[TYPO3-german] Re: Fragen zu Typo3 generell

Christoph Runge christoph.runge at onlinehome.de
Mon Sep 15 15:59:19 CEST 2014


Soo, keine zwei Monate am Entwickeln und schon ne Backdoor (http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~PhpShell-G/detailed-analysis.aspx) auf dem Server - das fängt ja gut an.

Laut Starto BackupControl wurde am 27.08. um 09:45 Uhr eine Datei namens "sdumtry.php" auf dem Webspace erstellt. Laut Avira ein 'PHP/WebShell.ghnia' und ein paar Minuten später eine Datei namens 'wso_root.php', eine 'PHP/Shell.G.1'. Ein paar Tage später habe ich dann zuallererst gemerkt, dass ich keinen Zugriff auf das Backend von Typo3 mehr hatte, mein Passwort wurde nicht akzeptiert.... Da hab ich noch keinen Verdacht geschöpft - bei sowas geb ich mir immer zuerst selber die Schuld. 
Ich habe dann im phpMyAdmin nachgeguckt, das Passwortfeld für 'admin' in be_users hatte eine andere md5-Summe. Leider hat es da bei mir noch nicht 'klick' gemacht und habe einfach ein Neues eingegeben. Erst als mir (im Backend selber!) beim Speichern der Templates plötzlich ein Scareware-Popup entegen leuchtete, hab ich mir mal die Verzeichnisse über das ssh-Interface angeguckt. Überall index.php, in jedem Verzeichnis, die ich nie erstellt habe...

Habe dann sofort alles vom Server runtergeschmissen, meinen PC nach Viren durchsuchen lassen, alle Passwörter ausgetauscht und die Webseite durch ne statische html-Webseite ersetzt. Dann typo3 neu aufgesetzt - und beim nächsten Login das gleiche erlebt! Wieder nen Scareware Popup, 'Ihr Browser ist verwundbar, klicken sie hier, blah,blah'. Dann wurde mir klar, dass ich alles ersetzt habe, nur die Datenbank nicht... :-/

Habe diese jetzt auch gelöscht und fange nochmal von vorne an...leider gibt es bei Strato keine Logs, in denen man nachsehen kann woher Dateien kommen oder wer oder was Datenbankänderungen hervorgerufen hat  - ich würde gerne wissen welche Passwörter komprommitiert waren...

Ich gebe zu, es war absolut bescheuert, das Master-Passwort meines Admins zu übernehmen.... "feuerwehr" my ass...aber es warja nur ne Baustelle :-/

Naja, Lektion gelernt...


More information about the TYPO3-german mailing list