Ein Blick in die Logdateien zeigte, da hat jemand in Intervallen die immer zwischen 45 Minuten und 3 Stunden dauerten, mehrmals täglich seine Wörterbuchdateien ausprobiert.

Ja...

Mein Tipp System platt machen und jemand der Ahnung hat beauftragen, das System neu aufsetzen.

... der könnte und sollte auch gleich fail2ban mit konfigurieren. Das beugt derartigen Angriffen sehr effektiv vor. Natürlich geht das nur wenn man einen eigenen (virtuellen) Server betreibt - weil die Massenhoster die schwierig zu lösenden Anfragen an den Kundendienst vermeiden wollen welche fast unweigerlich auflaufen nachdem deren Kunden sich durch falsche Passwörter selbst für eine gewisse Zeit ausgesperrt haben.

Ansonsten hilft, weil die Angreifer ja erst mal nach verwundbaren suchen, ein angepasster Honeypot.

Natürlich hilft das nichts wenn das Login scheinbar berechtigt erfolgt weil entweder ein FTP-Benutzer einen infizierten Rechner hat oder die Freundlichkeit hatte, aus fragwürdigen Netzen heraus Benutzername und Passwort via unverschlüsseltem Protokoll zu verschenken. Hier gilt es die Ursache durch Nachsuchen in den Protokollen zu ermitteln.

=========================================================================  
Beim Massenhosting sollte man auch sehr genau auf die Dateirechte achten.  
=========================================================================

Nehmen wir mal an, ein Kunde habe ein eigenes Verzeichnis:

/kunden/k0815

Dieses Verzeichnis muss für jeden betretbar sein (sondt könnte es der Webserver nicht). Die Rechte am Verzeichnis werden also sinnvoller Weise auf 0755 (rwx,r-x,r-x) gesetzt.

In diesem Verzeichnis liegt jetzt eine index.html mit den Rechten 0666 (rw-,rw-,rw-) - was KEINE gute Idee ist, wei sich gleich zeigt:

Ist es einem Angreifer gelungen sich im Auftritt irgend eines der anderen 1000 Kunden auf dem Server eine php-shell zu installieren, dann kann er mit einem simplen ...

echo '<script type="text/javascript">alert("Toll! Das hat geklappt!");</script>' >> /kunden/k0815/index.html

... seinen virulenten Code anhängen ohne eingeloggt zu sein.

Abhilfe: Setzen der Rechte an der Datei auf 0644 (rw-,r--,r--)

Viele denken nämlich, wenn man der Gruppe und der Welt das Schreiben ins Verzeichnis verbietet, so hätte man denen auch das Schreiben in die darin enthaltenen Dateien verboten.

So ist es aber NICHT.

Jörg Reinholz