[TYPO3-german] hackerangriff auf TYPO3 website

[JoH asenau]

>> Auch das ist leider nicht richtig. Ich würde mir an Deiner Stelle
>> das System und vor allem die EXT die ich nutze einmal *richtig*
>> ansehen. IM WWW "einfach" "irgendwas" abzuliefern ist tödlich, wie
>> Du gerade gelernt hast.
>
> was soll denn das heissen "irgendwas abzuliefern? ich liefere
> lediglich eine typo3 website ab und als ext sind nur templavoila,
> frontend user registration und new login box im einsatz: also keine
> exoten.
> und dann gibt es da noch die localconf.php wo alles im klartext
> steht...

... was ist in diesem Fall denn bitteschön "alles"?

Normalerweise befindet sich dort genau _ein_ DB User mit passendem Passwort.
Dieser User hat üblicherweise Zugriff auf genau _eine_ DB, nämlich die zur
Site gehörige.
Vorausgesetzt, daß dort _nicht_ der User root mit identischem Passwort
verwendet wurde, bekäme man daher selbst dann keinerlei Vollzugriff auf den
Server, wenn es jemandem gelungen sein sollte, diese Daten auszulesen.

Alles andere wäre mehr als fahrlässig, weil dann jeder User mit Admin
Rechten über den DB user "root" (oder einen anderen Universal-User) auf jede
beliebige andere Datenbank auf dem gleichen Server zugreifen könnte. Das ist
aber sicherlich kein Problem, das man TYPO3 in die Schuhe schieben darf.

Gleiches gilt für den Apache User, der per Default nicht root heißt (sondern
bei Debian z.B. www-data), was den Vollzugriff in der Regel von vornherein
ausschließt. Bei mehreren verschiedenen Kunden auf einem Server ist es
dennoch zwingend notwendig, mit verschiedenen Apache usern zu arbeiten, weil
über den Default user sonst zumindest der Zugriff auf fremde Dateien möglich
wäre.

Aber auch das ist kein Problem, das TYPO3 zu verantworten hätte, sondern
Basiswissen für den Betrieb eines Webservers.

Wenn es also jemandem gelungen sein sollte, mit einem gekaperten TYPO3
Rootzugriff auf Deinen Server zu bekommen, müsstest Du, wie Stucki bereits
festgestellt hat, eigentlich bereits im Vorfeld schwerwiegende
Sicherheitsmängel eingebaut haben.
Kannst Du das mit Sicherheit ausschließen?

Joey

-- 
Wenn man keine Ahnung hat: Einfach mal Fresse halten!
(If you have no clues: simply shut your knob sometimes!)
Dieter Nuhr, German comedian
openBC: http://www.cybercraft.de
T3 cookbook: http://www.typo3experts.com