[TYPO3-german] hackerangriff auf TYPO3 website

[Jörg]

Hi,

> dabei wurden sämtliche lokalen dateien vom server gelöscht
> und die index.php modifiziert.

> wie kann ein hacker zugriff auf die lokalen dateien einer TYPO3
> website bekommen?

Das klingt mir stark nach einem Angriff per Buffer-Overflow mit 
anschließender Möglichkeit alles auf dem Webserver zu amchenw as man 
möchte.

Untersuch bitte zunächst alle apachelogs nach Zugriffen von der 
vermeidlichen IP. Entweder ist in TYPO3 wirklich eine fiese 
Sicherheitslücke oder der Angreifer kam anders auf den Server.

Wenn es Dein eigener Server ist würde ich ihn schleunigst einem 
Security-Audit unterziehen lassen. Wenn es gemieteter Webspace  oder ein 
Managed Server ist würde ich den ISP darauf aufmerksam machen.

Sollte es Deine eigene Kiste sein und jemand hat ne Sicherheitslücke in 
Apache bzw. PHP ausgenutzt, dann wird dir vermutlich nichts anderes 
übrig bleiben die Kiste neu aufzusetzen, weil Du NIEMALS weisst welche 
Dateien kompromitiert sind.

Und wieso hasst du Erklärungsnot gegenüber Deinem Kunden? Das eine 
Website mal wech ist oder ein Hackerangriff eine Website defaced bzw. 
ein Hacker einen Server übernimmt ist keine Seltenheit und mit 
vernünftigen Backups sollte die Situation zeitnah wieder gerichtet sein.

Wenn Du jedoch den Fehler selber nicht gemerkt hast und es Dein eigener 
Server ist, würde ich mir Gedanken über Dein Server- und 
Monitoringkonzept machen.

Gruß

Jörg Sprung