Hallöle miteinander!
Ich habe da mal eine Frage:
Kurz vor Ostern hat sich mein McAfee (Enterprise, mit Antispyware-Modul) mit einer Warnung gemeldet: Trojaner entdeckt und auch gleich gesäubert. Prima, dachte ich.
Als er dann aber weitere Varianten meldete (und säuberte), habe ich erst mal das Netzwerkkabel gezogen, neu gestartet, ge-HijackThissed, Spybotted, Cache & Temp Dateien gelöscht, RegClean etc. - der übliche Affentanz eben.
:motz:
Zwei Tage später dann, am Karfreitag, fiel mir erst mal die Kinnlade runter:
Mein FTP-Log verkündete mir nämlich, dass der FTP kompromittiert war. Jemand hatte sich mit meinen Logindaten (und zwar mit allen den verschiedenen, die ich habe) auf meinem FTP eingeloggt, und meine Webseite mit einem hübschen, versteckten IFrame "verziert". Einem infizierten, natürlich...
:evil:
Gott sei Dank prüfe ich die Logs täglich, glücklicherweise auch am Karfreitag. Der "Einbruch" fand morgens um kurz nach Achte statt, um halb Eins hatte ich ihn bemerkt und sofort den Schaden behoben.
FTP-Dienst abgeschaltet, alle Logins geändert, den Server, auf dem der FTP läuft, gecheckt (sauber), mein komplettes Webroot-Verzeichnis gelöscht und dann das saubere Paket des aktuellen Stands der Website wieder hochgeladen.
Anhand der verwendeten Logins wusste ich natürlich sofort, dass dies der Urheber des Trojaners und somit Empfänger des Datenstroms war.
Ich also den McAfee auf paranoide Sicherheitseinstellung gesetzt und gleich noch die Comodo Firewall dazu installiert.
Seither kam "mein" Hacker bereits 6 Mal zurück und versuchte (erfolglos), sich auf den FTP einzuloggen.
Leider, leider: Meine Logdatei zeigt bei jedem Versuch bis zu 18 verschiedene IPs für diesen Drecksack, die in USA, Kanada, Frankreich, Schweden, Bulgarien, etc. beheimatet sind...
Ich habe also keine Chance ihn zu identifizieren. Oder doch? :gruebel:
Das ist jetzt meine große Frage:
Momentan kommt der $%§ nicht mehr rein und kann also auch nix mehr anstellen. Allerdings kommt er immer wieder zurück und versucht's, das letzte mal gestern abend. Und Ihr kennt ja Murphy's Gesetz: irgendwann schafft er's vielleicht doch. Und selbst wenn nicht, will ich ihm nicht die Chance lassen, irgendwann aus Rache, dass er nicht mehr reinkommt, eine DoS-Attacke vom Stapel zu lassen.
Ich lasse mittlerweile Peer Guardian auf meinem Server laufen, aber auch dessen Historie zeigt zum Zeitpunkt der Versuche leider nichts Auffälliges.
Könnt Ihr mir - außer "Sei wachsam und schütz dich" - irgendetwas raten, womit ich dieser Ratte ans Leder kann? Hier geht es im Falle des Falles um einen unter Umständen äußerst unangenehmen Datenklau, und eventuell sogar Firmenspionage!!
Danke für jeden Tipp!
Murphy
Ich habe da mal eine Frage:
Kurz vor Ostern hat sich mein McAfee (Enterprise, mit Antispyware-Modul) mit einer Warnung gemeldet: Trojaner entdeckt und auch gleich gesäubert. Prima, dachte ich.
Als er dann aber weitere Varianten meldete (und säuberte), habe ich erst mal das Netzwerkkabel gezogen, neu gestartet, ge-HijackThissed, Spybotted, Cache & Temp Dateien gelöscht, RegClean etc. - der übliche Affentanz eben.
:motz:
Zwei Tage später dann, am Karfreitag, fiel mir erst mal die Kinnlade runter:
Mein FTP-Log verkündete mir nämlich, dass der FTP kompromittiert war. Jemand hatte sich mit meinen Logindaten (und zwar mit allen den verschiedenen, die ich habe) auf meinem FTP eingeloggt, und meine Webseite mit einem hübschen, versteckten IFrame "verziert". Einem infizierten, natürlich...
:evil:
Gott sei Dank prüfe ich die Logs täglich, glücklicherweise auch am Karfreitag. Der "Einbruch" fand morgens um kurz nach Achte statt, um halb Eins hatte ich ihn bemerkt und sofort den Schaden behoben.
FTP-Dienst abgeschaltet, alle Logins geändert, den Server, auf dem der FTP läuft, gecheckt (sauber), mein komplettes Webroot-Verzeichnis gelöscht und dann das saubere Paket des aktuellen Stands der Website wieder hochgeladen.
Anhand der verwendeten Logins wusste ich natürlich sofort, dass dies der Urheber des Trojaners und somit Empfänger des Datenstroms war.
Ich also den McAfee auf paranoide Sicherheitseinstellung gesetzt und gleich noch die Comodo Firewall dazu installiert.
Seither kam "mein" Hacker bereits 6 Mal zurück und versuchte (erfolglos), sich auf den FTP einzuloggen.
Leider, leider: Meine Logdatei zeigt bei jedem Versuch bis zu 18 verschiedene IPs für diesen Drecksack, die in USA, Kanada, Frankreich, Schweden, Bulgarien, etc. beheimatet sind...
Ich habe also keine Chance ihn zu identifizieren. Oder doch? :gruebel:
Das ist jetzt meine große Frage:
Momentan kommt der $%§ nicht mehr rein und kann also auch nix mehr anstellen. Allerdings kommt er immer wieder zurück und versucht's, das letzte mal gestern abend. Und Ihr kennt ja Murphy's Gesetz: irgendwann schafft er's vielleicht doch. Und selbst wenn nicht, will ich ihm nicht die Chance lassen, irgendwann aus Rache, dass er nicht mehr reinkommt, eine DoS-Attacke vom Stapel zu lassen.
Ich lasse mittlerweile Peer Guardian auf meinem Server laufen, aber auch dessen Historie zeigt zum Zeitpunkt der Versuche leider nichts Auffälliges.
Könnt Ihr mir - außer "Sei wachsam und schütz dich" - irgendetwas raten, womit ich dieser Ratte ans Leder kann? Hier geht es im Falle des Falles um einen unter Umständen äußerst unangenehmen Datenklau, und eventuell sogar Firmenspionage!!
Danke für jeden Tipp!
Murphy
