Hallo zusammen,

gestern ist aufgefallen das 2 Homepages in einigen PHP-dateien geändert wurden. An hand der Log-Files kann man sehen das sich jemand an Tag X um XX:XX Uhr mit meinen Zugangsdaten per FTP eingeloggt hat und die Dateien verändert hat. Alles innerhalb weniger Sekunden.
Da beide Zugänge bei mir im Filezilla gespeichert sind, liegt meine Vermutung nahe das die beiden Passwörter ausgespäht worden sind.
Ein Vollscan mit Malwarebytes brachte auch keine infizierten Objekte.

Wie kann ich sichergehen das mein System nicht infiziert ist, so das ich um eine evtl. Neuinstalltion zur Sicherheit drum rumkomme ?
Irgendwie muss derjenige ja an die beiden FTP-Zugänge gekommen sein.

Im normalen Gebrauch nutze ich die Windows-Firewall und als Virenscanner Antivir Free-Version.

Ich danke im Voraus für eure Tips.

Gruss
Netzjunkie

Zitat:

Wie kann ich sichergehen das mein System nicht infiziert ist, so das ich um eine evtl. Neuinstalltion zur Sicherheit drum rumkomme ?

So ist es, wenn du davon sprichst du willst "wirklich sichergehen" dann schreit das förmlich nach Format C + Neuinstallation

Hast du dich nur von diesem PC an deinem FTP eingeloggt?
Ist das simples FTP oder verschlüsseltes FTP also SFTP oder FTPS?
Wie stark oder schwach ist das FTP-Passwort, ist das ein Standarduser oder eher ein schwierig zu erratender Username?

Hallo,

so mittlerweile habe ich mein Notebook wirklich neu aufgesetzt, da mir das Restrisiko einfach zu hoch war.
Ich habe mich auch von Filezilla als FTP-Programm verabschiedet und nutze nun den Total Commander, den ich auch die FTP-Passwörter nicht speichern lasse.
Es waren auf dem Server wirklich nur die Zugänge verseucht, die ich mit Filezilla auf meinem Notebook hatte.
Der User war ein Standarduser, aber das Passwort war nicht so einfach. Und da beide Zugänge betroffen waren wird es der Trojaner gewesen sein.
Jetzt habe ich zumindest im Moment noch ein völlig neues und sauberes System

Gruss
Netzjunkie

Zitat:

Ich habe mich auch von Filezilla als FTP-Programm verabschiedet und nutze nun den Total Commander, den ich auch die FTP-Passwörter nicht speichern lasse.

TotalCommander geht auch, aber was hast du gegen Filezilla? Das Teil ist ein klasse OpenSource FTP-Client (gibt auch ein Server => FileZIlla Server)
Kann auch von sich aus etwas mehr als der Totalcommander. Verschlüsseltes FTP ist beim TotalCommander nur mit Plugins möglich

Zitat:

Es waren auf dem Server wirklich nur die Zugänge verseucht, die ich mit Filezilla auf meinem Notebook hatte.

Du hast FileZilla auch immer schön aktualisiert? Wenn nicht kannst du das nicht FileZilla ankreiden
Oft ist auch garnicht das Programm schuld, wenn du durch was ganz anderes einen Schädling ins System bekommen hast, kann dieser einfach die gespeicherten Passwörter von anderen Programmen auslesen
Gibt auch Schädlinge, die die Produkt-/Aktivierungs-Keys von diversen Spielen auszulesen versuchen

Edit: FileZilla speichert die Passwörter im Klartext in eine XML-Datei ab....... http://ganz-sicher.net/blog/tutorial...en-passworter/
Ist natürlich suboptimal, das Speichern der Kennwörter mit Clients ist natürlich immer mit Vorsicht zu genießen, aber muss der Client das im Klartext machen
Naja, zumindest muss irgendwer oder irgendein Bot deine FileZilla-XML ausgelesen haben! Hätte dir aber auch mit TotalCommander passieren können, wenn da FTP-Verbindungen samt User+Pass gespeichert sind, bräuchte jmd nur deine wcx_ftp.ini - da sind die Passwörter auch hinterlegt. Zwar verschlüsselt, aber die Datei reicht ja aus um sich zu verbinden

Hallo,
der Trojaner wird mit Sicherheit nicht über Filezilla ins System gekommen sein.
Ich vermute eher die Einschleusung über eine infizierte Webseite.
An filezilla stört mich halt das er die Passwörter anscheinend nicht unverschlüsselt auf dem PC speichert.
Am liebsten würde ich ja das Passwort des FTP erst bei der Verbindung zum Server eingeben müssen, denn so oft lade ich dann auch wieder nichts per FTP hoch.
So das in der Datei auch keine Passwörter gespeichert werden.

Gruss
Netzjunkie

Zitat:

An filezilla stört mich halt das er die Passwörter anscheinend nicht unverschlüsselt auf dem PC speichert.

Du meinst nicht verschlüsselt...FZ speichert sie ja im Klartext ab

Zitat:

Am liebsten würde ich ja das Passwort des FTP erst bei der Verbindung zum Server eingeben müssen, denn so oft lade ich dann auch wieder nichts per FTP hoch.
So das in der Datei auch keine Passwörter gespeichert werden.

Dann kannste auch bei FileZilla bleiben aber musst du wissen, Passwörter willst/sollst du ja eh nicht mehr speichern

Hallo,

ne irgendiwe habe ich das Vertrauen in Filezilla verloren
Auch wenn das Programm nix dafür konnte.
Kennst du denn ein FTP-Programm welches die Passwörter nicht im Klartext auf dem PC speichert ? FlashFXP ?
Also eine vrschlüsselte Speicherung sollte ja schon drin sein.

Gruss
Netzjunkie

Zitat:

ne irgendiwe habe ich das Vertrauen in Filezilla verloren
Auch wenn das Programm nix dafür konnte.

Klar weil das Programm nichts dafür kann hast das Vertrauen darin verloren, schon klar

Zitat:

Kennst du denn ein FTP-Programm welches die Passwörter nicht im Klartext auf dem PC speichert ? FlashFXP ?
Also eine vrschlüsselte Speicherung sollte ja schon drin sein.

Ich hab schonmal erwähnt, dass auch bei einem verschlüsselt gespeicherten Passwort wie zB bei TotalCommander genauso passieren kann wie bei FileZilla. Beim FileZilla muss man die XML-Datei abgreifen, bei TotalCommander die wcx_ftp.ini - es ist also völlig egal mit welchem FTP-Client die Passwörter speicherst, deine Daten können geklaut und benutzt werden wenn du es zulässt, dass Schädlinge auf deinem Rechner kommen

Und stell dir mal vor du speicherst keine Passwörter ab und "bekommst einfach so" einen Keylogger. Dann tippst du nichtsahnend dein Passwort in FlashFXP ein um auf deinen FTP zu kommen und das Passwort wurde gestohlen.
Verlierst du dann das Vertrauen zu FlashFXP?

Klar hast du Recht das der Trojaner DIE Auswirkung war und ich nun auch ein anderes Virenprogramm nutze, welches mir diesen dann auch angezeigt hat.
Unterm Strich nutze ich übrigens jetzt WinSCP und gebe beim Start des Programms das Passwort ein.
Knackpunkt war natürlich der Trojaner, wobei ich hoffe das es mein letzter war

Gruss