[TYPO3-german] Malware in Seite

[Christian Wolff]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 21.10.2010 09:34, schrieb Georg Ringer:
> Hallo,
> 
> gleich vorweg: Bitte keine sicherheitsrelevanten Themen in Listen,
> Foren, Stammtischen diskutieren sondern *nur* mit dem Security Team!

Hallo Georg,
ich denke jeder sollte die sicherheit von typo3 diskutieren! spezielle
der punkt wie mache ich ein typo3 / meinen server sicher. und wie räume
ich auf wenn doch mal etwas schief geht.

natürlich hast du recht wenn eine neue sicherheitslücke entdeckt wird.
sollte man das nicht zu erst in der öffentlichkeit breit treten sondern
erstmal im "privaten" mit dem securtiy team besprechen damit ein
entsprechender patch bereit steht wenn die lücke dannn öfentlich bekannt
gegeben wird.

denke aber das es jan hier nicht darum ging eine neue lücke zu melden
sondern zu klären wie er herausbekommen kann wie die infektion gelaufen ist.

nun zu Jans Problem wenn du dir das änderungsdatum der *.js dateien
anguckst solltest du herausfinden können ob diese vor oder nach deinem
typo3 update verändert wurden. damit kannst du eine erste einschätzung
gewinnen ob es denn die bekannte typo3 lücke sein könnte. ansonsten
hilft eventuell logfile lesen/filtern aber auch das ist keine garantie..

typo3 ist natürlich nicht die einzige software die auf so einem server
läuft und auch andere software hat sicherheitslücken.

es währe also gut möglich das der angreifer über eine ander site andere
software eingedrungen ist. häufig wird dann erstmal eine php-shell.
irgendwo auf dem server versteckt. tief vergraben in irgend einem
unterverzeichnis von dort aus werden dann die anderen dateien infiziert.
in deinem fall offensichtlich alle *.js dateien in deinem fall.
guck auf jedenfall noch mal alle ordner deines webservers durch ob nicht
noch irgnedwo ein script liegt das dort nicht hingehört. oder noch
besser spiele lösche die daten der sites und spiele diese komplett neu
ein soweit sich das eben machen läst.

ich nehme mir in so einem fall immer die apache logfiles for. selbst
wenns nicht garantiert ist ob man dort etwas findet.
da hier nur angriffe auftauchen würden die GET benutzen also quellcode
per URL parameter einschläusen die POST angriffe würden hier nicht
auftauchen. aber trozdem lohnt es sich danach zu suchen.

wenn du den zeitpunkt des angriffes ungefähr einschätzen kannst kannst
du auch einfach erstmal gucken welche dateien sich denn überhaupt in der
zeit geändert haben.

gruss chris

> 
> Am 21.10.2010 09:26, schrieb Jan Kornblum:
>> Was meint ihr? Typisches Szenario für augenutze Sicherheitslücke (s.o.),
>> oder andere Ursache? Und nach was könnte man in den Apache Logfiles
>> suchen um herauszufinden, ob das ganze über TYPO3 reinkam?
> 
> Ich würde mal die FTP-Logs checken. Zumindest kenne ich ähnliches wo ein
> FTP-Account geknackt wurde, vermutlich über eine Malware am PC selbst,
> und dann wurden alle Files via FTP geändert.
> 
> lg georg

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (MingW32)

iEYEARECAAYFAky//+UACgkQIcCaXPh/JHGAhgCgjcLeLL7Kj7DPZu2aSko/pp1v
oOkAn2/bLc0jjNrlhlyWNdaRImVJ2i6c
=2HZs
-----END PGP SIGNATURE-----