# Kennwörter werden "vergessen"



## hahni (21. Juli 2008)

Hallo zusammen, hallo Till!

Ein merkwürdiges Phantomen fällt mir derzeit auf:
Ein Kunde fragte vor kurzem, warum bei ihm ein Kennwort nicht mehr ging. Ich war der Meinung, dass er es vergessen hatte. Genau dieser Kunde hatte auch beim zweiten Mal mit einem Benutzer das Kennwort-Problem.

Darauf hin habe ich ihm geraten, das Kennwort des Kundenbereiches zu ändern (um auszuschließen, dass der Zugang ausgespäht wurde). Interessanterweise habe ich aber heute selbst das Problem, dass plötzlich das Kennwort meines eigenen Datenbankbenutzers nicht mehr geht und offensichtlich auch hier das Kennwort "vergessen" wurde!

Lt. "rkhunter" kein Rootkit. Auch sonst erachte ich die Kennwörter als sicher und konnte keine Sabotage feststellen. Woran könnte dies noch liegen? Falls es Sabotage ist: wie könnte ich dies am Leichtesten feststellen?

Viele Grüße

Hahni


----------



## Till (21. Juli 2008)

Um was für ein Kennwort geht es genau? 

- ISPConfig Client Login
- MySQL Datenbank Passwort
- FTP / Mail User Passwort

Alle diese Kennworte werden auf unterschiedliche Weise erzeugt und an unterschiedlichen Orten gespeichert.


----------



## hahni (21. Juli 2008)

Zitat von Till:


> Um was für ein Kennwort geht es genau?
> 
> - ISPConfig Client Login
> - MySQL Datenbank Passwort
> ...


Bis jetzt immer FTP/Mail!


----------



## Till (21. Juli 2008)

Ok, dann sieh bitte mal nach, ob zwischen der letzten Änderung eines Passwortes, die Dir bekannt ist bis zum "nicht mehr funktionieren" Zeitpunkt etwas zu doesem Usernamen in der /home/admispconfig/ispconfig/ispconfig.log Datei vermerkt ist.


----------



## hahni (21. Juli 2008)

Da ist kein Eintrag und auch keine Auffälligkeit vermerkt


----------



## Till (21. Juli 2008)

Ok, dann kann ich es auch nur schwer eingrenzen. Du hast nicht zufällig noch einen Account mit dem gleichen Problem, bei dem Du in der /etc/shadow nachsehen könntest, ob überhaupt ein Kennwort gesetzt ist?

Nutzt Du noch irgendeine andere admin Software parallel, welche die /etc/shadow ändern könnte?


----------



## hahni (21. Juli 2008)

Anfänglich dachte ich, dass jetzt gar nichts mehr geht. aber mit dem Fehler von MySQL war ich schon mal froh!

Andere Admin-Panels setze ich nicht ein. Ebenso nehme ich keine Änderungen per Hand vor.

Nachdem das MySQL-Problem nichts damit zu tun hat, beschränken sich die Reklamationen bis jetzt auf den Kunden und seine 2 Accounts.

Vielleicht wurde doch sein Zugang gehackt? Aber derartige Auffälligkeiten konnte ich in seinen Logs nicht finden!


----------



## Till (21. Juli 2008)

Ich würde rkhunter mal automatisch als cron einmal pro Tag laufen lassen und Dir den Output als mail schicken lassen. Wenn dass dann nochmal auftritt, kannst Du in den mails nachsehen wann und ob rkhunter eine Änderung an dem Passwort des Users festgestellt hat.


----------



## hahni (21. Juli 2008)

Das ist eine an und für sich gute Idee. Somit könnte man feststellen, ob im großen Stil Kennungen geändert werden und falls ja: unter welcher Kundenkennung. In diesem Fall kann man wirklich von einer geklauten Kennung ausgehen!

Kann ein Kunde eigentlich für ein Web selbst eine Kennung für die Oberfläche vergeben? Normalerweise nur der Admin oder ein Reseller, richtig? Dieser Kunde hat zwar mehrere Webs, aber ist als Kunde eingetragen! Somit dürfte sich ein evtl. Schaden "nur" auf die FTP-/Mail-User beschränken, richtig?


----------



## Till (21. Juli 2008)

Ja, ein Kunde kann selber nur mysql und ftp / mail Passworte seines Webs ändern. Außer natürlich, es gibt einen Bug in ISPConfig, aber da ist mir nichts bekannt.


----------



## hahni (21. Juli 2008)

Gut, dass ich ihn so angelegt habe! Ich werde einmal beobachten, wie sich die Situation nun entwickeln wird, nachdem er sein Kundenkennwort geändert hat. Von anderen Kunden ist mir sowas noch nicht zu Ohren gekommen und mit MySQL hab ich glücklicherweise nur Panik geschoben...

Einstweilen vielen Dank für deine Mithilfe und eine erholsame Nachtruhe!


----------



## planet_fox (25. Juli 2008)

hi björn ich konnte dies auch schon beobachten


----------



## hahni (25. Juli 2008)

Hey Fox 

Bisher ist das Problem beim gleichen Kunden 2x aufgetreten. Über rkhunter konnte ich leider nix feststellen (zumal ich den Kunden angewiesen hatte, sein Kundenkennwort zu ändern).

Von daher stellt sich nun die Frage, was es dennoch sein könnte. Ich bin immer sehr ängstlich, es könnte sich ein Rootkit breitmachen. Doch ich versuche, Vorsichtsmaßnahmen zu treffen...

Wie hat sich das bei dir geäußert?

Viele Grüße

Hahni


----------



## planet_fox (25. Juli 2008)

bei drei accounts 2 mal email pw und 1 x mal ftp .

konnte in logs nix finden. aber ich glaube nicht an rootkit.

Die Sache mit der shodow veränderung, könnte vielleicht anfang für die suche sein


----------



## Andis (13. Aug. 2008)

Das Problem mit dem "vergessen" habe ich auch.
Allerdings liegt es bei mir am Browser und zwar ausnahmsweise am FF. Wenn ich im _ISP Manager_ in der Maske _User&Email_ einen spezifischen _ISP User_ wähle ist das Passwortfeld im FF mit **** belegt. Was auch immer da voreingestellt ist wird schon beim Wechsel in ein Untermenü, z.b. Erweiterte Einstellungen, gespeichert. Der IE 7 macht das nicht.

Vielleicht liege ich aber auch voll daneben und euer Problem hat damit nichts zu tun.


----------

