[TYPO3-german] Wie stelle ich "zuverlässig" fest, ob meine TYPO3-Installation gehacked wurde?
Daniela Waranie
typo3-community at gmx.de
Mon Mar 9 14:25:58 CET 2009
Hallo Oliver,
vielen Dank für Deinen Beitrag.
Mir geht es nicht um vorbereitende Arbeiten, um Hacks zu vermeiden /
minimieren, sondern um: "Wie erkenne ich dass ich gehackt wurde?".
Content-Kontrolle:
Ein gutes Stichwort. Gibt es hierzu vielleicht irgend was
automatisiertes (Quasi als Grundaustattung). Hierbei geht es mit nicht
um irgend welche "Texte" oder sonstigen unerwünschten Content. Es geht
mir vielmehr darum, dass kein Content von "fremden" Websites nachgeladen
wird (problematisch dürfe hier nur externes CSS, welches mit JavaScript
und XBL verseuchtes wurde, sowie iframes sein). Dieses sollte sich aber
leicht durch "fremde" URLs in den an den Browser ausgelieferten
HTML-Output von TYPO3 automatisiert erkennen lassen (ggf. direkt bei
Cache-Erzeugung. Gibt es hierfür eine automatisierte Lösung?
Bei XSS ist TYPO3 aber nur der "Durchreicher". XSS gefährdet das System
als solches jedoch nicht. Freilich, es bringt rechtliche Probleme für
den Betreiber des Systems mit sich...
Die manuelle Prüfung wird jedenfalls niemals überflüssig - kann jedoch
auf ein Betriebswirtschaftlich vernünftiges Maß zurückgefahren werden.
Über weitere Tipps, wie das genau oder besonders gut erreicht werden
kann, bin ich sehr dankbar.
Lieben Gruß
Daniela Waranie
Oliver Leitner schrieb:
> Hallo Daniela
>
> Ein guter Hack ist nicht vollständig rückverfolgbar...
>
> Wenn du das übliche "ich schreib dir was auf deine seite" meinst, da
> hilft nur content kontrolle...
>
> Sobald der "Kollege" am Server ist, eventuell auch noch mit root
> account, hilft nur neu aufsetzen.
>
>
> ps: Natürlich gibts so sachen wie tripwire, nagios, gabriel etc... die
> man dafür verwenden kann, aber die bieten halt auch nicht die rundum
> sicherheit, und sind, jenachdem wieviel zugriff eure kunden auf ihre
> "webs(Server)" haben, teilweise nicht mehr wirtschaftlich zu
> verwalten...
>
> Normalerweise sollte man sich hier einiges überlegen, bevor man einen
> Server oder ein Web "hin stellt":
>
> 1. Was sind die geringsten Berechtigungen, mit denen ein Kunde arbeiten kann?
> 2. Wo muss der Kunde wirklich drauf zugriff haben?
> 3. Wie läuft der Backup/Restore Vorgang ab?
>
> lg
> Oliver
>
> 2009/3/9 Daniela Waranie <typo3-community at gmx.de>:
>> Hallo newsgroup,
>>
>> Es ist mir schon klar, dass ich auf eine solch´ pauschale Frage leider
>> keine allumfassende Antwort bekommen kann. Ich würde mich freuen, wenn
>> ich einige Tipps aus der Community bekomme, die mir helfen "ein gutes
>> Gefühl" beim Betrieb einer TYPO3-Installation zurück zu erhalten und zu
>> behalten.
>>
>> 100%tige Sicherheit gibt es ja bekanntlich nicht.
>>
>> Mit euren Tipps werde ich mir ein Prüf-Katalog erstellen, der regelmäßig
>> abgearbeitet wird. Toll wäre es, wenn ich teilweise ein (automatsiertes)
>> Monitoring, z.B. mit Nagios, aufsetzen könnte, um quasi ein
>> Frühwarnsystem zu haben. Tipps hierfür nehme ich ebenfalls gerne an.
>>
>> Bei jedem "TYPO3 Security Bulletin" werde ich immer ganz nervös und
>> schließe schnellst möglich das Loch, wie beschrieben. Aber was ist, wenn
>> die Lücke vor dem Bugfix schon monatelang im System war und vielleicht
>> auch schon ausgenutzt wurde? Meisten versuchen die Hacker, keine
>> Veränderungen vorzunehmen, die auf Ihre Aktivitäten DIREKT hinweisen,
>> damit die TYPO3-Installation "später" für die Zwecke des Hackers
>> vorbereitet ist und einsatzbereit bleibt.
>>
>> Lieben Gruß
>> Daniela Waranie
>> _______________________________________________
>> TYPO3-german mailing list
>> TYPO3-german at lists.netfielders.de
>> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>
>
>
More information about the TYPO3-german
mailing list