BSI-Warnung: 200.000 FTP-Passwörter gestohlen

Dieses Thema im Forum "Security" wurde erstellt von Der Neue, 29. Mai 2014.

  1. Der Neue

    Der Neue Member

    Registriert seit:
    23. Mai 2005
    Beiträge:
    181
    "Das Bundesamt für Sicherheit in der Informationstechnik hat aus einer unbekannten Quelle Zugangsdaten für tausende von FTP-Servern erhalten. Über die Server wird jetzt Schadcode verteilt. Über 600 deutsche Provider sind betroffen."
    Quelle: heise.de

    Na? Jemand von euch dabei?
     
  2. jodost

    jodost Eingetragener Provider

    Registriert seit:
    23. März 2004
    Beiträge:
    782
    Firmenname:
    D&T Internet GmbH
    Anbieterprofil:
    Klick
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    bisher laut CERT-Bund zwei FTP-Accounts einer Privatkundentochter.

    Verglichen mit der Aktion mit den geklauten Mail-Zugangsdaten Jahresanfang klingt das nach wenig Arbeit dieses Mal :)
     
  3. kkeppler

    kkeppler Eingetragener Provider

    Registriert seit:
    12. Juni 2003
    Beiträge:
    1.895
    Ort:
    Erlangen
    Firmenname:
    Keppler IT GmbH
    Anbieterprofil:
    Klick
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    Wir hatten da auch ein paar Kandidaten.
    CERT hat anhand des Servernamens in den FTP-Zugangsdaten jeweils die IP herausgesucht und über deren ASN den Abuse-Kontakt angeschrieben. Das führt zu "Falschtreffern" bei Domains, die inzwischen umgezogen sind.
    Außerdem sind die Daten (teilweise?) recht alt - bei einem Account wissen wir, dass das angemeckerte Passwort vor weit über einem Jahr geändert wurde.
     
  4. Web-Service4U

    Web-Service4U Eingetragener Provider

    Registriert seit:
    8. September 2010
    Beiträge:
    244
    Geschlecht:
    männlich
    Ort:
    Pasewalk
    Firmenname:
    Web-Service4U
    Anbieterprofil:
    Klick
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    Guten Morgen,

    wir hatten 19 Fälle, von denen 8 Falschtreffer waren.

    Internette Grüße
    Reiko
     
  5. RichBone

    RichBone Geprüfter Provider

    Registriert seit:
    7. August 2006
    Beiträge:
    2.155
    Ort:
    Eisenhüttenstadt
    Firmenname:
    RB Media Group GmbH
    Anbieterprofil:
    Klick
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    Hallo

    bei uns waren auch 31 Kunden betroffen, die Kunden wurden von uns Informiert, wie weit die Daten noch gültig waren, kann ich aktuell nicht sagen.

    Mit freundlichen Grüßen

    Martin Krüger
     
  6. Lars1973

    Lars1973 New Member

    Registriert seit:
    15. Mai 2013
    Beiträge:
    12
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    Gibt es da schon nähere Infos zum Einbruchs-Vektor (also wie die an die Passwörter gelangt sind) ?
     
  7. discountnetz-hosting

    discountnetz-hosting Eingetragener Provider

    Registriert seit:
    24. Mai 2011
    Beiträge:
    34
    Ort:
    Lohsa
    Firmenname:
    Discountnetz Hosting
    Anbieterprofil:
    Klick
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    Hallo :)
    ich vermute mal durch Trojaner auf dem heimischen Rechner im Zusammenspiel mit dem FileZilla FTP-Clienten. FileZilla speichert in der Default-Einstellung auch heute noch alle Zugangsdaten zu FTP-Servern im Klartext ab.

    Freundliche Grüsse
    Jan
     
  8. Lars1973

    Lars1973 New Member

    Registriert seit:
    15. Mai 2013
    Beiträge:
    12
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    Hallo Jan,

    ich vermute dies auch - aber gibt es da schon eine Bestätigung bzw. eine Identifizierung des Trojaners ?

    Habe bereits im Netz gesucht, aber bisher nichts brauchbares finden können :-(


    Besten Dank
    Lars
     
  9. discountnetz-hosting

    discountnetz-hosting Eingetragener Provider

    Registriert seit:
    24. Mai 2011
    Beiträge:
    34
    Ort:
    Lohsa
    Firmenname:
    Discountnetz Hosting
    Anbieterprofil:
    Klick
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    Eine offizielle Bestätigung gibt es meines Wissens nicht. Es ist nur eine Vermutung von mir. Nur, wie kommt man an FTP-Zugangsdaten in der Größenordnung es liegt nahe Trojaner auf dem Rechner und FileZilla zu verdächtigen ;)

    Im Ernst, wenn man schon diesen FTP-Clienten benutzen möchte dann nur in dem Modus in dem der keine Passwörter und Zugangsdaten speichert.

    Eine persönliche Anmerkung sei mir noch gestattet. Ich finde es einfach unglaublich das so etwas heutzutage überhaupt noch möglich ist. Ein FTP-Client der Zugangsdaten und Passwörter im Klartext speichert und Entwickler die das ganz normal finden.... Man stelle sich mal vor der eigene Hoster würde Passwörter nicht gehasht und gesalzen speichern da bräche ein Sturm der Entrüstung los ;)

    Freundliche Grüsse
    Jan
     
  10. RichBone

    RichBone Geprüfter Provider

    Registriert seit:
    7. August 2006
    Beiträge:
    2.155
    Ort:
    Eisenhüttenstadt
    Firmenname:
    RB Media Group GmbH
    Anbieterprofil:
    Klick
  11. Web-Service4U

    Web-Service4U Eingetragener Provider

    Registriert seit:
    8. September 2010
    Beiträge:
    244
    Geschlecht:
    männlich
    Ort:
    Pasewalk
    Firmenname:
    Web-Service4U
    Anbieterprofil:
    Klick
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    Ich würde fast drauf wetten ...

    Internette Grüße
    Reiko
     
  12. NaTeK-ID

    NaTeK-ID Eingetragener Provider

    Registriert seit:
    25. Juni 2005
    Beiträge:
    323
    Firmenname:
    NaTeK UG (haftungsbeschränkt) & Co
    Anbieterprofil:
    Klick
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    Eine Falschmeldung
    Die IP liegt schon monatelang tot :)
     
  13. mbr89

    mbr89 New Member

    Registriert seit:
    14. Juni 2014
    Beiträge:
    1
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    ** English version below **

    Sie erhalten diese E-Mail als Kunde unseres Unternehmens, in der wir Sie auf eine mögliche Sicherheitslücke in Ihren Systemen hinweisen wollen. Diese E-Mail wurde für die Kundennummer XXXXXX versendet.

    You are receiving this mail as a customer of our company, since we want to inform you about a security issue on one of your systems. It was sent for the customer number XXXXXX.

    +++



    Sehr geehrte Damen und Herren,

    das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat uns eine Liste mit kompromittierten FTP-Zugangsdaten unserer Kunden bereitgestellt. In diesem Zusammenhang ist uns mindestens einer Ihrer Zugänge genannt worden.
    Weitere Informationen finden Sie zum Beispiel auf folgender externen Seite:

    http://www.heise.de/security/meldung/BSI-Warnung-200-000-FTP-Passwoerter-gestohlen-2210328.html

    Uns wurden folgende Daten genannt, die in Verbindung mit Ihrem Produkt oder Ihren Produkten stehen. Das Passwort haben wir in der angezeigten Form verschleiert (durch '*') erhalten, dazu wurden uns ein oder mehrere Zugänge in der Form

    IP: FTP-Loginname:FTP-Passwort@Hostname

    genannt. Sollten mehrere Ihrer Accounts betroffen sein, werden Ihnen diese direkt hintereinander aufgeführt:

    12.345.67.89: mustermann:******@mustermann.de mustermann:******@mustermann.de


    Wenn der FTP-Zugang nicht von Ihnen selbst genutzt wird, informieren Sie bitte den Besitzer und leiten Sie unsere E-Mail weiter.

    Diese Zugangsdaten wurden nach Auskunft des BSI von einem Botnetz erbeutet, der Zeitpunkt ist leider sowenig bekannt wie der Ursprung der Daten. Wir gehen nicht davon aus, dass in diesem Zusammenhang Sicherheitslücken bei Host Europe verantwortlich sind.

    Bitte gehen Sie daher folgendermaßen vor:

    1. Scannen Sie die in Frage kommenden Geräte, mit denen Sie den FTP-Account genutzt haben, auf Viren/Trojaner/Keylogger. Evtl. hat sich auf einem der in Frage kommenden Geräte Schadcode eingenistet.

    Für PC: Scannen Sie z.B. via BootCD mit Virenscanner. Dafür können Sie z.B. die kostenfreie 'DE-Cleaner Rettungssystem DVD' nutzen. Sie finden diese unter https://www.botfrei.de/rescuecd.html

    Zur Nutzung können wir leider keinen Support leisten. Die Anleitung, die Sie ebenfalls unter der genannten URL finden, sollte allerdings ausreichend sein.

    2. Ändern Sie anschließend die Zugangsdaten, bei allen Zugängen, die Sie auf den betroffenen Geräten genutzt haben. Denken Sie dabei an soziale Netzwerke, Online-Shops, Foren usw., aber auch an weitere FTP-Accounts oder Ihren KIS-Zugang.

    Hinweise für die Wahl eines guten Passwortes:
    http://www.rz.uni-konstanz.de/activekb/questions/165/Wie+sieht+ein+gutes+und+sicheres+Passwort+aus

    Die FTP-Zugangsdaten der einzelnen FTP-Konten können Sie bei einem Plesk-System im Plesk unter

    Start > Domains > Hosting Verwalten > Websites & Domains > Hosting-Einstellungen

    abändern.

    3. Prüfen Sie die eingesetzte Software auf Ihrem Server auf Kompromittierungen, also auf eingeschleusten Fremd- und Schadcode. Dabei kann es auch hilfreich sein, auf das Dateidatum der letzten Änderung zu achten. Oft werden Weiterleitungen oder iframes verwendet. Veränderte Dateien sind i.d.R. HTML-, PHP oder JavaScript-Dateien.

    Desweiteren sollten Sie prüfen ob für Ihr eingesetztes Betriebssystem offene Updates vorhanden sind und diese dann einspielen. Sollten Sie ein veraltetes Betriebssystem einsetzen, empfehlen wir den Produktwechsel auf ein aktuelles System.
    Informationen zum Produktwechsel finden Sie in dem folgenden Hilfe-Artikel:

    http://faq.hosteurope.de/index.php?cpid=11421

    Weitere hilfreiche Informationen finden Sie auf der Website des BSI:
    https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/meinPC_node.html

    Bitte beachten Sie, dass uns leider keine weiteren Informationen zu diesem Fall vorliegen, sehen Sie daher von Anfragen ab.
     
  14. RichBone

    RichBone Geprüfter Provider

    Registriert seit:
    7. August 2006
    Beiträge:
    2.155
    Ort:
    Eisenhüttenstadt
    Firmenname:
    RB Media Group GmbH
    Anbieterprofil:
    Klick
    AW: BSI-Warnung: 200.000 FTP-Passwörter gestohlen

    Hallo

    kommt recht spät die E-Mail.

    Übrigens nutzen alle betroffenen Kunden von uns Filezilla meist in einer veralteten Version.

    Mit freundlichen Grüßen

    Martin Krüger
     

Diese Seite empfehlen