Lt. Seitenbetreiber kann der nicht nachvollziehen, wie der ins Ssystem kam - außer halt mit einem PWD. Da mehr oder weniger Zeitgleich seine Rechner zu Hause mit einem Verschlüsselungstrojaner überrollt wurden, gehe ich aktuell davon aus, dass die immer noch Zugriff auf sein System haben und daher das neue Passwort übernommen haben.
Ich habe jetzt ihm geraten, dass ich die PWD von meiner Kiste aus ändere, was ich auch gemacht habe. Was mir aufgefallen ist, "meinen"
ftp-Zugang zur Seite hat der Angreifer gelöscht und einen "Default" Zugang angelegt. das Passwort habe ich schon geändert. Ich habe alle Dateien mal durchgeschaut, keine Änderung lt. Datumsangabe seit dem letzten Einbruch.
Ich werde jetzt noch die pwd der Emailaccounts ändern - Datenbanken sind keine angelegt - hat jemand ne Idee, was ich ggf. übersehen habe / noch überprüfen könnte?
Vielleicht ist mit dem Verschlüsselungstrojaner auch weitere unerwünschte Schnüffelsoftware bei ihm gelandet.
Ähnliches ist letztens beim Linus Tech Tips Youtube-Kanal passiert:
Jemand war als Admin auf einem infizierten System eingeloggt. Die Schnüffelsoftware hat aber nicht das Passwort geklaut, sondern den Session-Cookie aus dem Browser.
Egal wie oft das Passwort geändert wurde, und auch egal ob ggf. sogar ein Zweitfaktor beim Login abgefragt wurde: am Ende landet ein Cookie im Browser als Beweis das er authentifiziert wurde. Wird dieses Cookie Abgefangen, kann ein Angreifer damit mit seinem Browser den Login umgehen und ist sofort "drin".