[TYPO3-german] hackerangriff auf TYPO3 website

[Jens Hoffmann]

(Zu deiner Frage: Nein das System läuft nicht als Root.)

Da leider alle Logfiles gelöscht wurden, ist es für mich sehr schwer
den genauen Angriffsablauf zu rekonstruieren. Es wurden aber irgendwie
PHP-Dateien hochgeladen und über diese dann bin's. Die dann den
eigentlichen Schaden verursacht haben. Diese Dateien habe ich gefunden.
Kann aber leider Ihre funktion nicht zuordnen. Nur eine Log-Datei haben sie
vergessen: Die in der die SSH/Konsolen Eingaben gespeichert werden.
Daher sehe ich was sie gemacht haben, nachdem sie Rootrechte erlangt
haben. Nur wie es dazu kam ... sehe ich leider auch so nicht ... ich
muss ein besseres Sicherheitskonzept einsetzen ...

Die wussten scheinbar sehr gut bescheit. 1&1 geht nicht von Script-Kiddis
aus, sondern von einem ernsthaften Kaper versuch. Um mit meinem Server
dann den eigentlichen Hack zu starten. :(

Ich setze gerade das ganze System neu auf, da ich mir nicht sicher seien
kann was alles neu modifiziert wurde. z.B.: wurde SSH neu compiliert ...

Bin für jeden Tipp zu haben!

Greez Jens

Michael Stucki schrieb:
> Hallo Jens,
> 
>> Mein Server wurde auch letze Woche intensivierst angegriffen.
>> Nachdem "sie" (24 Angreifen, laut 1&1) Root-Rechte erhalten
>> hatten starteten "sie" eine Angriff auf einen anderen Server.
>> Das hat dann 1&1 gemerkt und meinen Server vom Netz genommen.
>>
>> Da nur Typo3 Seiten auf dem Server laufen, ist es für mich
>> am wahrscheinlichsten das Sie via Typo3 den Rechner
>> gekapert haben. Leider sind alle Logs weg ...
> 
> Läuft denn TYPO3 / dein Apache bei dir mit Root-Rechten? Ich verstehe den
> Zusammenhang nicht ganz, wie man mit einem gekaperten TYPO3-System
> Root-Rechte erhalten soll...?
> 
> - michael