[TYPO3-german] Wie stelle ich "zuverlässig" fest, ob meine TYPO3-Installation gehacked wurde?

[Christian Wolff]

Daniela Waranie schrieb:
> Hallo newsgroup,
> 
> Es ist mir schon klar, dass ich auf eine solch´ pauschale Frage leider
> keine allumfassende Antwort bekommen kann. Ich würde mich freuen, wenn
> ich einige Tipps aus der Community bekomme, die mir helfen "ein gutes
> Gefühl"  beim Betrieb einer TYPO3-Installation zurück zu erhalten und zu
>  behalten.
> 
> 100%tige Sicherheit gibt es ja bekanntlich nicht.
> 
> Mit euren Tipps werde ich mir ein Prüf-Katalog erstellen, der regelmäßig
> abgearbeitet wird. Toll wäre es, wenn ich teilweise ein (automatsiertes)
> Monitoring, z.B. mit Nagios, aufsetzen könnte, um quasi ein
> Frühwarnsystem zu haben. Tipps hierfür nehme ich ebenfalls gerne an.
> 
> Bei jedem "TYPO3 Security Bulletin" werde ich immer ganz nervös und
> schließe schnellst möglich das Loch, wie beschrieben. Aber was ist, wenn
> die Lücke vor dem Bugfix schon monatelang im System war und vielleicht
> auch schon ausgenutzt wurde? Meisten versuchen die Hacker, keine
> Veränderungen vorzunehmen, die auf Ihre Aktivitäten DIREKT hinweisen,
> damit die TYPO3-Installation "später" für die Zwecke des Hackers
> vorbereitet ist und einsatzbereit bleibt.
> 
> Lieben Gruß
> Daniela Waranie

Hi Daniela, es ist schwehr zu sagen wann ein system kompromitiert wurde.
wenn du als "hacked" bereits den zustand meinst das jemand an das admin
passwort gekommen ist kannst du es gar nicht festellen.

angenommen jemand ist durch eine lücke in typo3 oder extension an die
zugangsdaten für einen admin user gekommen.

dann ist dein system kompromitiert. selbst wenn der hacker noch nix
verändert hat. könnte er es jederzeit (und vieleicht wartet er ja auch
nur auf den richtigen zeitpunkt)

gegen sowas hilft nur ein regelmäßiger passwort wechsel.

gruss chris


-- 
Christian Wolff // Berlin
http://www.connye.com

some projects:
http://richtermediagroup.com | http://titanic.de |
http://fairplay-homepage.de