[TYPO3-german] Sicherheitslücke aufspüren

ulrich good945 at gmail.com
Wed Jun 19 15:28:13 CEST 2013


Hallo Liste,
da die Diskussion sehr spekulativ wird, hier ein paar Infos:

Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME
hinzugefügt.
In diesem IFRAME hat er dann Flash/Java initialisiert und den GVU-Trojaner
im Windows des Users installiert.
Es wurde nichts am TS oder im BE verändert.
Ich kann mir auch beim besten Willen nicht vorstellen, dass jemand die
Seite gezielt angegriffen hat.
Ich denke eher, dass jemand per Script nach IP-Ranges abfragt, URLS checkt
und dann den Schadcode ausführt.
Alle involvierten Domains/server sind natürlich mit Privacy Protected. Ein
whois läuft also ins leere.
Nichtsdestotrotz hab ich dem Hoster (OVH) eine Abuse-Meldung zukommen
lassen.
Dort liegen - wie es scheint - die Dateien, die die Rechner der User
infizieren.

Und da ich bisher von solchen Themen verschont geblieben bin, war meine
Frage:

Habt ihr *praktische* Tipps?
ZB welche Dokus man lesen könnte, Tools zur Analyse, ...
Es kann ja auch sein, dass der Angreifer nicht übers Typo3 kam, sondern
über JavaScript.
Also muss ich die Logs auch nach manipulierten JS-Aufrufen durchsuchen,
etc...
Alles Sachen, die ich bisher nur aus schlechten Filmen kannte ;)

Was ich bisher gemacht hab:
Logfiles für FTP überprüft. > Sauber
Logfiles nach Direktaufrufen von URLs in typo3conf/ext/ durchsucht >
Nichts. Bringt das überhaupt was?
Logfiles mit apache-scalp* nach diversen Patterns (SQLInjections, etc)
durchkämmt > Nichts.
Logfiles für ssh > Warte noch auf Zugriff. Ist ein Managed Server.

Bin wie gesagt, über jeden praktischen Tipp mehr als dankbar!

Schönen Tag und angenehmes Schwitzen

Ulrich


Am 19. Juni 2013 07:00 schrieb Andreas Becker <ab.becker at web.de>:

> Richtig Georg -
>
> Insider Wissen und wenn man quasi an der Quelle sitzt ist immer hilfreich
> bei solchen Dingen.
> Ist aber in jedem Berufsfeld zB beim Boersenhandel ja nicht anders!
>
> Es wird sich immer die Frage stellen wie sicher ist der
> Sicherheitsexperte/das Sicherheits Team/ wer kontrolliert das und wie wird
> es kontrolliert etc.
>
>
> Andi
>
>
> 2013/6/19 Georg Ringer <typo3 at ringerge.org>
>
> > Hallo,
> >
> > Am 19.06.2013 01:35, schrieb Andreas Becker:
> > > wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der
> > > Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und
> > dort
> > > einen neuen User angelegt hat und mit diesem eiloggte ins Backend
> >
> > - Es ist ziemlich selten dass die DB komplett von außen erreichbar ist.
> > Wenn das wirklich der Fall ist, hat es ohnedies ein anderes Problem.
> >
> > - Wie kommt man zu den Credentials der DB? Das geht nur über eine File
> > Disclosure, dh es braucht schon mind 2 Lücken.
> >
> > > Aus eigener Erfahrung [...] Da kann man dann einiges abändern z.B. TS
> > oder
> > > simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann
> mit
> > > einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird.
> Und
> > > man kann Extensions installieren mit denen man u.a. auch die
> > Configurations
> > > Dateien editieren kann "from within TYPO3!" etc..
> >
> > ist das jetzt noch aus eigener Erfahrung? SCNR
> >
> > > Sicherheitsluecken werden dabei evtl. auch schon vor einer
> > > veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org
> > > ausgenutzt.
> >
> > Natürlich. Ist ja nicht so als ob die "Bösen" nicht miteinander
> > kommunzieren bzw werden Lücken ja auch gegen Bares gehandelt.
> >
> > Genau das ist auch der Standpunkt warum es keine Patch Days gibt, da das
> > nur heißt dass man Betreiber noch länger davon nichts weiß.
> >
> > aber wir sind nicht mehr beim initialen Thema
> >
> > Georg
> >
> > _______________________________________________
> > TYPO3-german mailing list
> > TYPO3-german at lists.typo3.org
> > http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
> >
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>


More information about the TYPO3-german mailing list