DynDNS

Du solltest davon ausgehen, dass durch diese Portfreigaben unberechtigte Dritte aus der ganzen Welt Zugriff auf deinen Mac haben, und von diesem auch auf alle weiteren in deinem Heimnetzwerk angeschlossenen Geräte, inkl. dem Router selbst, ohne Passwörter kennen zu müssen.

Im besten Fall merkst du davon nichts, weil derartige Angriffe vollautomatisiert ablaufen und die Automatik entscheidet, es gibt bei dir nichts zu holen. Im schlimmsten Fall werden auf deinen Computern abgespeicherte Ausweiskopien abgegriffen (und sonstige möglicherweise wertvolle Dokumente), oder die Polizei steht irgendwann vor deiner Tür weil dein Internetanschluss für kriminelle Tätigkeiten missbraucht wurde.

Wenn du über den Mac Onlinebanking betreibst, solltest du das auch als kompromittiert betrachten und bedenken, falls dir dadurch ein großer finanzieller Schaden entsteht und die Bank sich weigert zu bezahlen, wird vor Gericht spätestens durch diesen Forenthread herauskommen, dass du die IT-Sicherheit grob fahrlässig behandelt hast.

Das Problem liegt nicht nur bei FTP selbst, in erster Linie ist es dir nicht möglich aus dem Internet erreichbare Dienste sicher einzurichten. Server-Dienste lässt du nicht bei dir am eigenen Computer laufen, dafür kaufst du einen Service ein, wo der Betreiber dann die Verantwortung für die Sicherheit trägt und sich besser darum kümmern wird, schließlich hat die Firma zahlende Kunden die sie nicht verlieren will.

Wir wollen nicht Oberlehrer spielen, sondern mögliche Konsequenzen aufzeigen. Du bekommst doch in den Nachrichten sicherlich mit, dass immer wieder Unternehmen aus der Ferne übers Internet Daten gestohlen werden, wo unberechtigte Dritte Zugriff auf Kunden-Daten erlangten, wo mit "Crypto"-Angriffen Daten entführt wurden und Lösegeld verlangt wird, alle diese Dinge sind mehrmals im Monat in den Nachrichten. Glaubst du es wird dir besser ergehen als diesen Firmen?

Dieser Thread sollte gesperrt werden - der TS wird das wohl erst gut sein lassen, wenn das Zeug am Ende nicht funktioniert wie er will. Hilfe für das Zertifikat ändert an der Grundproblematik nichts.
 
Zitieren
  • Gefällt mir
Reaktionen: mh2019, MacMac512, dg2rbf und eine weitere Person
Moin, Kollegen,

Problem behoben und gelöst. Ich habe ein Upgrade auf die Version 9 der Rumpus Software geordert.

Dieses Mal nun mit korrektem Zertifikat durch Let’s Encrypt für https und ftps.

Grüße aus Hamburg

Thobie
 
Moin, Kollegen,

Ihr hattet recht, dass der Betrieb des FTP-Servers mit der alten und ungesicherten Version von Rumpus nicht sinnvoll und gefährlich ist.

Anscheinend ist irgend ein Hacker auf diesen Thread aufmerksam geworden und hat am Wochenende meinen Server gehackt.

In meinem Router waren die Ports 21 und 80 gelöscht. Und es waren neue Ports eingerichtet worden, 6140–6143 oder so ähnlich. Außerdem befanden sich zwei (unsichtbare) Dateien in einem Benutzerordner des Servers, eine davon eine ausführbare Unix-Datei. Beide habe ich natürlich sofort gelöscht.

Ich gehe davon aus, dass der Betrieb des Servers nun mit der georderten neuen Version von Rumpus 9 durch das Let’s encrypt Zertifikat gesichtert ist und so etwas nicht nochmals passiert.

Die Anschaffung des Updates der neuen Version war somit eine sinnvolle und angemessene Investition.

Bleibt gesund!

Grüße aus Hamburg

Thobie
 
Nein ist es sicher nicht.
das zertifikat ist doch keine sicherheit.
es ist der ausweis des servers, wenn einer nach seiner identitaet fraegt. Nicht mehr und nicht weniger.

davon ist nichts aber gar nichts sicherer fuer dich als betreiber, ausser das du nun eigentlich eine meldung wegen eines datenschutzproblems machen musst, je nach ziel, schwere und umfang des angriffs, als datenverarbeitender dienstleister.

herrgottzack, it ist doch keine spassveranstaltung, das kannst du privat so pfuschen aber doch nicht als gewerbetreibender.
 
Zitieren
  • Gefällt mir
Reaktionen: MacKaz und dg2rbf
Thobie,

dir fehlen immer noch die Basics zum Betrieb eines Servers. Wie WollFuchs schon sagte, hat das Zertifikat erst mal nur was mit der Übertragung von einem anderen Rechner zu deinem Rechner zu tun. Der Übertragungsweg ist nun gesichert und ein Angreifer kann, wenn er sich zwischen deinem Rechner und dem des Kunden setzt, die Verbindung nicht belauschen, da diese verschlüsselt ist.

Dein Server ist immer noch erreichbar und wenn die Software die dort läuft bugs aufweist oder fehlerhaft konfiguriert ist, dann bringt dir die Sicherung des Transportweges exakt nichts. Null. Nada.

Du musst also schon wissen, was du wie freischaltest und konfigurierst. Dein Glaube ist, dass du einfach einwenig in der Rumpus-Software rum klickst und das es dann schon korrekt und passend sein würde.

Aber irgendwie bist du beratungsresistent. Bitte, mache weiter so, aber ehrlich gesagt, es tut weh, wenn man das liest, was du über den Betrieb eines Servers denkst. Wenn du das, wie WollFuchs sagte, für dich privat machst, dann mag das ja ok sein. Aber du hast Kunden. Naja, du musst wissen, was du tust.
 
Zitieren
  • Gefällt mir
Reaktionen: ElectricWizard, dg2rbf und SwissBigTwin
Moin,

ich bin nicht beratungsresistent.

Ich bin selbstständiger Medienschaffender mit Schwerpunkt Grafik-Design, der sich in anderen Medien- und Computerbereichen gern weiterbildet und auch beraten lässt. Ich bin jedoch kein Informatiker, Code-Liebhaber oder Netzwerkenthusiast.

Ich habe nach den erfolglosen Versuchen, das SSL-Zertifikat über Let’s encrypt über das Terminal zu erstellen, was vermutlich mit der alten Rumpus-Version zusammenhing, entschieden, dass es zu unsicher und zu gefährlich ist, den FTP-Server ungeschützt mit der alten Software zu betreiben. Und ich habe auf Euren Rat gehört und in die neueste Version von Rumpus investiert. Dies haben mir einige der Threadteilnehmer – Beiträge #67, #69 und #72 – empfohlen. Diese Version erzeugt weitestgehend selbsttätig ein Let’s-encrypt-Zertifikat und gewährleistet dadurch https, ftps und sftp.

Somit bin ich nicht beratungsresistent.

Darüber hinaus verlasse ich mich auf den guten Ruf von Maxum, dem Hersteller der Rumpus-Software, die in vielen Mac-, Medien- und Computerkreisen als die Nummer 1 der FTP-Software gerade für den Mac bezeichnet wird. Ich kann mir nicht vorstellen, dass die Sicherheitsmaßnahmen, die in der neuen Version integriert sind, nicht ausreichen sollten, um einen sicheren Datentransfer über das Webinterface der Software durchzuführen. Denn ansonsten hätte man dies in den entsprechenden Kreisen schon gehört oder in Blogbeiträgen gelesen und Rumpus hätte sehr schnell seinen Status als Nummer 1 verloren.

Bleibt gesund!

Grüße aus Hamburg

Thobie
 
Hallo Thobie,

thobie schrieb:
Ihr hattet recht, dass der Betrieb des FTP-Servers mit der alten und ungesicherten Version von Rumpus nicht sinnvoll und gefährlich ist.

Anscheinend ist irgend ein Hacker auf diesen Thread aufmerksam geworden und hat am Wochenende meinen Server gehackt.
Zum Vergrößern anklicken....

Nein, das muss er nicht unbedingt. Das machen irgendwelche Skrip-Kiddies automatisch und "rund um die Uhr"...
thobie schrieb:
In meinem Router waren die Ports 21 und 80 gelöscht. Und es waren neue Ports eingerichtet worden, 6140–6143 oder so ähnlich. Außerdem befanden sich zwei (unsichtbare) Dateien in einem Benutzerordner des Servers, eine davon eine ausführbare Unix-Datei. Beide habe ich natürlich sofort gelöscht.
Zum Vergrößern anklicken....

Ich würde folgendes tun:
- Passworte der FritzBox und falls dort Benutzer eingerichtet sind, deren Passworte auch sofort ändern
- Im Bereich "Heimnetz / Netzwerk / Netzwerkeinstellungen" weiter unten die beiden Haken unter "Heimnetzfreigaben" für "Anwendungen" und "UPNP" deaktivieren

Woher weisst Du, dass jemand diese dort abgelegt hat, bzw. gibt es weitere Spuren eines möglichen Einbruchs?

Solltest Du unsicher sein, wäre leider die beste Idee, den Max vom USB-Stick neu zu installieren und Rumpus (mit Zertifikat!) mit Usern und sicheren Kennwörtern neu einzurichten.
Weiterhin würde ich nur von extern FTPS und HTTPS zulassen und nicht die HTTP und FTP Ports...

thobie schrieb:
Ich gehe davon aus, dass der Betrieb des Servers nun mit der georderten neuen Version von Rumpus 9 durch das Let’s encrypt Zertifikat gesichtert ist und so etwas nicht nochmals passiert.

Die Anschaffung des Updates der neuen Version war somit eine sinnvolle und angemessene Investition.

Bleibt gesund!

Grüße aus Hamburg

Thobie
Zum Vergrößern anklicken....

Ob der Server nun sicher ist, weißt Du nicht....

Viele Grüße
Bernd
 
thobie schrieb:
Darüber hinaus verlasse ich mich auf den guten Ruf von Maxum, dem Hersteller der Rumpus-Software, die in vielen Mac-, Medien- und Computerkreisen als die Nummer 1 der FTP-Software gerade für den Mac bezeichnet wird. Ich kann mir nicht vorstellen, dass die Sicherheitsmaßnahmen, die in der neuen Version integriert sind, nicht ausreichen sollten, um einen sicheren Datentransfer über das Webinterface der Software durchzuführen. Denn ansonsten hätte man dies in den entsprechenden Kreisen schon gehört oder in Blogbeiträgen gelesen und Rumpus hätte sehr schnell seinen Status als Nummer 1 verloren.
Zum Vergrößern anklicken....

Naja, wenn du das glaubst, sorry, dann sagt das nicht viel aus.

Der weltgrößte Konzern, Apple, hat bereits vor Jahren entschieden, dass der bisher in macOS integrierte FTP-Server nicht mehr weiter vertrieben wird, wegen Sicherheitsbedenken. Und du glaubst nun, dass rumpus das besser weiß und handhaben kann. Rumpus hat also die Sicherheitsbedenken gelöst, die Apple nicht lösen konnte?

Die weltweit wohl am meisten verbreitete Software für HTTP/HTTPS dürfte wohl Apache sein. Der wird von einer deutlcih größeren Organsisation gepflegt, gewartet und ständig mit updates versorgt.
Glaubst du hier nun auch, dass Rumpus einen webserver vertreibt, der das auch kann? Im besten Fall, wird Rumpus entweder selbst Apache integrieren, einen anderen webserver integrieren, oder den in macOS vorhandenen nuzten.

Im Falle dass Rumpus einen webserver mitliefert: gibt Rumpus regelmäßig updates raus? Oder lassen die das einfach so stehen?

Das sind nur mal ein paar Fragen, die man sich als Serverbetreiber stellen sollte und die man auch beantworten können sollte. Vor allem dann, wenn man im geschäftlichen Umfeld unterwegs ist.
 
thobie schrieb:
verlasse ich mich auf den guten Ruf von Maxum, dem Hersteller der Rumpus-Software
Zum Vergrößern anklicken....

deshalb schnalle ich mich in einem Bentley nicht mehr an, wenn ich im Blindflug mit 100 Sachen
durch die Spielstrasse fahre.

Nur weil die Software vielleicht halbwegs was kann, verlaesst man sich nicht auf diese,
sondern konfiguriert nach Best Effort und Best Practice und allen Regeln der Sicherheit
ein System, weil man selber fuer alles verantwortlich ist, was am Ende passiert. Fuer Alles!

Das ist wie mit diesen QNAP NAS .. jeder kauft sich diese Moehren weil alles bunt und easy
ist und die Dinger werden jede Woche gekapert, die User erpresst, die Daten gestohlen,
einfach weil der Hersteller es nicht auf die Kette bekommt zeitnah seine Klickibunti Kisten
zu fixen und die Zielgruppe in der Regel absolute Laien sind, die es nicht mal merken,
wenn jemand die Dinger seit Wochen fuer Datamining nutzt oder ne Pornoverteilstation
auf der Karre laufen laesst.

Synology hat im Prinzip den gleichen "Fehler", naemlich alles zu einfach zu machen und
auf den "hey ich konfigurier den Router gleich mit" Zug aufgesprungen zu sein, ist aber
wenigstens nicht halb so unsicher wie QNAP. Bei beiden gibt es regelmaessig Patches,
beim einen weil es mal an der Zeit ist, beim anderen weil die Kisten wieder Schlagzeilen
machten.
 
thobie schrieb:
ich bin nicht beratungsresistent.

Ich bin selbstständiger Medienschaffender mit Schwerpunkt Grafik-Design, der sich in anderen Medien- und Computerbereichen gern weiterbildet und auch beraten lässt. Ich bin jedoch kein Informatiker, Code-Liebhaber oder Netzwerkenthusiast.

Somit bin ich nicht beratungsresistent.
Zum Vergrößern anklicken....
Die „Hauptberatung“ lag darin, das Du es am besten ganz anders löst, wenn Du nicht im Thema drin bist.
Das wolltest Du aber bisher nicht einsehen - und das kann man schon als beratungsresistent bezeichnen.
Wenn an sich die möglichen Folgen ausmalt und ein zwei Argumente von Dir liest, ist das sogar noch eine recht harmlose Umschreibung.

Zum heutigen Stand: Ich würde weder als Betreiber noch als Kunde weiter auf das System bzw. das Netzwerk setzen, sehe das ähnlich wie einer der vorherigen Poster (Routerpasswort etc.). Allerdings würde ich nicht vorschnell alles plattmachen, ggf. war es schon ein Fehler, die Dateien zu löschen.
Immerhin kann es auch (ggf. später) um Haftung, Datenschutz etc. gehen, wenn es ganz dumm läuft. Das sind aber nur so spontane Gedanken.
 
Moin Thobie und Helfer,

mich lässt das Thema noch nicht los.

Wie oben beschrieben, solltest Du schauen, ob wirklich ein externer Zugriff stattgefunden hat und ob das nachvollziehbar ist.
Wenn Du Dir das nicht zutraust, dann hole Dir bitte (professionelle / _kompetente_ freundschaftliche) Hilfe um den Mac und die Logs der entsprechenden Systeme zu sichten.

Und dann auf jeden Fall sämtliche Passworte ändern. Auf allen beteiligten Systemen! Und ja, ggfs, die Kiste neu aufbauen!
Die Investition wie in #86 ist ein möglicher Weg, um im kleinen Business einen möglichst gesicherten Zugriff auf eigene Systeme zu bauen.

Ich hoffe nur, dass dieser Mac nicht Dein normaler Arbeits- Mac / Server ist, sondern ein System nur für diese Funktion.
Auch wenn OmarDLittle im ersten Absatz etwas übertreibt, so gebe ich ihm grundsätzlich Recht.

Ich sehe momentan das Problem, dass in einem Forum wie diesem keine echte Grundbildung im Bereich IT und dem Betreiben von sicheren Serverdiensten erfolgen kann. Und auch keine umfangreiche Beschreibung einer "stumpf" abzutippenden Lösung.

Dafür ist das Thema zu komplex / zu umfangreich, wenn man mal wirklich die komplette Strecke beschrieben will.
Hoffe, Du kannst Dir professionelle kompetente Hilfe holen, um für Kunden sichere Dateiübertragungen zu ermöglichen!

Viele Grüße,
Bernd
 
baremac schrieb:
Hallo Thobie,

Ich würde folgendes tun:
- Passworte der FritzBox und falls dort Benutzer eingerichtet sind, deren Passworte auch sofort ändern
Zum Vergrößern anklicken....
Moin, Bernd,

okay, das habe ich geändert. Ich bin der einzige Benutzer, der Zugang mit Passwort auf die Benutzeroberfläche hat und diese konfigurieren kann. Weitere Benutzer sind nur für den Zugang zu einer (nicht mehr benutzten) externen Festplatte als NAS vorhanden, die per USB an den Router per USB angeschlossen ist.
baremac schrieb:
- Im Bereich "Heimnetz / Netzwerk / Netzwerkeinstellungen" weiter unten die beiden Haken unter "Heimnetzfreigaben" für "Anwendungen" und "UPNP" deaktivieren.
Zum Vergrößern anklicken....
Habe ich beides deaktiviert und den Router dann neu gestartet.
baremac schrieb:
Woher weisst Du, dass jemand diese dort abgelegt hat, bzw. gibt es weitere Spuren eines möglichen Einbruchs?
Zum Vergrößern anklicken....
Ich hatte glücklicherweise per Shift+Befehl+. die Anzeige der versteckten Systemdateien aktiviert gehabt. Daher sah ich in einem Kundenordner diese beiden normalerweise unsichtbaren Dateien, die beide einen Punkt vor dem Dateinamen trugen. Eine davon war eine ausführbare UNIX-Datei.
baremac schrieb:
Solltest Du unsicher sein, wäre leider die beste Idee, den Max vom USB-Stick neu zu installieren und Rumpus (mit Zertifikat!) mit Usern und sicheren Kennwörtern neu einzurichten.
Zum Vergrößern anklicken....
Nein, das sollte nicht notwendig sein, ich habe sonst keine Beeinträchtigungen des Systems bemerkt. Aber notfalls habe ich ein Backup des Systems in einem Time Machine Backup.
baremac schrieb:
Weiterhin würde ich nur von extern FTPS und HTTPS zulassen und nicht die HTTP und FTP Ports...
Zum Vergrößern anklicken....
Das verstehe ich nicht, denn die Server-Software braucht die offenen Ports 21 und 80 für FTP und Web.
baremac schrieb:
Ob der Server nun sicher ist, weißt Du nicht....

Viele Grüße
Bernd
Zum Vergrößern anklicken....
Das hoffe ich nun zumindest mit der neuen Software-Version von Rumpus mit dem Zertifikat einmal.

Bleibt gesund!

Grüße aus Hamburg

Thobie
 
Moin, Bernd,

nein, ich nutze diesen Mac nicht als Arbeitsplatzrechner, dafür ist ein anderer Mac konzipiert und konfiguriert. Dieser Mac dient fast ausschließlich der Datenübertragung. Und ist auch ausgeschaltet, sofern nicht ein Kunde Daten ankündigt oder ich einem Kunden Daten zur Verfügung stellen will,

Ich habe jetzt auch die Log-Dateien in der Rumpus-Software entdeckt und werde diese in den nächsten Tagen einmal sichten.

Außerdem habe ich einmal den Hersteller des Routers angeschrieben, was er denn meint, wie ein solcher Angriff möglich war. Und vor allem, wie ich weitere verhindere.

Bleibt gesund!

Grüße aus Hamburg

Thobie
 
thobie schrieb:
Ich hatte glücklicherweise per Shift+Befehl+. die Anzeige der versteckten Systemdateien aktiviert gehabt. Daher sah ich in einem Kundenordner diese beiden normalerweise unsichtbaren Dateien, die beide einen Punkt vor dem Dateinamen trugen. Eine davon war eine ausführbare UNIX-Datei.
Zum Vergrößern anklicken....
Punktdateien/-verzeichnisse sind nicht per se schlecht und es gibt für ihr Vorhandensein verschiedenste Gründe. Auch ausführbar hat erstmal nichts zu sagen, da es davon abhängt mit was für Rechten die Datei nach der Übertragung angelegt werden. Wäre interessant gewesen, wie sie heißen und was der Inhalt war.

Vielleicht stammten sie ja noch von einem alten Kundenupload. Kann also durchaus sein, dass die Dateien nichts mit dem Verdacht auf einen Sicherheitsverstoß zu tun haben.
 
thobie schrieb:
Eine davon war eine ausführbare UNIX-Datei.
Zum Vergrößern anklicken....
Getestet oder im Terminal geprüft?
macOS zeigt so ziemlich alles als "ausführbare UNIX-Datei" an, was kein Suffix hat und vom System nicht als bestimmtes Dateiformat zugeordnet werden kann.
 
Zitieren
  • Gefällt mir
Reaktionen: Carmageddon und dg2rbf
Ein denkwürdiger Thread ...
 
Zitieren
  • Gefällt mir
Reaktionen: Carmageddon und OmarDLittle
Moin, Kollegen,

ich habe jetzt eine Antwort des Herstellers meines Routers erhalten, den ich auf den Hack des Routers angefragt habe und wie das hat stattfinden können.

Der Support-Mitarbeiter teilte mir mit, dass ein Hack des Routers eigentlich nur bei Kennung meines Benutzernamens/Mail-Adresse und des Passwortes möglich gewesen sei.

Er hat mich auf die beiden Sites Identity Leak Checker und haveibeenpwned.com hingewiesen und mich gebeten, meine Mail-Adressen dort auf einen erfolgten Identitäts-Diebstahl zu prüfen.

Zwei meiner Mail-Adressen sind nicht betroffen. Jedoch ist meine sicherlich schon 20 Jahre alte Mail-Adresse bei Apple von einem Identitäts-Diebstahl betroffen. Ich habe vermutlich die Mail-Adresse doch über mehrere Jahre hinweg zu lange mit dem gleichen Passwort betrieben. Und daher gehe ich davon aus, dass dem Hacker diese Daten zu Anmeldung vorlagen.

Ich habe jetzt die folgenden Änderungen durchgeführt:
  • Ich habe erweiterte Push-Benachrichtigungen für Anmeldungen u.a.m. an der FritzBox eingerichtet.

  • Ich habe jedem Benutzerkonto ein neues, stärkeres Passwort zugeordnet. Und ich habe bei jedem Benutzerkonto die entsprechende Mail-Adresse gelöscht. Und meine alte Mail-Adresse bei meinem Konto ebenfalls.

  • Ich habe mir selbst ein anderes Passwort als bisher zugeordnet.

  • Die Hinweise zu Benutzernamen, Mail-Adressen und speziell zu Passwörtern haben mir zu denken gegeben und mich veranlasst, mir für alle Dienste wie Mail-Adressen, Websites-Zugang und anderes neuere, stärkere Passwörter einzurichten.
Bleibt gesund!

Grüße aus Hamburg

Thobie
 
Du reagierst nur, dabei solltest du die Spielregeln bestimmen.


Auch durch die DSGVO gibt es Grundsätze im umgang mit Daten, die man befolgen sollte.
Die Strafen bei Verstößen sind keine zahnlosen Tiger.
 
Zuletzt bearbeitet:
Was wurde denn „gehackt“? Oben schreibst Du „Dein Server“ ... jetzt schreibst Du Dein Router ...
 
Steht der Server denn wenigstens in einer DMZ?
 
Zurück
Oben Unten