[TYPO3-german] hackerangriff auf TYPO3 website
Burkhardt Wenzel
burkhardt.wenzel at xmental.de
Mon Nov 20 21:23:34 CET 2006
JoH asenau schrieb:
>>> Auch das ist leider nicht richtig. Ich würde mir an Deiner Stelle
>>> das System und vor allem die EXT die ich nutze einmal *richtig*
>>> ansehen. IM WWW "einfach" "irgendwas" abzuliefern ist tödlich, wie
>>> Du gerade gelernt hast.
>> was soll denn das heissen "irgendwas abzuliefern? ich liefere
>> lediglich eine typo3 website ab und als ext sind nur templavoila,
>> frontend user registration und new login box im einsatz: also keine
>> exoten.
>> und dann gibt es da noch die localconf.php wo alles im klartext
>> steht...
>
> ... was ist in diesem Fall denn bitteschön "alles"?
>
> Normalerweise befindet sich dort genau _ein_ DB User mit passendem Passwort.
> Dieser User hat üblicherweise Zugriff auf genau _eine_ DB, nämlich die zur
> Site gehörige.
> Vorausgesetzt, daß dort _nicht_ der User root mit identischem Passwort
> verwendet wurde, bekäme man daher selbst dann keinerlei Vollzugriff auf den
> Server, wenn es jemandem gelungen sein sollte, diese Daten auszulesen.
>
> Alles andere wäre mehr als fahrlässig, weil dann jeder User mit Admin
> Rechten über den DB user "root" (oder einen anderen Universal-User) auf jede
> beliebige andere Datenbank auf dem gleichen Server zugreifen könnte. Das ist
> aber sicherlich kein Problem, das man TYPO3 in die Schuhe schieben darf.
>
> Gleiches gilt für den Apache User, der per Default nicht root heißt (sondern
> bei Debian z.B. www-data), was den Vollzugriff in der Regel von vornherein
> ausschließt. Bei mehreren verschiedenen Kunden auf einem Server ist es
> dennoch zwingend notwendig, mit verschiedenen Apache usern zu arbeiten, weil
> über den Default user sonst zumindest der Zugriff auf fremde Dateien möglich
> wäre.
>
> Aber auch das ist kein Problem, das TYPO3 zu verantworten hätte, sondern
> Basiswissen für den Betrieb eines Webservers.
>
> Wenn es also jemandem gelungen sein sollte, mit einem gekaperten TYPO3
> Rootzugriff auf Deinen Server zu bekommen, müsstest Du, wie Stucki bereits
> festgestellt hat, eigentlich bereits im Vorfeld schwerwiegende
> Sicherheitsmängel eingebaut haben.
> Kannst Du das mit Sicherheit ausschließen?
>
> Joey
>
um gottes willen, mir liegt es völlig fern TYPO3 sicherheitsmängel
anzudichten. vielmehr wollte ich hören, dass dem nicht so ist,
mal abgesehen von der sql injection von 4.0 aber die website läuft
unter 4.02.
der kunde hat einen virtuellen server bei domainfactory.de und an die
apache-konfiguration komm ich gar nicht ran. auszuschliessen ist aber
definitiv, dass der apache-user root heisst und natürlich steht in der
localconf ebenso wenig der user root.
unsere db war von dem angriff verschont geblieben, der fileadmin-ordner
lokal gespeichert. so konnten wir wenigstens schnell wieder alles
herstellen und die website läuft wieder
syonara
burkhardt
More information about the TYPO3-german
mailing list