[TYPO3-german] Wie stelle ich "zuverlässig" fest, ob meine TYPO3-Installation gehacked wurde?

Andreas Becker ab.becker at web.de
Mon Mar 9 14:44:05 CET 2009 

Hi Daniela
Auch wenn es hier um Browser geht, aber vielleicht kannst du hier etwas
herausziehen was dich weiterbringt:

http://www.xnos.org/fileadmin/labs/wef/2007_WEF_Linuxtag.pdf

http://www.xnos.org/security/web-exploit-finder.html

http://www.linuxtag.org/2007/en/conf/events/vp-freitag/details-talkid-95.html


Gruss
Andi


2009/3/9 Daniela Waranie <typo3-community at gmx.de>

> Hallo Oliver,
>
> vielen Dank für Deinen Beitrag.
> Mir geht es nicht um vorbereitende Arbeiten, um Hacks zu vermeiden /
> minimieren, sondern um: "Wie erkenne ich dass ich gehackt wurde?".
>
> Content-Kontrolle:
> Ein gutes Stichwort. Gibt es hierzu vielleicht irgend was
> automatisiertes (Quasi als Grundaustattung). Hierbei geht es mit nicht
> um irgend welche "Texte" oder sonstigen unerwünschten Content. Es geht
> mir vielmehr darum, dass kein Content von "fremden" Websites nachgeladen
> wird (problematisch dürfe hier nur externes CSS, welches mit JavaScript
> und XBL verseuchtes wurde, sowie iframes sein). Dieses sollte sich aber
> leicht durch "fremde" URLs in den an den Browser ausgelieferten
> HTML-Output von TYPO3 automatisiert erkennen lassen (ggf. direkt bei
> Cache-Erzeugung. Gibt es hierfür eine automatisierte Lösung?
>
> Bei XSS ist TYPO3 aber nur der "Durchreicher". XSS gefährdet das System
> als solches jedoch nicht. Freilich, es bringt rechtliche Probleme für
> den Betreiber des Systems mit sich...
>
> Die manuelle Prüfung wird jedenfalls niemals überflüssig - kann jedoch
> auf ein Betriebswirtschaftlich vernünftiges Maß zurückgefahren werden.
> Über weitere Tipps, wie das genau oder besonders gut erreicht werden
> kann, bin ich sehr dankbar.
>
> Lieben Gruß
> Daniela Waranie
>
> Oliver Leitner schrieb:
> > Hallo Daniela
> >
> > Ein guter Hack ist nicht vollständig rückverfolgbar...
> >
> > Wenn du das übliche "ich schreib dir was auf deine seite" meinst, da
> > hilft nur content kontrolle...
> >
> > Sobald der "Kollege" am Server ist, eventuell auch noch mit root
> > account, hilft nur neu aufsetzen.
> >
> >
> > ps: Natürlich gibts so sachen wie tripwire, nagios, gabriel etc... die
> > man dafür verwenden kann, aber die bieten halt auch nicht die rundum
> > sicherheit, und sind, jenachdem wieviel zugriff eure kunden auf ihre
> > "webs(Server)" haben, teilweise nicht mehr wirtschaftlich zu
> > verwalten...
> >
> > Normalerweise sollte man sich hier einiges überlegen, bevor man einen
> > Server oder ein Web "hin stellt":
> >
> > 1. Was sind die geringsten Berechtigungen, mit denen ein Kunde arbeiten
> kann?
> > 2. Wo muss der Kunde wirklich drauf zugriff haben?
> > 3. Wie läuft der Backup/Restore Vorgang ab?
> >
> > lg
> > Oliver
> >
> > 2009/3/9 Daniela Waranie <typo3-community at gmx.de>:
> >> Hallo newsgroup,
> >>
> >> Es ist mir schon klar, dass ich auf eine solch´ pauschale Frage leider
> >> keine allumfassende Antwort bekommen kann. Ich würde mich freuen, wenn
> >> ich einige Tipps aus der Community bekomme, die mir helfen "ein gutes
> >> Gefühl"  beim Betrieb einer TYPO3-Installation zurück zu erhalten und zu
> >>  behalten.
> >>
> >> 100%tige Sicherheit gibt es ja bekanntlich nicht.
> >>
> >> Mit euren Tipps werde ich mir ein Prüf-Katalog erstellen, der regelmäßig
> >> abgearbeitet wird. Toll wäre es, wenn ich teilweise ein (automatsiertes)
> >> Monitoring, z.B. mit Nagios, aufsetzen könnte, um quasi ein
> >> Frühwarnsystem zu haben. Tipps hierfür nehme ich ebenfalls gerne an.
> >>
> >> Bei jedem "TYPO3 Security Bulletin" werde ich immer ganz nervös und
> >> schließe schnellst möglich das Loch, wie beschrieben. Aber was ist, wenn
> >> die Lücke vor dem Bugfix schon monatelang im System war und vielleicht
> >> auch schon ausgenutzt wurde? Meisten versuchen die Hacker, keine
> >> Veränderungen vorzunehmen, die auf Ihre Aktivitäten DIREKT hinweisen,
> >> damit die TYPO3-Installation "später" für die Zwecke des Hackers
> >> vorbereitet ist und einsatzbereit bleibt.
> >>
> >> Lieben Gruß
> >> Daniela Waranie
> >> _______________________________________________
> >> TYPO3-german mailing list
> >> TYPO3-german at lists.netfielders.de
> >> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
> >
> >
> >
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>

More information about the TYPO3-german mailing list