Kennwörter werden "vergessen"

hahni

Active Member
Hallo zusammen, hallo Till!

Ein merkwürdiges Phantomen fällt mir derzeit auf:
Ein Kunde fragte vor kurzem, warum bei ihm ein Kennwort nicht mehr ging. Ich war der Meinung, dass er es vergessen hatte. Genau dieser Kunde hatte auch beim zweiten Mal mit einem Benutzer das Kennwort-Problem.

Darauf hin habe ich ihm geraten, das Kennwort des Kundenbereiches zu ändern (um auszuschließen, dass der Zugang ausgespäht wurde). Interessanterweise habe ich aber heute selbst das Problem, dass plötzlich das Kennwort meines eigenen Datenbankbenutzers nicht mehr geht und offensichtlich auch hier das Kennwort "vergessen" wurde!

Lt. "rkhunter" kein Rootkit. Auch sonst erachte ich die Kennwörter als sicher und konnte keine Sabotage feststellen. Woran könnte dies noch liegen? Falls es Sabotage ist: wie könnte ich dies am Leichtesten feststellen?

Viele Grüße

Hahni
 

Till

Administrator
Um was für ein Kennwort geht es genau?

- ISPConfig Client Login
- MySQL Datenbank Passwort
- FTP / Mail User Passwort

Alle diese Kennworte werden auf unterschiedliche Weise erzeugt und an unterschiedlichen Orten gespeichert.
 

Till

Administrator
Ok, dann sieh bitte mal nach, ob zwischen der letzten Änderung eines Passwortes, die Dir bekannt ist bis zum "nicht mehr funktionieren" Zeitpunkt etwas zu doesem Usernamen in der /home/admispconfig/ispconfig/ispconfig.log Datei vermerkt ist.
 

Till

Administrator
Ok, dann kann ich es auch nur schwer eingrenzen. Du hast nicht zufällig noch einen Account mit dem gleichen Problem, bei dem Du in der /etc/shadow nachsehen könntest, ob überhaupt ein Kennwort gesetzt ist?

Nutzt Du noch irgendeine andere admin Software parallel, welche die /etc/shadow ändern könnte?
 

hahni

Active Member
Anfänglich dachte ich, dass jetzt gar nichts mehr geht. aber mit dem Fehler von MySQL war ich schon mal froh!

Andere Admin-Panels setze ich nicht ein. Ebenso nehme ich keine Änderungen per Hand vor.

Nachdem das MySQL-Problem nichts damit zu tun hat, beschränken sich die Reklamationen bis jetzt auf den Kunden und seine 2 Accounts.

Vielleicht wurde doch sein Zugang gehackt? Aber derartige Auffälligkeiten konnte ich in seinen Logs nicht finden!

:confused:
 

Till

Administrator
Ich würde rkhunter mal automatisch als cron einmal pro Tag laufen lassen und Dir den Output als mail schicken lassen. Wenn dass dann nochmal auftritt, kannst Du in den mails nachsehen wann und ob rkhunter eine Änderung an dem Passwort des Users festgestellt hat.
 

hahni

Active Member
Das ist eine an und für sich gute Idee. Somit könnte man feststellen, ob im großen Stil Kennungen geändert werden und falls ja: unter welcher Kundenkennung. In diesem Fall kann man wirklich von einer geklauten Kennung ausgehen!

Kann ein Kunde eigentlich für ein Web selbst eine Kennung für die Oberfläche vergeben? Normalerweise nur der Admin oder ein Reseller, richtig? Dieser Kunde hat zwar mehrere Webs, aber ist als Kunde eingetragen! Somit dürfte sich ein evtl. Schaden "nur" auf die FTP-/Mail-User beschränken, richtig?
 

Till

Administrator
Ja, ein Kunde kann selber nur mysql und ftp / mail Passworte seines Webs ändern. Außer natürlich, es gibt einen Bug in ISPConfig, aber da ist mir nichts bekannt.
 

hahni

Active Member
Gut, dass ich ihn so angelegt habe! Ich werde einmal beobachten, wie sich die Situation nun entwickeln wird, nachdem er sein Kundenkennwort geändert hat. Von anderen Kunden ist mir sowas noch nicht zu Ohren gekommen und mit MySQL hab ich glücklicherweise nur Panik geschoben...

Einstweilen vielen Dank für deine Mithilfe und eine erholsame Nachtruhe!

:D
 

hahni

Active Member
Hey Fox ;)

Bisher ist das Problem beim gleichen Kunden 2x aufgetreten. Über rkhunter konnte ich leider nix feststellen (zumal ich den Kunden angewiesen hatte, sein Kundenkennwort zu ändern).

Von daher stellt sich nun die Frage, was es dennoch sein könnte. Ich bin immer sehr ängstlich, es könnte sich ein Rootkit breitmachen. Doch ich versuche, Vorsichtsmaßnahmen zu treffen...

Wie hat sich das bei dir geäußert?

Viele Grüße

Hahni
 

planet_fox

Super-Moderator
bei drei accounts 2 mal email pw und 1 x mal ftp .

konnte in logs nix finden. aber ich glaube nicht an rootkit.

Die Sache mit der shodow veränderung, könnte vielleicht anfang für die suche sein
 

Andis

New Member
Das Problem mit dem "vergessen" habe ich auch.
Allerdings liegt es bei mir am Browser und zwar ausnahmsweise am FF. Wenn ich im ISP Manager in der Maske User&Email einen spezifischen ISP User wähle ist das Passwortfeld im FF mit **** belegt. Was auch immer da voreingestellt ist wird schon beim Wechsel in ein Untermenü, z.b. Erweiterte Einstellungen, gespeichert. Der IE 7 macht das nicht.

Vielleicht liege ich aber auch voll daneben und euer Problem hat damit nichts zu tun.
 

Werbung

Top