[Postfixbuch-users] FYI: Gehacktes Password festgestellt (FTP-Logins von mehreren dt. Servern erfolgt)

Sven Schumacher sschu at computerteam.de
Fr Aug 23 10:24:23 CEST 2013


Hallo,

auf einem meiner Server wurde ein Passwort (von einem zum Glück nicht 
genutzten Webaccount gehackt).
In Fail2Ban-Logs tauchen dazu leider keine passenden Versuche auf, so 
dass ich davon ausgehen muss, dass das Passwort bei einem externen 
Anbieter irgendwo auch nochmal verwendet wurde und dort erspäht wurde.
Wie die bösen Buben dann den Benutzernamen auf meinem Server zu dem 
Passwort zuordnen konnten, ist mir dennoch ein Rätsel.
Ich konnte allerdings einige FTP-Logins feststellen, von verschiendenen 
Servern/Clients, u.a. auch deutscher Provider.
Sollte also hier jemand mitlesen, der sich für diese Server zuständig 
fühlt oder jemanden kennt, der... bitte Bescheid geben, auf Anfrage 
teile ich auch dann gerne zu den entsprechenden Servern die Zeitpunkte 
mit, wann der Zugriff erfolgte:

miller.makeinteractive.co.uk
5.167.241.89
75.125.222.42
ayb2.internetdsl.tpnet.pl   (<-- der Zugriff fiel letztlich auf wg. 
Upload von ftpchk3.php)
q1-150.quad-srv.de
h2156296.stratoserver.net
ns36888.ovh.net
static.109.71.9.5.clients.your-server.de
46.147.94.118
just55.justhost.com
cp4.webserver.pt
83.137.144.157
xray541.server4you.de
93.179.237.194
host3.difhosting.com
77.120.117.215
ods4.schule.de
lsh1001.lsh.siteprotect.com
vserver3078.vserver-on.de
srv23.sysproserver.de
77.120.117.215

Neben oben besagtem ftpchk3.php-Upload, wurde entweder in den 
FTP-Sessions nichts verändert, lt. xferlog, oder wenn aber, dann das 
webalizer-Verzeichnis heruntergeladen, bzw. Dateien dahinein hochgeladen.
So, und um nun die Kurve zu Postfix zu bekommen: nach dem ftpchk3.php 
Upload wurde eine Datei mit Namen "sys0972300-1.php" hochgeladen, über 
die dann SPAM verschickt wurde... Die entsprechenden Bounces hab ich 
dann glücklicherweise abbekommen, so dass der Mißbrauch des Passworts 
auffiel.

Schöne Grüße

Sven Schumacher





Mehr Informationen über die Mailingliste Postfixbuch-users