[TYPO3-german] Wie stelle ich "zuverlässig" fest, ob meine TYPO3-Installation gehacked wurde?

Daniela Waranie typo3-community at gmx.de
Mon Mar 9 14:45:16 CET 2009 

Hallo Christian,

vielen Dank.

Der regelmäßige Passwortwechsel ist eine Vorsichtsmaßnahme. Wenn das 
System jedoch bereits kompromitiert ist, dann bringt ein Passwortwechsel 
   leider auch nichts, solange "der Weg zur kompromitierung des Systems" 
weiterhin unentdeckt ist, und daher nicht beseitigt wurde oder eine 
weitere "Hintertür" vom Hacker eingerichtet wurde.

Der Passwortwechesl bringt nur etwas, falls eine Brute-Force-Attake mit 
niedriger Intensität, z.B. über 4 Wochen läuft (damit diese nicht 
auffällt). Bei massiven Brute-Force-Attaken ist ein deaktivieren des 
Accounts sinnvoller - nach der Attake kann es mit einem neuen Passwort 
weitergeben.

Mir geht es hier ausdrücklich um die Erkennung der "Hintertür", bzw. die 
Erkennung, dass jemand eingebrochen ist oder es versucht hat. Nicht alle 
Hacker sind gleich gut, nicht alle verstehen es alle Spuren zu 
vertuschen. Wo sollte ich nach Spuren suchen? Wie muss ich diese Deuten?

Lieben Gruß
Daniela Waranie

Christian Wolff schrieb:
> Daniela Waranie schrieb:
>> Hallo newsgroup,
>>
>> Es ist mir schon klar, dass ich auf eine solch´ pauschale Frage leider
>> keine allumfassende Antwort bekommen kann. Ich würde mich freuen, wenn
>> ich einige Tipps aus der Community bekomme, die mir helfen "ein gutes
>> Gefühl"  beim Betrieb einer TYPO3-Installation zurück zu erhalten und zu
>>  behalten.
>>
>> 100%tige Sicherheit gibt es ja bekanntlich nicht.
>>
>> Mit euren Tipps werde ich mir ein Prüf-Katalog erstellen, der regelmäßig
>> abgearbeitet wird. Toll wäre es, wenn ich teilweise ein (automatsiertes)
>> Monitoring, z.B. mit Nagios, aufsetzen könnte, um quasi ein
>> Frühwarnsystem zu haben. Tipps hierfür nehme ich ebenfalls gerne an.
>>
>> Bei jedem "TYPO3 Security Bulletin" werde ich immer ganz nervös und
>> schließe schnellst möglich das Loch, wie beschrieben. Aber was ist, wenn
>> die Lücke vor dem Bugfix schon monatelang im System war und vielleicht
>> auch schon ausgenutzt wurde? Meisten versuchen die Hacker, keine
>> Veränderungen vorzunehmen, die auf Ihre Aktivitäten DIREKT hinweisen,
>> damit die TYPO3-Installation "später" für die Zwecke des Hackers
>> vorbereitet ist und einsatzbereit bleibt.
>>
>> Lieben Gruß
>> Daniela Waranie
> 
> Hi Daniela, es ist schwehr zu sagen wann ein system kompromitiert wurde.
> wenn du als "hacked" bereits den zustand meinst das jemand an das admin
> passwort gekommen ist kannst du es gar nicht festellen.
> 
> angenommen jemand ist durch eine lücke in typo3 oder extension an die
> zugangsdaten für einen admin user gekommen.
> 
> dann ist dein system kompromitiert. selbst wenn der hacker noch nix
> verändert hat. könnte er es jederzeit (und vieleicht wartet er ja auch
> nur auf den richtigen zeitpunkt)
> 
> gegen sowas hilft nur ein regelmäßiger passwort wechsel.
> 
> gruss chris
> 
>

More information about the TYPO3-german mailing list