Angriffswelle auf private Homepages

[phpBuddy]

Wie auf heise Security nachzulesen ist, rollt eine Angriffswelle auf private Webseiten zu. Wie man aus dem Artikel entnehmen kann, sind die Primärziele wohl Seiten bei großen Providern. Allein 1&1 meldet bis zu 20.000 infizierte Kunden Accounts. Dabei wird, vermutlich aufgrund extrem schwacher FTP Passwörter, ein Trojaner und eine HTML Seite auf der Präsenz abgelegt. Besucher der Seite werden dann zum installieren eines Updates für den Flash Player aufgefordert, was natürlich in Wirklichkeit der Trojaner ist. Näheres kann man bei heise nachlesen. Ebenso sollte man sich die 1 Minute Zeit nehmen und mal seinen FTP zu überprüfen, ob dort verdächtige Dateien liegen.

Artikel bei heise Security

[fuchzga]

Danke für die Info!
Zum Glück zeigt auf meinen Domains der FTP-Root nicht auf das Web-Root.
Neben dem schwachen Passwort muss der Angreifer ja auch den Username wissen.
Kann man denn bei 1&1 oder anderen Providern aus dem Domainnamen den Usernamen ableiten?
Es sei denn, der Provider hat plötzlich FTP per anonymus freigeschalten...

[phpBuddy]

Kann man denn bei 1&1 oder anderen Providern aus dem Domainnamen den Usernamen ableiten?

Hi,

ich weiß nicht wie das bei 1&1 ist, aber die Vermutung liegt nahe, dass bei den Benutzernamen ein System erkennbar ist. Bei anderen Providern, die Confixx einsetzten, heißen die Benutzernamen meist auch web5, web6, web7, usw und die Domain stellt die FTP Adresse dar. Paart man das dann mit simplen Passwörtern, ist es wohl recht einfach einen Account zu knacken.

[marc22]

Bei 1und1 ist es der Domainname

[fuchzga]

Ok, dann plädiere ich für auspeitschen!

"Schuld könnten Keylogger auf den PCs der Kunden oder unsichere FTP-Passwörter sein", sagte Andreas Maurer, Pressesprecher von 1&1, gegenüber heise Security.

Ja, is klar. Schuld sind immer die anderen.

[Sand*mann]

Bei 1und1 (zumindest bei mir) ist der Domainname der Username fürs CC, aber nicht fürs FTP.

[zulujaner]

Bei 1und1 (zumindest bei mir) ist der Domainname der Username fürs CC, aber nicht fürs FTP.

ebenso...

[maxi89]

Kann es sein, dass ganz besonders Shared-Hosting-Server attackiert werden?
Habe bei mir mal die Logfiles meines Servers angeguckt und habe kaum Loginversuche drinstehen - noja, zumindest nicht mehr als sonst auch (so um die 15-20 Versuche am Tag).

[phpBuddy]

Kann es sein, dass ganz besonders Shared-Hosting-Server attackiert werden?

Davon ist auszugehen, oder?! Leute die einen eigenen Server betreiben wissen meist damit umzugehen und wählen dementsprechend sichere Logins, während Otto Normal eher Passwörter nach dem Muster "Hasso" oder "150680" (Geb.-Datum 15. Juni 1980) nimmt, welche natürlich viel leichter zu knacken sind. Auch möglich das es Sicherheitslöcher in Serversoftware oder eingesetzten Scripts (CMSs, Shopsysteme, o.ä.) sind. Wer weiß das schon so genau?

[maxi89]

Bin nun auch "endlich" Ziel einer solchen Attacke geworden.
Aber nun wirds etwas pikant: Der Server, der die Angriffe gefahren hat, steht im 1&1-Rechenzentrum