[TYPO3-german] Wie stelle ich "zuverlässig" fest, ob meine TYPO3-Installation gehacked wurde?

David Bruchmann david at bruchmann-web.de
Mon Mar 9 11:17:16 CET 2009 

Hallo Daniela,

je kritischer ein "Hack" ist, desto weniger läßt er sich nachweisen.
Wenn jemand Admin-Zugriff ergaunert, kann er neben Daten Log-Dateien und 
Zugriffs-Zeitdaten manipulieren, und somit Änderungen an Dateien 
verschleiern. Ausserdem werden durch reine Lese-Vorgänge von 
Benutzerdaten die Zugriffszeiten ja auch nicht geändert.

Eine relativ sichere Methode ob Änderungen durchgeführt wurden, ist 
regelmäßig Backups mit den aktuellen Daten zu vergleichen.

Auch die Apache-Logfiles geben evtl. Hinweis auf ungewöhnliche Zugriffe, 
aber die kann jemand mit Systemzugriff - wie gesagt - manipulieren.

100%ige Sicherheit gibts nicht, aber eine Infomail bei Serverlogin 
könnte man evtl. integrieren - So wie beim TYPO3-Login auch, nur auf 
Serverebene. Dort könnte man auch IP und Zeitstempel integrieren, evtl. 
auch gleich die IP auflösen, also in Domain übersetzen lassen.
Diese Mail müßte dann ohne Verzögerung verschickt werden, weil ein 
Eindringling sie sonst evtl. abfangen könnte - sofern er das System kennt.

Generell sinnvoll währe ein Zugriff auf die Datenbank mit verschiedenen 
Accounts, so daß Frontendbenutzer keinen unnötigen theoretischen Zugriff 
auf Tabellen des Backends erhalten. Allerdings ist so eine Trennung 
normalerweise nicht vorgesehen und ein generell unerlaubter Datenzugriff 
wird durch Vermeidung von Möglichkeiten zu SQL-Injection unterbunden.

Ausserdem kannst Du regelmäßig Passwörter ändern und die Länge der 
Passwörter erhöhen.

Das HTTPS-Protokoll bietet auch Schutz durch Zertifikate und 
Verschlüsselung, allerdings läßt sich das auch aushebeln und dient in 
erster Linie dazu, daß Daten, die Zwischen Server und Client übertragen 
werden nicht von Zwischenstationen mitgelesen werden können.

Der Aufwand Spuren zu verschleiern oder eine "sichere" Verbindung zu 
knacken ist relativ hoch, fragt sich also immer ob Sicherheitsmassnahmen 
im Verhältnis zu den Daten stehen.

Für Frontendseiten kannst Du ein Skript integrieren, das verhindert, daß 
eine Seite per Skript aufgerufen oder in einem Frame angezeigt wird. 
Dadurch verhinderst Du Pishing-Versuche.

Viele Grüße
David


----- Ursprüngliche Nachricht -----
Von:        Daniela Waranie <typo3-community at gmx.de>
Gesendet:   Montag, 9. März 2009 10:37:26
An:         typo3-german at lists.netfielders.de
CC:
Betreff:    [TYPO3-german]  Wie stelle ich "zuverlässig" fest, ob meine 
TYPO3-Installation gehacked wurde?
> Hallo newsgroup,
> 
> Es ist mir schon klar, dass ich auf eine solch´ pauschale Frage leider 
> keine allumfassende Antwort bekommen kann. Ich würde mich freuen, wenn 
> ich einige Tipps aus der Community bekomme, die mir helfen "ein gutes 
> Gefühl"  beim Betrieb einer TYPO3-Installation zurück zu erhalten und zu 
>   behalten.
> 
> 100%tige Sicherheit gibt es ja bekanntlich nicht.
> 
> Mit euren Tipps werde ich mir ein Prüf-Katalog erstellen, der regelmäßig 
> abgearbeitet wird. Toll wäre es, wenn ich teilweise ein (automatsiertes) 
> Monitoring, z.B. mit Nagios, aufsetzen könnte, um quasi ein 
> Frühwarnsystem zu haben. Tipps hierfür nehme ich ebenfalls gerne an.
> 
> Bei jedem "TYPO3 Security Bulletin" werde ich immer ganz nervös und 
> schließe schnellst möglich das Loch, wie beschrieben. Aber was ist, wenn 
> die Lücke vor dem Bugfix schon monatelang im System war und vielleicht 
> auch schon ausgenutzt wurde? Meisten versuchen die Hacker, keine 
> Veränderungen vorzunehmen, die auf Ihre Aktivitäten DIREKT hinweisen, 
> damit die TYPO3-Installation "später" für die Zwecke des Hackers 
> vorbereitet ist und einsatzbereit bleibt.
> 
> Lieben Gruß
> Daniela Waranie

More information about the TYPO3-german mailing list