sinnlosen Wörterbuch-Attacken.
Nein, Brute-Force und Wörterbuch können komplett ausgeschlossen werden.
Zumindest auf zwei der Server hätte ich dann entsprechende Versuche im auth-log des FTP-Servers finden müssen. Aber das war alles nur das übliche Rauschen mit ein paar Versuchen mit Administrator, User,...
Eine Wörterbuch-Attacke hätte auch nicht funktioniert. Der größte Teil waren zufällig generierte Passwörter mit ausreichender Entropie, die nicht in der Rainbow-Table vorkommen. Dazu hätte dann auch noch der Username erraten werden müssen. Da hätte man schon mehrere Jahre probieren müssen.
> Andererseits
> werden auch gerne Mail&Web-Zugangsdaten für das Wörterbuch bei der-
> artigen "Zugangs-Scans" verwendet.
Das kann ausgeschlossen werden. In allen Fällen gab es keinen Bezug zwischen Mail und Web- und FTP-Zugangsdaten. Weder Benutzernamen noch Passwörter identisch.
> mir ist in der letzten Zeit mehrfach untergekommen, dass Websites per > FTP verändert wurden. Also dass Dateien heruntergeladen, mit > JavaScript-Code oder iframe versehen werden und wieder hochgeladen werden.
Sicher? Wer macht denn das?
Üblicherweise wird doch durch ein unsicheres (PHP-)Script auf den
Server eingedrungen und von dort aus direkt "vor Ort" die Seiten
verändert.
Ausgerechnet Daten über FTP herunter- und dann wieder hochzuladen
erscheint mir ... ungewöhnlich und unnötig kompliziert.
> Da verschiedene Kunden, verschiedene Provider, verschiedene Server > betrifft, kann die Ursache eigentlich nur eine Malware sein. Die > FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine > brute-force-Attacken. Es wäre halt interessant zu wissen, welche Malware > das ist und wie sie zu erkennen ist, um die infizierten Rechner konkret > zu ermitteln.
Die erste Frage, die ich mir stellen würde, wäre, ob tatsächlich
sicher feststeht, daß per FTP Daten herunter- und wieder hochgeladen
wurden.
Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
nicht, sollte man sich nur bedingt wundern. ;)
>> mir ist in der letzten Zeit mehrfach untergekommen, dass Websites per
>> FTP verändert wurden. Also dass Dateien heruntergeladen, mit
>> JavaScript-Code oder iframe versehen werden und wieder hochgeladen werden.
> Sicher? Wer macht denn das?
Das ist sicher. Wer das macht, kann ich Dir auch nicht sagen. Ich habe zwar IP-Adressen, aber das dürften ebenfalls gehackte Server sein.
> Üblicherweise wird doch durch ein unsicheres (PHP-)Script auf den
> Server eingedrungen und von dort aus direkt "vor Ort" die Seiten
> verändert.
> Ausgerechnet Daten über FTP herunter- und dann wieder hochzuladen
> erscheint mir ... ungewöhnlich und unnötig kompliziert.
Warum kompliziert? Das ist genauso gut skriptbar, wie PHP-Exploits.
>> Da verschiedene Kunden, verschiedene Provider, verschiedene Server
>> betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
>> FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
>> brute-force-Attacken. Es wäre halt interessant zu wissen, welche Malware
>> das ist und wie sie zu erkennen ist, um die infizierten Rechner konkret
>> zu ermitteln.
> Die erste Frage, die ich mir stellen würde, wäre, ob tatsächlich
> sicher feststeht, daß per FTP Daten herunter- und wieder hochgeladen
> wurden.
Ja, das ist sicher. Die FTP-Logfiles lügen nicht und auch dadurch eindeutig identifizierbar, dass der owner der FTP-User und nicht der HTTP-Daemon ist.
> Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
> zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
> auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
> nicht, sollte man sich nur bedingt wundern. ;)
Das hilft leider auch nur bedingt. Ich möchte ja gerne wissen, welche Malware die Zugangsdaten abgegriffen hat. Wenn sie dies beim Clientprogramm tut, hilft auch nicht die verschlüsselte Übertragung zum Server.
>> Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
>> zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
>> auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
>> nicht, sollte man sich nur bedingt wundern. ;)
> Das hilft leider auch nur bedingt. Ich möchte ja gerne wissen, welche
> Malware die Zugangsdaten abgegriffen hat. Wenn sie dies beim
> Clientprogramm tut, hilft auch nicht die verschlüsselte Übertragung zum
> Server.
> On 01/20/12 00:39, Thomas Hochstein wrote:
>> Die erste Frage, die ich mir stellen würde, wäre, ob tatsächlich
>> sicher feststeht, daß per FTP Daten herunter- und wieder hochgeladen
>> wurden.
> Ja, das ist sicher. Die FTP-Logfiles lügen nicht und auch dadurch > eindeutig identifizierbar, dass der owner der FTP-User und nicht der > HTTP-Daemon ist.
Ah, okay, sorry. Das hatte ich überlesen, daß das aus den Logs
hervorgeht.
>> Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
>> zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
>> auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
>> nicht, sollte man sich nur bedingt wundern. ;)
> Das hilft leider auch nur bedingt. Ich möchte ja gerne wissen, welche > Malware die Zugangsdaten abgegriffen hat.
Die Frage ist doch zunächst mal, ob überhaupt Zugangsdaten auf dem
Client abgegriffen wurden.
> Wenn sie dies beim > Clientprogramm tut, hilft auch nicht die verschlüsselte Übertragung zum > Server.
Klar. Theoretisch kommt da dann natürlich eine nahezu beliebige
Vorgehensweise in Betracht.
Fragen zu spezifischer Malware (also bspw., ob eine solche mit dieser
Charakteristik "in the wild" ist) wirst Du, wenn in de.* überhaupt,
vermutlich am ehesten in de.comp.security.virus (hilfsweise:
de.comp.security.misc [1]) finden.
-thh
[1] Eigentlich dort off-topic, aber ich weiß nicht, wie
lebendig/kompetent die *.virus-Gruppe derzeit ist.
