Kennwörter werden "vergessen"

Dieses Thema im Forum "Allgemein" wurde erstellt von hahni, 21. Juli 2008.

  1. hahni

    hahni Active Member

    Hallo zusammen, hallo Till!

    Ein merkwürdiges Phantomen fällt mir derzeit auf:
    Ein Kunde fragte vor kurzem, warum bei ihm ein Kennwort nicht mehr ging. Ich war der Meinung, dass er es vergessen hatte. Genau dieser Kunde hatte auch beim zweiten Mal mit einem Benutzer das Kennwort-Problem.

    Darauf hin habe ich ihm geraten, das Kennwort des Kundenbereiches zu ändern (um auszuschließen, dass der Zugang ausgespäht wurde). Interessanterweise habe ich aber heute selbst das Problem, dass plötzlich das Kennwort meines eigenen Datenbankbenutzers nicht mehr geht und offensichtlich auch hier das Kennwort "vergessen" wurde!

    Lt. "rkhunter" kein Rootkit. Auch sonst erachte ich die Kennwörter als sicher und konnte keine Sabotage feststellen. Woran könnte dies noch liegen? Falls es Sabotage ist: wie könnte ich dies am Leichtesten feststellen?

    Viele Grüße

    Hahni
     
  2. Till

    Till Administrator

    Um was für ein Kennwort geht es genau?

    - ISPConfig Client Login
    - MySQL Datenbank Passwort
    - FTP / Mail User Passwort

    Alle diese Kennworte werden auf unterschiedliche Weise erzeugt und an unterschiedlichen Orten gespeichert.
     
  3. hahni

    hahni Active Member

    Bis jetzt immer FTP/Mail!
     
  4. Till

    Till Administrator

    Ok, dann sieh bitte mal nach, ob zwischen der letzten Änderung eines Passwortes, die Dir bekannt ist bis zum "nicht mehr funktionieren" Zeitpunkt etwas zu doesem Usernamen in der /home/admispconfig/ispconfig/ispconfig.log Datei vermerkt ist.
     
  5. hahni

    hahni Active Member

    Da ist kein Eintrag und auch keine Auffälligkeit vermerkt :(
     
  6. Till

    Till Administrator

    Ok, dann kann ich es auch nur schwer eingrenzen. Du hast nicht zufällig noch einen Account mit dem gleichen Problem, bei dem Du in der /etc/shadow nachsehen könntest, ob überhaupt ein Kennwort gesetzt ist?

    Nutzt Du noch irgendeine andere admin Software parallel, welche die /etc/shadow ändern könnte?
     
  7. hahni

    hahni Active Member

    Anfänglich dachte ich, dass jetzt gar nichts mehr geht. aber mit dem Fehler von MySQL war ich schon mal froh!

    Andere Admin-Panels setze ich nicht ein. Ebenso nehme ich keine Änderungen per Hand vor.

    Nachdem das MySQL-Problem nichts damit zu tun hat, beschränken sich die Reklamationen bis jetzt auf den Kunden und seine 2 Accounts.

    Vielleicht wurde doch sein Zugang gehackt? Aber derartige Auffälligkeiten konnte ich in seinen Logs nicht finden!

    :confused:
     
  8. Till

    Till Administrator

    Ich würde rkhunter mal automatisch als cron einmal pro Tag laufen lassen und Dir den Output als mail schicken lassen. Wenn dass dann nochmal auftritt, kannst Du in den mails nachsehen wann und ob rkhunter eine Änderung an dem Passwort des Users festgestellt hat.
     
  9. hahni

    hahni Active Member

    Das ist eine an und für sich gute Idee. Somit könnte man feststellen, ob im großen Stil Kennungen geändert werden und falls ja: unter welcher Kundenkennung. In diesem Fall kann man wirklich von einer geklauten Kennung ausgehen!

    Kann ein Kunde eigentlich für ein Web selbst eine Kennung für die Oberfläche vergeben? Normalerweise nur der Admin oder ein Reseller, richtig? Dieser Kunde hat zwar mehrere Webs, aber ist als Kunde eingetragen! Somit dürfte sich ein evtl. Schaden "nur" auf die FTP-/Mail-User beschränken, richtig?
     
  10. Till

    Till Administrator

    Ja, ein Kunde kann selber nur mysql und ftp / mail Passworte seines Webs ändern. Außer natürlich, es gibt einen Bug in ISPConfig, aber da ist mir nichts bekannt.
     
  11. hahni

    hahni Active Member

    Gut, dass ich ihn so angelegt habe! Ich werde einmal beobachten, wie sich die Situation nun entwickeln wird, nachdem er sein Kundenkennwort geändert hat. Von anderen Kunden ist mir sowas noch nicht zu Ohren gekommen und mit MySQL hab ich glücklicherweise nur Panik geschoben...

    Einstweilen vielen Dank für deine Mithilfe und eine erholsame Nachtruhe!

    :D
     
  12. planet_fox

    planet_fox Super-Moderator

    hi björn ich konnte dies auch schon beobachten
     
  13. hahni

    hahni Active Member

    Hey Fox ;)

    Bisher ist das Problem beim gleichen Kunden 2x aufgetreten. Über rkhunter konnte ich leider nix feststellen (zumal ich den Kunden angewiesen hatte, sein Kundenkennwort zu ändern).

    Von daher stellt sich nun die Frage, was es dennoch sein könnte. Ich bin immer sehr ängstlich, es könnte sich ein Rootkit breitmachen. Doch ich versuche, Vorsichtsmaßnahmen zu treffen...

    Wie hat sich das bei dir geäußert?

    Viele Grüße

    Hahni
     
  14. planet_fox

    planet_fox Super-Moderator

    bei drei accounts 2 mal email pw und 1 x mal ftp .

    konnte in logs nix finden. aber ich glaube nicht an rootkit.

    Die Sache mit der shodow veränderung, könnte vielleicht anfang für die suche sein
     
  15. Andis

    Andis New Member

    Das Problem mit dem "vergessen" habe ich auch.
    Allerdings liegt es bei mir am Browser und zwar ausnahmsweise am FF. Wenn ich im ISP Manager in der Maske User&Email einen spezifischen ISP User wähle ist das Passwortfeld im FF mit **** belegt. Was auch immer da voreingestellt ist wird schon beim Wechsel in ein Untermenü, z.b. Erweiterte Einstellungen, gespeichert. Der IE 7 macht das nicht.

    Vielleicht liege ich aber auch voll daneben und euer Problem hat damit nichts zu tun.
     

Diese Seite empfehlen