Moin!

Ändere unbedingt dein FTP-Passwort.

Das wird ihm vermutlich nichts bringen.

Doch. Denn wie Marco bereits gesagt hat, war sein altes Passwort viel zu kurz und bestand nur aus Ziffern. Sowas kann man mit Leichtigkeit durch Ausprobieren erraten, da muss niemand irgendwas sniffen.

Du bist innerhalb von relativ kurzer Zeit der dritte oder vierte Webspace-Inhaber, der sich hier im Forum mit einer infizierten Website meldet. Das kann nicht alles aufgrund von irgendwelchen Sicherheitslücken in verwendeten PHP-Skripten passieren, sondern dürfte eher an mangelnder Passwortsicherheit liegen.

Unsinn, wage ich zu behaupten. Nicht, weil es niemanden gäbe, der so dumm ist und etwas à la „passwort“ als Passwort verwenden täte, sondern weil es Schadprogramme, die den Netzwerkverkehr mitlesen und abgefangene Zugangsdaten weiterleiten, seit weit über 10 Jahren gibt.

Du meinst also, mangelnde Passwortsicherheit ist ein Hirngespinst? Sonst würdest du meine Aussage ja nicht als Unsinn bezeichnen.

Ich habe es schon selbst erlebt, wie sich "Admins" schnell mal einen User-Account mit Passwort angelegt haben, und dessen Zugangsdaten dann innerhalb von 24 Stunden durch Ausprobieren gefunden und innerhalb von 5 Minuten nach dem ersten Login-Erfolg des Bots von dem unautorisierten Eindringling ausprobiert und für seine Zwecke eingesetzt wurden. In einem konkreten Fall wurde dieser Einbruch eher zufällig entdeckt, weil der installierte IRC-Server plötzlich 100% eines CPU-Kerns belegt hat, was im Monitoring dann doch aufgefallen ist.

Passwortraterei macht man vielleicht da, wo Passworte verschlüsselt übertragen und nur einzelne Zugänge angegriffen werden sollen, aber doch nicht im Falle von FTP (wo gewissermaßen jeder mitlesen kann) und der Manipulation von Webseiten auf zweifelsohne unzähligen Domains (was mit Passwortraterei Jahrhunderte dauern würde).

Du hast keine Ahnung, was man als Server-Betreiber so abwehren muss. Passwort-Scanning ist absolut normaler Standard, meine Logfiles vom SSH-Server sind voll davon (FTP natürlich nicht, weil unverschlüsselt). Sniffen ist wesentlich schwieriger, als Scannen, und weil die bösen Buben reichlich Dronen in ihren IRC-Botnetzen haben, die auf Kommando ganze IP-Bereiche mit Standard-Usernamen und -Passworten scannen, und es immer irgendwelche Treffer gibt, ist das "Raten" von Passworten heutzutage einfach der einfachste Standardfall, auf den man trifft, wenn irgendwas "gehackt" wurde. Denn es wurde nicht "gehackt", es wurde die Blödheit des Account-Inhabers beim Passwortgenerieren ausgenutzt.

Gerade erst vor einigen Monaten gab's einigen Tumult wegen massenhaft verbreiteter PDF-Dokumente, die eine der Sicherheitslücken in Adobes PDF-Reader ausnutzen (und die Unbedarfheit aller, die ein Windows-Administratorenkonto fürs tägliche Allerlei einsetzen), um einen Netzwerksniffer zu installieren, der seinerseits FTP-Zugangsdaten abfängt und weiterleitet. Aufgefallen ist das alles wie? Durch auf „mysteriöse Weise“ immer wieder an die Webseiten angehängten Javascript-Code.

Klar, wäre möglich. Das wäre dann aber die nächste Erklärungsstufe, wenn Marco tatsächlich ein sicheres Passwort verwendet hätte.

Denn dein Szenario würde bedeuten, dass deutlich komplexere Dinge hätten ablaufen müssen:

• Marco hättet so ein PDF bekommen müssen
• es hätte durch den Spam-Filter durchgehen müssen [*]
• es hätte den Virenscanner passieren müssen [*]
• er hätte es öffnen müssen, ohne vorher mißtrauisch zu werden
• mit einem anfälligen Adobe-Reader
• auf einem angreifbaren Betriebssystem
• danach hätte der Sniffer erfolgreich installiert werden müssen
• und dann das Passwort abgreifen können
• welches zufällig schwach ist, weil kurz und nur aus Ziffern bestehend

[*] optional

Mein Szenario:

• Der Angreifer scannt den FTP-Zugang
• und hat mit seinen Account- und Passwortlisten Erfolg
• weil das tatsächliche Passwort nur Ziffern enthielt und kurz war

Welches Szenario ist wahrscheinlicher?

Kurzum:
5. Hoster suchen, der ein sichereres Protokoll als FTP unterstützt (was zugegebenermaßen schon für sich nicht ganz einfach ist und möglicherweise andere Probleme mit sich bringt, weil dann zwar die Übertragung sicher ist, aber das Angebot des Hosters gleichzeitig Dinge zulässt, von denen Unerfahrene besser die Finger lassen).

1&1 beispielsweise bietet zwar in allen ihren Dokumentationen FTP als Zugang an, aber mit denselben Zugangsdaten kann man auch SFTP machen. Einfach im Upload-Programm umstellen, und geht (vorausgesetzt, das Programm kann sowas - ich empfehle WinSCP, aber Filezilla kanns z.B. auch).

- Sven Rautenberg