Klartextpasswort in Logfile

[danu]

Einem Kunden von mir wurde die Homepage per FTP gehackt und ein HSBC_AccountVerification.php und paar andere installiert. Allerdings schien diese Installation nicht zu funktionieren - dank sei mod_security. Da waren noch Domainname und FTP-Login identisch :roll: und das Passwort fahrlässig einfach.

Das beunruhigt mich:

Code: Select all

Oct  9 19:30:31 s15180660 proftpd[1881]: xxx.rootmaster.info (196.3.63.252[196.3.63.252]) - mod_delay/0.5: delaying for 57 usecs
Oct  9 19:30:36 s15180660 proftpd[1878]: xxx.rootmaster.info (196.3.63.252[196.3.63.252]) - USER xxx: Login successful.
Oct  9 19:30:36 s15180660 proftpd[1878]: xxx.rootmaster.info (196.3.63.252[196.3.63.252]) - Preparing to chroot to directory '/srv/www/vhosts/xxx'
Oct  9 19:30:36 s15180660 proftpd[1878]: xxx.rootmaster.info (196.3.63.252[196.3.63.252]) - mod_delay/0.5: delaying for 115 usecs
Oct  9 19:30:36 s15180660 proftpd: Authentication started for user xxx
Oct  9 19:30:36 s15180660 proftpd: Plesk DB connection established successfully
Oct  9 19:30:36 s15180660 proftpd: Querying SELECT password, type FROM psa.accounts as a, psa.sys_users AS s WHERE a.id = s.account_id AND s.login='xxx'
Oct  9 19:30:36 s15180660 proftpd: Connection to the Plesk DB closed
Oct  9 19:30:36 s15180660 proftpd: user's password='KLARTEXTPASSWORT', passlen='8', type='plain'
Oct  9 19:30:36 s15180660 proftpd: _get_stacked_password(pamh, flags=32768, opts=8, type=6, &password)
Oct  9 19:30:36 s15180660 proftpd: entered_password='FALSCHES PASSWORT'
Oct  9 19:30:38 s15180660 proftpd[1881]: xxx.rootmaster.info (196.3.63.252[196.3.63.252]) - PAM(newsinfo): Authentication failure.
Oct  9 19:30:38 s15180660 proftpd[1881]: xxx.rootmaster.info (196.3.63.252[196.3.63.252]) - USER xxx (Login failed): Incorrect password.
Oct  9 19:30:41 s15180660 proftpd[1881]: xxx.rootmaster.info (196.3.63.252[196.3.63.252]) - FTP session closed.
Oct  9 19:30:44 s15180660 proftpd[1892]: xxx.rootmaster.info (196.3.63.252[196.3.63.252]) - FTP session opened.

Autentication startet ... , diese und die nächsten 6 Zeilen werden jeweils auch dann ins Logfile geschrieben, wenn einer mit seiner WinXP Kiste über den Dateimanager per FTP auf einen Account zugreift und dabei ein falsches oder kein Passwort eingibt.
Jetzt nehme ich an, dass wohl die Möglichkeit besteht, mittels curl oder PHP/fsockopen- Headerscripts die Ausgaben der Plesk DB auszulesen :?

Das wäre die Frage gewesen

[Roger Wilco]

Autentication startet ... , diese und die nächsten 6 Zeilen werden jeweils auch dann ins Logfile geschrieben, wenn einer mit seiner WinXP Kiste über den Dateimanager per FTP auf einen Account zugreift und dabei ein falsches oder kein Passwort eingibt.

Die Logeinstellungen von ProFTPd etwas weniger gesprächig einzustellen sollte helfen. Im Moment loggt er ja die gesamte SQL-Abfrage, was völlig unnötig ist.

Jetzt nehme ich an, dass wohl die Möglichkeit besteht, mittels curl oder PHP/fsockopen- Headerscripts die Ausgaben der Plesk DB auszulesen :?

Eher weniger. Zumindest, wenn das System nicht völlig fahrlässig und braindead ausgesetzt wurde.