mr.toby 11 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 HI leute dieses ereignis geht über mehrere stunden! Bild wegen sinnloser Größe von dr.melzer entfernt obwohl um die zeit nicht am system gearbeitet wurde! Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 Gibt es denn ein "oracle" Konto und/oder ist Oracle installiert? Zitieren Link zu diesem Kommentar
mr.toby 11 Geschrieben 11. Juli 2006 Autor Melden Teilen Geschrieben 11. Juli 2006 est ist weder oracle installiert noch gibt es einen benutzer der so heißt! deshalb verstehe ich das nicht und es fängt irgend wann um 1 uhr nachts an und hört um halb 5 auf .... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 Wie ist denn Dein FTP-Server von aussen erreichbar ? In der DMZ durch eine vernünftige Firewall abgesichert oder einfach per Portforwarding ? Wer greift sonst auf den Server zu ? Ist die Anmeldung am FTP-Server abgesichert ? Zitieren Link zu diesem Kommentar
mr.toby 11 Geschrieben 11. Juli 2006 Autor Melden Teilen Geschrieben 11. Juli 2006 die anmeldung ist pw geschützt aber es läuft über port forwarding Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 Na dann würde ich es auch versuchen ... :D Die Anmeldung an einem Standard-FTP Server ist unverschlüsselt, man könnte also die Passwortübermittlungen mitlesen ... Installiere Dir mal einen Sniffer und schneide solch eine Anmeldung mit ... Zitieren Link zu diesem Kommentar
marzli2 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 du nutzt den windows ftp server? Zitieren Link zu diesem Kommentar
mr.toby 11 Geschrieben 11. Juli 2006 Autor Melden Teilen Geschrieben 11. Juli 2006 ja warum nicht ? Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 deshalb verstehe ich das nicht und es fängt irgend wann um 1 uhr nachts an und hört um halb 5 auf .... Stehen in den IIS Log Dateien mehr Details? die anmeldung ist pw geschützt aber es läuft über port forwarding Das heisst anonymer Zugriff ist deaktiviert? Die Anmeldung an einem Standard-FTP Server ist unverschlüsselt, man könnte also die Passwortübermittlungen mitlesen ... Wie genau ginge das von außen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 Beispielsweise wenn sich jemand anders als der Zielhost ausgibt oder man an der richtigen Stelle sitzt und den Transfer mitschneidet ... http://de.wikipedia.org/wiki/Man-In-The-Middle-Angriff Es gibt sicher noch einen Haufen zusätzlicher Möglichkeiten, daher besser keine Kennwörter unverschlüsselt übermitteln, egal von wo nach wo ... Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 Beispielsweise wenn sich jemand anders als der Zielhost ausgibt oder man an der richtigen Stelle sitzt und den Transfer mitschneidet ...http://de.wikipedia.org/wiki/Man-In-The-Middle-Angriff MITM != von außen Daher meine Frage. daher besser keine Kennwörter unverschlüsselt übermitteln, egal von wo nach wo ... Klar. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 MITM != von außen Wieso nicht von aussen ? Oder interpretiere ich das jetzt falsch ? "Durch Manipulation der host-Datei, können trotz Eingabe der echten URL gefälschte IP-Adressen aufgelöst werden, simuliert der Angreifer dann einen gültigen Webserver, hat er gute Chancen als MITM unerkannt zu bleiben." ist nur ein Beispiel ... Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 Damit meinte ich von außerhalb des Netzwerkes, in dem der Server steht. Das ARP-Spoofing, Sniffing, usw möglich sind, wenn man sich im selben Netz befindet ist klar. Jedoch würde mich interessieren, wie man als unbeteiligter Dritter sowas machen könnte. Damit wollte ich darauf hinweisen, das dies nicht so einfach ist, wie oft behauptet. PS: Um die Hosts Datei zu manipulieren, bräuchte man Zugriff auf den Client, was bei einem öffentlich ansprechbaren FTP Server IMHO eher unwahrscheinlich ist. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 Nein, das ist es sicher nicht. Sitzt man jedoch an der richtigen Stelle (ist klar, dass ein Router nicht so einfach zu übernehmen ist), ist es dann gar nicht mehr so schwer. Das Beispiel mit der HOSTS-Datei (welche dann natürlich beim Client erstmal infiziert werden müsste, was wahrscheinlich der schwierigste Teil der Aktion ist) finde ich relativ effizient. Ich bin kein Cracker , weiss aber doch, dass es wahrscheinlich einen Haufen solcher, sehr fähiger Leute gibt, die wissen , wie es geht. Und deshalb alles verschlüsseln ... :) , damit sie es nicht allzu leicht haben. PS: Ich denke nicht, dass man Zugriff auf den Client haben muss, der Client muss nur relativ ungeschützt die richtige Internetseite besuchen. Ich glaube eher, dass die wenigsten Clients aktiv von aussen manipuliert werden, das erledigt der User an dem Gerät selbst (unwissend). Zitieren Link zu diesem Kommentar
Das Urmel 10 Geschrieben 11. Juli 2006 Melden Teilen Geschrieben 11. Juli 2006 ich darf mal an dieser Stelle auf http://www.syss.de hinweisen, lest selbst was möglich ist ( habs gesehen und mehr) im Falle des Posters ist kein MITM erfolgt sondern lediglich ein BruteForce auf den FTP, weil der Server sich halt meldet. Evtl. sogar Oracle darauf installiert und der Port meldet sich ebenfalls? ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.