[TYPO3-german] Malware in Seite

Erdal Gök comm at webcan.de
Thu Oct 21 20:08:06 CEST 2010


Jesse.Adler at telekom.de wrote:
>
> Das hört sich für mich eher nach FTP highjacking an. Schau mal in den logfiles nach heftigen FTP Aktivitäten. Bei einem Kunden ist letztens aufgrund eines verseuchten ftp clients die gesamte Seite heruntergeladen, manipuliert und wieder hochgeladen worden. Die komplette TYPO3 Instanz war mit php-code und Javascripten verseucht. Es sah danach aus, als wenn das Script wusste, dass es sich um eine TYPO3 Instanz handelt, weil gezielt die Dateien manipuliert worden sind, die für eine Ausgabe im Frontend sorgen und damit dann weitere Rechner infizieren. Zwischen Download und upload sind nur wenige Minuten vergangen.
>

Hi,

solch einen Fall hatte ich auch mal. Das einzige Auffällige waren 
massive FTP-Zugriffe von IP-Adressen, die auf Blacklists standen.
Wie es dann weiterging, konnten die Sysadmins auch nicht rausfinden.
Der Server war leider komplett schlecht gepflegt. Ich konnte die 
Log-Dateien anderer Kunden einsehen - Ups.

Grützie

Erdal


More information about the TYPO3-german mailing list