FTP Logindaten gestohlen Hallo! Ich habe Zugang zu mehreren FTPs. Die Zugangsdaten sind verschlüsselt im Total Commander gespeichert. Niemand hat Zugang zu meinem Rechner und die Daten habe ich nicht an Dritte weitergegeben. Seit dem 07.07.2008 kann sich nun jemand mit meinem Namen und Passwort einloggen. Es sind immer verschiedene Namen und Paswörter. Er besitzt die IP 209.160.22.98 ACHTUNG: Diese IP bitte nicht mit dem IE aufrufen. In einigen Index-Dateien wurde code eingefügt. Falls der benötigt wird poste ich ihn hier noch. Nun mein Problem: AntiVir findet nichts. HiJackthis findet auch alles okay. Malwarebytes Anti-Malware findet: C:\Programme\Internet Explorer\SETUPAPI.DLL (Trojan.BHO) -> No action taken. Womit kann ich noch scannen? Mein BS: Windows XP SP3 Danke, Chris |
*hust* myXOOPS.org - Fremder Code in der index.php [Forum - Sicherheit von XOOPS] *hust* Da sind schonmal viele Antworten. Wenn man dann außerdem mal die IP googled, kommen ziemlich Aufschlussreiche Ergebnisse.. EDIT: Hab die IP eben abgesichert mit dem IE7 aufgerufen, die Seite sieht nicht verseucht aus, da steht nur "Apache is functioning normally" |
Hi, Zitat:
Nachdem ich diesen Server aber nicht über seine IP sondern mit einem auf ihn zeigenden Domainnamen angesteuert habe, bekam ich auch prompt ein Javascript geliefert dass einen Iframe entschlüsselt und dann ins Dokument schreibt, der wiederum auf eine andere Seite zeigt, wo es dann einen Exploit gibt. Irgendwie egal, die sind international tätig und wir werden sie sowieso nicht stoppen können. Die haben mit Sicherheit schon mehrere Server in mehreren anderen Ländern als Ausweichquartiere. Bleibt also die Frage, wie sie zu dem FTP kommen. Da tippe ich erstmal auf den Computer, von dem aus die FTP-Passwörter benutzt wurden. Also mal mit einem Hijackthis anfangen und dann weitersehen. Gruß, Karl |
Hallo! Erstmal danke für eure Antworten. Ich habe nun alle Rechner mit Malwarebytes Anti-Malware gecheckt. Rechner 1: Infizierte Dateien: C:\Install (Rogue.Multiple) -> Quarantined and deleted successfully. Rechner 2: Infizierte Dateien: C:\Install (Rogue.Multiple) -> Quarantined and deleted successfully. Rechner 3: Sauber Nun zu HiJackThis: Rechner 1: HTML-Code: Logfile of Trend Micro HijackThis v2.0.2 HTML-Code: Logfile of Trend Micro HijackThis v2.0.2 HTML-Code: Logfile of Trend Micro HijackThis v2.0.2 |
Direkte Infektionen sind zwar auf keinem System zu sehen, aber:
Aber zumindest Sachen wie ntos.exe sind nirgendwo erkennbar. Die war nämlich schon öfter der Grund für einen verratenen FTP-Zugang. |
Hallo! Dann hat sich der Dieb die Daten schon vor Monaten geholt? Das aktuelle System läuft seit dem 07.04.2008. Nur von diesem Rechner nutze ich die FTP-Verbindung. Hat denn der Dieb meine Eingaben geloggt, oder wie kommt der an diese Daten. Im Total Commander gebe ich es ja nicht per Hand ein, sondern klicke auf eine FTP-Verbindung. Die Daten dazu sind verschlüsselt in einer Datei im Windows-Verzeichnis. Gruß, Chris |
Hallo! Ich habe nochmal mit AntiVir gescannt. Dies ist der Rechner mit XP SP3. HTML-Code: Beginne mit der Suche in 'C:\' Gruß, Chris |
Hallo! Hier das Ergebnis von eScan. HTML-Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
Relevant für dein Problem finde ich diese Funde nicht. Bei Escann kommt hinzu, dass das Programm mit Fehlalarmen um sich schmeißt. Bei den Dateien unterhalb von D:\Documente\Internet\Webseiten\Eigene wirst Du vermutlich besser wissen können, wie verdächtig sie sind. Aber selbst wenn: "not-virus:BadJoke.Win32.Badgame" ist eben kein Virus sondern nur ein schlechter Scherz. Dann ein Hinweis auf diese Software. Bei denen hier werde ich schon wieder richtig sauer und verfluche Escann: Zitat:
Die ist eventuell noch interessant: C:\Dokumente und Einstellungen\xp-2200\Lokale Einstellungen\temp\patcher\patcher3328\stagingarea\1111.exe, ich vermute aber auch einen Fehlalarm. Alles was Escann als "offending" meldet wird einfach gemeldet, weil es einen bestimmten Namen hat, ohne dabei auch nur zu berücksichtigen, in welchen Verzeichnis der Name auftritt. Für einen genaueren Check einer Datei bietet sich immer VirusTotal an. Ich fürchte, dass es darauf hinauslaufen wird, erstmal zu beobachten, ob es zu weiteren unautorisierten Zugriffen auf die Seiten kommt (alle Zugriffsdaten sind ja geändert). Wenn nicht, wird die Ursache ungeklärt bleiben, aber immerhin ist das Problem auch weg. wenn Du ganz gründlich sein willst, dann setzt du ein System neu auf um es in Zukunft nur für solche Sachen zu nutzen. Alternativ ein System das von CD startet. Wie sicher die im Total Commander gespeicherten Passwörter sind, habe ich keine Ahnung. Aber beachte, dass es z.B. diese Software gibt. Da kommen mir gewisse Zweifel. |
Zitat:
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:38 Uhr. |
Copyright ©2000-2024, Trojaner-Board