Am Wochenende musste ich kurzfristig die Log-Files eines FTP-Servers unserer Gemeinde analysieren und kam zum Schluss, dass ein Bösewicht wohl an das FTP-Passwort gekommen sein muss. Die lange Fassung folgt noch. HIer mal vorab der Link, wie man die LogFiles verstehen kann: WU-FTPD – Manual: xferlog.5.
Hier ein Beispiel aus dem echten Leben:
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 /www/htdocs/xxxxxxxx/index.htm b _ o r yyyyyyyy ftp 0 * c
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 /www/htdocs/xxxxxxxx/index.htm b _ i r yyyyyyyy ftp 0 * c
Das bedeutet:
- Am 19.4.2011 um 14:02 wurde
- die Datei "index.htm" aus dem Rootverzeichnis (Verzeichnis anonymisiert)
- mit der Größe 65 Bytes heruntergeladen
- vom FTP-Benutzer yyyyyyyy von der IP-Adresse 174.37.220.147
- gelesen ("o" für "output").
- Und sofort danach mit der Größe 198 Bytes hoch geladen.
Weitere Infos findet man im WU-FTPD – Manual: xferlog.5.
Eine Website einer Kundin wurde am Apr 19 02:46:14 CET von derselben IPA durch Austausch der index.php gehackt. Unklar, woher das Passwort kam. Serversoftware irgendwas wie pure-ftpd.
Wir sind uns eigentlich auch ganz sicher, dass der Angreifer das Passwort nirgends ausspähen konnte. Für eine Brute-Force-Attacke gibt es aber auch keine Anhaltspunkte.
Im Administrationssystem des Providers steht es im Klartext. Es muss also auch im Klartext beim Provider stehen. Aber das jetzt auf den zu schieben, wäre auch etwas zu einfach…