Laut Logs fanden direkte FTP-Logins statt.

Unverschlüsseltes FTP?

Da können die Passwörter z.B. auch durch die Nutzung eines ungesichertes WLAN bekannt geworden sein.

Abschalten. Umsteigen auf ssh und Winscp. Am besten mit Schlüsseldateien.

Jörg Reinholz

Meine Herren!

Daher denke ich, dass nicht über das CMS eingebrochen wurde.

Nenn das Pferd doch endlich beim Namen. Nur weil der FTP-Server für den Angriff benutzt wurde, ist das Web-CMS damit noch nicht aus dem Verhör entlassen.

Nachtrag:

Gibt es die Möglichkeit, dass direkt über mögliche Sicherheitslücken in die FTP-Server bei 1und1 eingebrochen wurde und dort die FTP-Nutzer gekapert werden konnten (auch ohne Passwort)?

Die gibt es stets, das ist aber weniger wahrscheinlich.

das hatte ich bei einigen Kunden, die sich als Webdesigner bezeichnen, nun schon ein paar Mal. Zumindest waren jedes mal die Kisten mit einem Virus oder Trojaner verseucht. Manche scheinen  immer noch nicht zu wissen, dass Windosen ohne Antiviren-Software ins Unglück führen. Das sind Leute, die FTP-Passwörter in den Editoren speichern. Und natürlich FTP zur Datenübertragung nutzen.

Sorry, ich hatte das auf Kapern von FTP-Passwörtern via Virus vom heimischen Rechner bezogen. Eine Sicherheitslücke bei 1und1 schließe ich ebenfalls fast aus.

Hallo,

ich arbeite mit Windows 7 Home Premium, FileZilla (Passwörter im Klartext), PS-Pad (Passwörter irgendwie codiert).

welche Antivirensoftware nutzt du? Das System ist 100% viren/trojanerfrei? Das Kapern von Passwörtern vom heimischen Rechnern kann durchaus einige Zeit zurückliegen. Das muss nicht gestern gewesen sein. Die Betreiber von Botnetzen arbeiten gerne in Intervallen.

Mir sind die möglichen Gefahrenquellen meines Arbeitssystems durchaus bewusst. Wer mich per Bundestrojaner oder eingeschleustem Code ausspäht, könnte sicher einiges finden. Nur für den aktuellen Fall glaub ich nicht, dass dies so war. Denn einer der verwendeten FTP-Zugänge war mir nie bekannt. Habe aus oranisatorischen Gründen hier stets einen seperaten Zugang genutzt. Im FTP-Log wurde aber mit dem mir unbekannten Zugang Schindluder getrieben.

Wann hast du die FTP-Zugangsdaten das letzte mal geändert? Wir das regelmäßig gemacht? Wenn nicht, dann sollte das getan werden.

Vielleicht wurden ja irgendwo Mail-Server gehackt, auf denen E-Mails mit den Passworten drin gespeichert waren.

unwahrscheinlich. Sind schlecht maschinenauslesbar. Da müsste ein Mensch ran.

Auch die "Sniffer"-Version passt mir nicht so recht, da müsste der Angreifer bei der einen Seite schon vor mind. einem Jahr gesnifft haben. Da hab ich nämlich ewig nicht eingeloggt. Nur um "heute" koordiniert zuzuschlagen?

Ne, da snifft keiner im WLAN. Sehr unwahrscheinlich. Nur um  3 Passwörter zu klauen und dann irgendeinen automatisierten Mist in den Code zu schleusen?