Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
FTP-Trojaner
5 views
Skip to first unread message
Stefan Dreyer
Jan 18, 2012, 7:57:01 AM1/18/12
to
Hallo,
mir ist in der letzten Zeit mehrfach untergekommen, dass Websites per
FTP verändert wurden. Also dass Dateien heruntergeladen, mit
JavaScript-Code oder iframe versehen werden und wieder hochgeladen werden.
Ist bekannt, welche Malware da zur Zeit ihr Unwesen treibt? Alles, was
ich dazu finden konnte, stammt aus dem Jahr 2009, z.B.
<http://www.searchsecurity.de/themenbereiche/bedrohungen/viren-wuermer-trojaner/articles/198014/>
ist also schon etwas out-of-date.
Da verschiedene Kunden, verschiedene Provider, verschiedene Server
betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
brute-force-Attacken. Es wäre halt interessant zu wissen, welche Malware
das ist und wie sie zu erkennen ist, um die infizierten Rechner konkret
zu ermitteln.
Und nein, ich habe mir nichts eingefangen. In nur einem Fall war ich in
Besitz der Zugangsdaten. Außerdem ist Malware unter Linux zum Glück
relativ selten.
mir ist in der letzten Zeit mehrfach untergekommen, dass Websites per
FTP verändert wurden. Also dass Dateien heruntergeladen, mit
JavaScript-Code oder iframe versehen werden und wieder hochgeladen werden.
Ist bekannt, welche Malware da zur Zeit ihr Unwesen treibt? Alles, was
ich dazu finden konnte, stammt aus dem Jahr 2009, z.B.
<http://www.searchsecurity.de/themenbereiche/bedrohungen/viren-wuermer-trojaner/articles/198014/>
ist also schon etwas out-of-date.
Da verschiedene Kunden, verschiedene Provider, verschiedene Server
betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
brute-force-Attacken. Es wäre halt interessant zu wissen, welche Malware
das ist und wie sie zu erkennen ist, um die infizierten Rechner konkret
zu ermitteln.
Und nein, ich habe mir nichts eingefangen. In nur einem Fall war ich in
Besitz der Zugangsdaten. Außerdem ist Malware unter Linux zum Glück
relativ selten.
Thomas Gohel
Jan 18, 2012, 9:16:00 AM1/18/12
to
Stefan Dreyer meinte zum Thema "FTP-Trojaner"
Hallo Stefan,
> Da verschiedene Kunden, verschiedene Provider, verschiedene Server
> betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
> FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
> brute-force-Attacken.
Vermutlich war es doch ein simpler Brute-Force Angriff, der dann im
Nachgang gezielt benutzt wurde, denn FTP-Server stehen eigentlich
mehrmals täglich unter sinnlosen Wörterbuch-Attacken. Andererseits
werden auch gerne Mail&Web-Zugangsdaten für das Wörterbuch bei der-
artigen "Zugangs-Scans" verwendet.
Tschau,
--------------
/ h o m a s
--
email : sup...@gohel.de / go...@basicguru.de (PGP-Key available)
www : http://www.gohel.de / http://www.pbhq.de (PowerBASIC)
filter: html-postings, fullquotes, no realnames & no valid adresses
Hallo Stefan,
> Da verschiedene Kunden, verschiedene Provider, verschiedene Server
> betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
> FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
> brute-force-Attacken.
Nachgang gezielt benutzt wurde, denn FTP-Server stehen eigentlich
mehrmals täglich unter sinnlosen Wörterbuch-Attacken. Andererseits
werden auch gerne Mail&Web-Zugangsdaten für das Wörterbuch bei der-
artigen "Zugangs-Scans" verwendet.
Tschau,
--------------
/ h o m a s
--
email : sup...@gohel.de / go...@basicguru.de (PGP-Key available)
www : http://www.gohel.de / http://www.pbhq.de (PowerBASIC)
filter: html-postings, fullquotes, no realnames & no valid adresses
Stefan Dreyer
Jan 18, 2012, 12:48:19 PM1/18/12
to
On 01/18/12 15:16, Thomas Gohel wrote:
> Stefan Dreyer meinte zum Thema "FTP-Trojaner"
>
> Hallo Stefan,
>
>> Da verschiedene Kunden, verschiedene Provider, verschiedene Server
>> betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
>> FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
>> brute-force-Attacken.
>
> Vermutlich war es doch ein simpler Brute-Force Angriff, der dann im
> Nachgang gezielt benutzt wurde, denn FTP-Server stehen eigentlich
> mehrmals täglich unter sinnlosen Wörterbuch-Attacken.
Nein, Brute-Force und Wörterbuch können komplett ausgeschlossen werden.
> Stefan Dreyer meinte zum Thema "FTP-Trojaner"
>
> Hallo Stefan,
>
>> Da verschiedene Kunden, verschiedene Provider, verschiedene Server
>> betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
>> FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
>> brute-force-Attacken.
>
> Vermutlich war es doch ein simpler Brute-Force Angriff, der dann im
> Nachgang gezielt benutzt wurde, denn FTP-Server stehen eigentlich
> mehrmals täglich unter sinnlosen Wörterbuch-Attacken.
Zumindest auf zwei der Server hätte ich dann entsprechende Versuche im
auth-log des FTP-Servers finden müssen. Aber das war alles nur das
übliche Rauschen mit ein paar Versuchen mit Administrator, User,...
Eine Wörterbuch-Attacke hätte auch nicht funktioniert. Der größte Teil
waren zufällig generierte Passwörter mit ausreichender Entropie, die
nicht in der Rainbow-Table vorkommen. Dazu hätte dann auch noch der
Username erraten werden müssen. Da hätte man schon mehrere Jahre
probieren müssen.
> Andererseits
> werden auch gerne Mail&Web-Zugangsdaten für das Wörterbuch bei der-
> artigen "Zugangs-Scans" verwendet.
zwischen Mail und Web- und FTP-Zugangsdaten. Weder Benutzernamen noch
Passwörter identisch.
Thomas Hochstein
Jan 19, 2012, 6:39:21 PM1/19/12
to
Stefan Dreyer schrieb:
> mir ist in der letzten Zeit mehrfach untergekommen, dass Websites per
> FTP verändert wurden. Also dass Dateien heruntergeladen, mit
> JavaScript-Code oder iframe versehen werden und wieder hochgeladen werden.
Sicher? Wer macht denn das?
Üblicherweise wird doch durch ein unsicheres (PHP-)Script auf den
Server eingedrungen und von dort aus direkt "vor Ort" die Seiten
verändert.
Ausgerechnet Daten über FTP herunter- und dann wieder hochzuladen
erscheint mir ... ungewöhnlich und unnötig kompliziert.
> Da verschiedene Kunden, verschiedene Provider, verschiedene Server
> betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
> FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
> brute-force-Attacken. Es wäre halt interessant zu wissen, welche Malware
> das ist und wie sie zu erkennen ist, um die infizierten Rechner konkret
> zu ermitteln.
Die erste Frage, die ich mir stellen würde, wäre, ob tatsächlich
sicher feststeht, daß per FTP Daten herunter- und wieder hochgeladen
wurden.
Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
nicht, sollte man sich nur bedingt wundern. ;)
Grüße,
-thh
> mir ist in der letzten Zeit mehrfach untergekommen, dass Websites per
> FTP verändert wurden. Also dass Dateien heruntergeladen, mit
> JavaScript-Code oder iframe versehen werden und wieder hochgeladen werden.
Üblicherweise wird doch durch ein unsicheres (PHP-)Script auf den
Server eingedrungen und von dort aus direkt "vor Ort" die Seiten
verändert.
Ausgerechnet Daten über FTP herunter- und dann wieder hochzuladen
erscheint mir ... ungewöhnlich und unnötig kompliziert.
> Da verschiedene Kunden, verschiedene Provider, verschiedene Server
> betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
> FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
> brute-force-Attacken. Es wäre halt interessant zu wissen, welche Malware
> das ist und wie sie zu erkennen ist, um die infizierten Rechner konkret
> zu ermitteln.
sicher feststeht, daß per FTP Daten herunter- und wieder hochgeladen
wurden.
Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
nicht, sollte man sich nur bedingt wundern. ;)
Grüße,
-thh
Stefan Dreyer
Jan 20, 2012, 6:33:51 AM1/20/12
to
On 01/20/12 00:39, Thomas Hochstein wrote:
> Stefan Dreyer schrieb:
>
>> mir ist in der letzten Zeit mehrfach untergekommen, dass Websites per
>> FTP verändert wurden. Also dass Dateien heruntergeladen, mit
>> JavaScript-Code oder iframe versehen werden und wieder hochgeladen werden.
>
> Sicher? Wer macht denn das?
Das ist sicher. Wer das macht, kann ich Dir auch nicht sagen. Ich habe
> Stefan Dreyer schrieb:
>
>> mir ist in der letzten Zeit mehrfach untergekommen, dass Websites per
>> FTP verändert wurden. Also dass Dateien heruntergeladen, mit
>> JavaScript-Code oder iframe versehen werden und wieder hochgeladen werden.
>
> Sicher? Wer macht denn das?
zwar IP-Adressen, aber das dürften ebenfalls gehackte Server sein.
> Üblicherweise wird doch durch ein unsicheres (PHP-)Script auf den
> Server eingedrungen und von dort aus direkt "vor Ort" die Seiten
> verändert.
>
> Ausgerechnet Daten über FTP herunter- und dann wieder hochzuladen
> erscheint mir ... ungewöhnlich und unnötig kompliziert.
>> Da verschiedene Kunden, verschiedene Provider, verschiedene Server
>> betrifft, kann die Ursache eigentlich nur eine Malware sein. Die
>> FTP-Angriffe passieren nämlich gezielt, d.h. es waren keine
>> brute-force-Attacken. Es wäre halt interessant zu wissen, welche Malware
>> das ist und wie sie zu erkennen ist, um die infizierten Rechner konkret
>> zu ermitteln.
>
> Die erste Frage, die ich mir stellen würde, wäre, ob tatsächlich
> sicher feststeht, daß per FTP Daten herunter- und wieder hochgeladen
> wurden.
eindeutig identifizierbar, dass der owner der FTP-User und nicht der
HTTP-Daemon ist.
> Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
> zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
> auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
> nicht, sollte man sich nur bedingt wundern. ;)
Malware die Zugangsdaten abgegriffen hat. Wenn sie dies beim
Clientprogramm tut, hilft auch nicht die verschlüsselte Übertragung zum
Server.
Peter Mueller
Jan 20, 2012, 6:42:48 AM1/20/12
to
Stefan Dreyer schrieb am 20.01.2012 12:33:
>> Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
>> zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
>> auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
>> nicht, sollte man sich nur bedingt wundern. ;)
>
> Das hilft leider auch nur bedingt. Ich möchte ja gerne wissen, welche
> Malware die Zugangsdaten abgegriffen hat. Wenn sie dies beim
> Clientprogramm tut, hilft auch nicht die verschlüsselte Übertragung zum
> Server.
Ja. Könnte doch jeder beliebige Keylogger sein!
>> Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
>> zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
>> auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
>> nicht, sollte man sich nur bedingt wundern. ;)
>
> Das hilft leider auch nur bedingt. Ich möchte ja gerne wissen, welche
> Malware die Zugangsdaten abgegriffen hat. Wenn sie dies beim
> Clientprogramm tut, hilft auch nicht die verschlüsselte Übertragung zum
> Server.
Grüße,
Peter
Thomas Hochstein
Jan 21, 2012, 5:01:03 AM1/21/12
to
Stefan Dreyer schrieb:
> On 01/20/12 00:39, Thomas Hochstein wrote:
>> Die erste Frage, die ich mir stellen würde, wäre, ob tatsächlich
>> sicher feststeht, daß per FTP Daten herunter- und wieder hochgeladen
>> wurden.
>
> Ja, das ist sicher. Die FTP-Logfiles lügen nicht und auch dadurch
> eindeutig identifizierbar, dass der owner der FTP-User und nicht der
> HTTP-Daemon ist.
Ah, okay, sorry. Das hatte ich überlesen, daß das aus den Logs
hervorgeht.
>> Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
>> zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
>> auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
>> nicht, sollte man sich nur bedingt wundern. ;)
>
> Das hilft leider auch nur bedingt. Ich möchte ja gerne wissen, welche
> Malware die Zugangsdaten abgegriffen hat.
Die Frage ist doch zunächst mal, ob überhaupt Zugangsdaten auf dem
Client abgegriffen wurden.
> Wenn sie dies beim
> Clientprogramm tut, hilft auch nicht die verschlüsselte Übertragung zum
> Server.
Klar. Theoretisch kommt da dann natürlich eine nahezu beliebige
Vorgehensweise in Betracht.
Fragen zu spezifischer Malware (also bspw., ob eine solche mit dieser
Charakteristik "in the wild" ist) wirst Du, wenn in de.* überhaupt,
vermutlich am ehesten in de.comp.security.virus (hilfsweise:
de.comp.security.misc [1]) finden.
-thh
[1] Eigentlich dort off-topic, aber ich weiß nicht, wie
lebendig/kompetent die *.virus-Gruppe derzeit ist.
> On 01/20/12 00:39, Thomas Hochstein wrote:
>> Die erste Frage, die ich mir stellen würde, wäre, ob tatsächlich
>> sicher feststeht, daß per FTP Daten herunter- und wieder hochgeladen
>> wurden.
>
> Ja, das ist sicher. Die FTP-Logfiles lügen nicht und auch dadurch
> eindeutig identifizierbar, dass der owner der FTP-User und nicht der
> HTTP-Daemon ist.
hervorgeht.
>> Danach würde ich prüfen, ob nur verschlüsselte FTP-Verbindungen (also
>> zumindest eine Verschlüsselung der Paßwortübertragung, am besten aber
>> auch eine Verschlüsselung des Datenverkehrs) zugelassen werden. Wenn
>> nicht, sollte man sich nur bedingt wundern. ;)
>
> Das hilft leider auch nur bedingt. Ich möchte ja gerne wissen, welche
> Malware die Zugangsdaten abgegriffen hat.
Client abgegriffen wurden.
> Wenn sie dies beim
> Clientprogramm tut, hilft auch nicht die verschlüsselte Übertragung zum
> Server.
Vorgehensweise in Betracht.
Fragen zu spezifischer Malware (also bspw., ob eine solche mit dieser
Charakteristik "in the wild" ist) wirst Du, wenn in de.* überhaupt,
vermutlich am ehesten in de.comp.security.virus (hilfsweise:
de.comp.security.misc [1]) finden.
-thh
[1] Eigentlich dort off-topic, aber ich weiß nicht, wie
lebendig/kompetent die *.virus-Gruppe derzeit ist.
0 new messages