FTP-Login-Daten gestohlen

Hallo!

Ich habe Zugang zu mehreren FTPs.
Die Zugangsdaten sind verschlüsselt im Total Commander gespeichert.
Niemand hat Zugang zu meinem Rechner
und die Daten habe ich nicht an Dritte weitergegeben.

Seit dem 07.07.2008 kann sich nun jemand mit meinem Namen und Passwort einloggen.
Es sind immer verschiedene Namen und Paswörter.

Er besitzt die IP 209.160.22.98
ACHTUNG: Diese IP bitte nicht mit dem IE aufrufen.

In einigen Index-Dateien wurde code eingefügt.
Falls der benötigt wird poste ich ihn hier noch.

Nun mein Problem:
AntiVir findet nichts.
HiJackthis findet auch alles okay.

Malwarebytes Anti-Malware findet:
C:\Programme\Internet Explorer\SETUPAPI.DLL (Trojan.BHO) -> No action taken.

Womit kann ich noch scannen?

Mein BS: Windows XP SP3

Danke, Chris

 

Wie soll ich das verstehen? Loggt sich nun jemand mit deinem Namen/Kennwort ein oder versucht er es mit unterschiedlichen Namen/Kennwörtern?

Außerdem, seit dem 07.07.? Bis heute? Soll das heißen du hast die Login-Daten noch nicht geändert?

Lade die Datei bei virustotal und bei jotti hoch und gib das Ergebnis hier an.
http://www.virustotal.com/de/
http://virusscan.jotti.org/de/

Davon sollten sich mögliche Helfer selbst überzeugen können. Häng das HJT-Log als Anhang an den nächsten Beitrag.

 

Er loggt sich ganz regulär ein, so als wäre ich es selbst.

Ich habe es am 15.07.2008 bemerkt, weil meine Seite lahm wurde.

Die Daten wurden natürlich geändert.
Vermutlich wurden die Daten schon vor Monaten gesammelt
und am 07.07.2008 wurde zugeschlagen.

Hijack lasse ich gerade im Trojaner-Board checken,
ist aber nach meiner Auswetung sauber.

Ich möchte auh nur sicher gehen, das mein Rechner nun sauber ist,
den ich im April erst neu aufgesetzt habe.

Der Diebstahl könnte auch schon vorher passiert sein.

Die C:\Programme\Internet Explorer\SETUPAPI.DLL habe ich von
Malwarebytes Anti-Malware löschen lassen.
Sie existiert nicht mehr.

Chris

 

Hm, was genau willst du denn von nun von uns? Die verdächtige Datei ist gelöscht, das HJT-Log rückst du nicht raus. Also was bitte sollen wir tun wenn es von dir keine Info gibt?

 

Hallo!

Ich tippe mir bereits die Finger wund
und habe auch schon in ein anderes Forum geschrieben,
weil ich einfach verzweifelt bin,
das nun alle meine FTP-Passwörter in fremden Händen sind.

Ich weiß das Crossposting verpönt ist,
aber ich möchte nicht alles nochmal tippen müssen.
http://www.trojaner-board.de/56586-ftp-logindaten-gestohlen.html

Hoffentlich bringt ihr dafür Verständins auf.

Gruß, Chris

 

Musst du nicht "copy and paste".

 

Aha...
http://de.wikipedia.org/wiki/Copy_&_Paste

Ich dachte die Passwörter sind inzwischen geändert.

EDIT:
Außerdem, zurückholen kannst du die Passwörter eh nicht mehr.

 

Wenn ich jetzt alle Passwörter änder und immer noch Mist auf meinem Rechner habe, bekommt der Hacker doch gleich die neuen Passwörter.

Copy and Paste ist bei den Logfiles immer ein Problem.
Meist werden Backslashes entfernt.

 

Glaskugel: auf deinem Webspace läuft ein veraltetes/unsicheres/kaputtes (such dir was aus) CMS-Script, welches einfach per SQL-Injection übernommen wurde. Das hat mit deinem lokalen Rechner und den FTP Zugängen rein gar nichts zu tun. Vermutlich kennt der Angreifer noch nicht mal die Zugangsdaten (brauch er auch nicht).

 

Gut erkannt. Da hilft dann nur Neuaufsetzen des Rechners. Und in Zukunft nicht mehr die Passwörter auf dem Rechner mit Internetzugang speichern. Man sollte Passwörter sowieso nicht speichern oder aufschreiben und schon gar nicht auf einem Rechner der Zugang zum Internet hat.


EDIT:
Kollege kalweit bringt einen anderen Ansatz in die Diskussion, aber grundsätzlich bleibt mein Hinweis bestehen, zukünftig keine Passwörter mehr auf dem Rechner zu speichern.

 

Verstehe ich nicht.

Wie kommt er dann auf den FTP?

Denn da war er 100%.

Auch in Verzeichnissen, die mit .htaccess geschützt sind.

 

Die stehen ja auch nicht auf dem Rechner.
Sind verschlüsselt im Total Commander gespeichert.
Ist ähnlich wie bei Thunderbird.


Und wäre es SQL-Injection gewesen,
wie kommt er dann auf die anderen Server bei einem ganz anderen Hoster?

 

Wie kommst du darauf? Hast du einen Log vom FTP-Server? Die Daten wurden vermutlich über einen manipulierten Request auf ein fehlerhaftes Skript (ich vermute mal, du benutzt PHP) eingespielt. Im Grunde kann dazu jedes auf dem Server installierte Script verwendet werden, dass von extern übermittelte Variableninhalte nicht hinreichend prüft/bereinigt.

Das schützt nur gegen direkte Anfragen über den Webserver. Serverscripte arbeiten aber auf Dateisystemebene - d.h. die interessieren sich nicht für eine .htaccess

Dann solltest du die Seite zur Sicherheit aller vom Netz nehmen.

 

Kurze Zwischenfrage:
Welcher von deinen Rechnern ist denn nun der Problem-PC? Wenn ich mir deine HJT-Logs so ansehe dann weiß ich bei Rechner 3 nicht ob ich lachen oder weinen soll...

Bitte sag mir dass diese Kiste nie Kontakt zum Internet hatte...

 

...ohne aussagekräftige Logfiles ist jede Ursachenforschung sinnfrei. Wenn jemand die Passwörter hat, dann müssen die Zugriffe in den Logs des Systems oder des Dienstes verzeichnet sein. Nur die Aussage "Dateien sind geändert/ausgetauscht" lässt keine seriöse Diagnose zu.

 

Die Logfiles der FTP-Zugriffe habe ich von meinem Hoster.

Er hat auch seinen Server gecheckt.

In dem Logfile steht, das ich mit meinen Daten auf dem FTP die index.php geändert habe.

Das kann aber nicht sein, weil diese IP nicht von meinem ISP stammt,
sondern von einer Domain.

Der Rechner ohne SP hat definitiv keinen Zugang zu den FTPs.

 

Nehmen wir das mal so hin. Benutzt du irgendwelche Dienste, um z.B. von unterwegs Daten per FTP aufzuspielen. Benutzt du irgendwelche Proxies oder fremde WLANs (z.B. in Hotels) zum Datentransfer?

 

Nein, nichts dergleichen.

Zugang zum FTP habe ich nur von einem einzigen Rechner.

Chris