[TYPO3-german] Malware in Seite

[Jan Kornblum]

Hi Gruppe,

> Das hört sich für mich eher nach FTP highjacking an. Schau mal in den 
> logfiles nach heftigen FTP Aktivitäten. Bei einem Kunden ist letztens 
> aufgrund eines verseuchten ftp clients die gesamte Seite heruntergeladen, 
> manipuliert und wieder hochgeladen worden. Die komplette TYPO3 Instanz war 
> mit php-code und Javascripten verseucht. Es sah danach aus, als wenn das 
> Script wusste, dass es sich um eine TYPO3 Instanz handelt, weil gezielt die 
> Dateien manipuliert worden sind, die für eine Ausgabe im Frontend sorgen und 
> damit dann weitere Rechner infizieren. Zwischen Download und upload sind nur 
> wenige Minuten vergangen.

Die FTP-Logs sind der Hammer ;) Schwärzer auf weiss kann man es quasi 
nicht haben ;) Danke für eure Hinweise / Kommentare...

Und wegen der Debatte, ob sowas hier diskutiert wird oder nicht: Ich 
habe hier weder Angaben zur TYPO3-Version noch zu Extensions noch zum 
Hosting etc. gemacht. Es war also sehr allgemein gehalten... Finde, 
sowas nützt der Community sicher mehr als dass es schaden könnte...

Ich selbst habe sowas z.B. noch nie "live" und zum Glück ist hier nicht 
mein FTP-Zugang verwendet worden ;) Ist eh die Frage, bei SFTP/SSH mit 
Publickey dürfte sowas auch nicht so einfach sein, denke ich.

Lieben Gruss, Jan