[TYPO3-german] Wie stelle ich "zuverlässig" fest, ob meine TYPO3-Installation gehacked wurde?

Daniela Waranie typo3-community at gmx.de
Mon Mar 9 15:19:31 CET 2009 

Hallo David,

Danke für Deine Tipps.

Zugriffszeiten:
Die Zugriffszeiten sind in der Tat sehr interessant. Beim Manipulieren 
der Zeiten fällt mir nur die Änderung der Systemuhr ein, um dann die 
Dateiänderung exakt zum Originalzeitpunkt durchzuführen. Hier wäre es 
toll wenn das System bei jeder Uhrzeitänderung auf sich aufmerksam 
macht. Dann kann man die Zugriffszeiten als Prüfstein verwenden. Für 
beides wüsste ich nicht genau, wie es am besten machen sollte (weil auch 
das ein Hacker umgehen könnte).

Log-Dateien / Apache-Log-Dateien:
Was genau wäre aus Deiner Sicht verdächtig?

Login-E-Mail:
Interessante Idee. Auf den Server habe ich nicht so viel einfluss, da es 
eine Shared-Host-Umgebung ist. Aber TYPO3 könnte ich schon "abdichten" - 
  wie genau geht das in TYPO3?

------------------------------------------------------
Die restlichen Punkte fallen in meinen Augen alle unter Vorsichtsmaßnahmen:

Zugriffsbeschrängungen:
Jedes Script bekommt nur die Zugriffsrechte, die es benötigt. Das heißt, 
nicht jedes Script braucht alle Datenbank-Tabellen und auch nicht immer 
schreibend Zugriff.

SQL-Injection:
Hier ist TYPO3 schon sehr gut aufgestellt. Problematischer sind vorallem 
die Extensions, ohne intensive Einarbeitung in den Code dürfte man 
eigentlich keine Extension übernehmen. Aus betriebswirtschaftlicher 
Sicht ist also ein gewisses Grundvertrauen in die Community notwendig 
und angebracht. Sicher sein, kann man sich jedoch nie. Auch der Core hat 
immer wieder Lücken - und dieser ist wohl am häufigsten geprüft. Sobald 
einmal Zugriff auf das Dateisystem besteht, kann beliebiges 
SQL-Statement abgesetzt werden.

Frame-Script:
Wie verhinderst Du das? Außer mit JavaScipt fällt mir da nichts ein - 
und das ist alles andere als "zuverlässig"?

Aufruft via Script verhindern:
Wie machst Du das?

Ich freue mich auf weitere Tipps und Anregungen.

Vielen Dank im Voraus
Daniela Waranie


David Bruchmann schrieb:
> Hallo Daniela,
> 
> je kritischer ein "Hack" ist, desto weniger läßt er sich nachweisen.
> Wenn jemand Admin-Zugriff ergaunert, kann er neben Daten Log-Dateien und 
> Zugriffs-Zeitdaten manipulieren, und somit Änderungen an Dateien 
> verschleiern. Ausserdem werden durch reine Lese-Vorgänge von 
> Benutzerdaten die Zugriffszeiten ja auch nicht geändert.
> 
> Eine relativ sichere Methode ob Änderungen durchgeführt wurden, ist 
> regelmäßig Backups mit den aktuellen Daten zu vergleichen.
> 
> Auch die Apache-Logfiles geben evtl. Hinweis auf ungewöhnliche Zugriffe, 
> aber die kann jemand mit Systemzugriff - wie gesagt - manipulieren.
> 
> 100%ige Sicherheit gibts nicht, aber eine Infomail bei Serverlogin 
> könnte man evtl. integrieren - So wie beim TYPO3-Login auch, nur auf 
> Serverebene. Dort könnte man auch IP und Zeitstempel integrieren, evtl. 
> auch gleich die IP auflösen, also in Domain übersetzen lassen.
> Diese Mail müßte dann ohne Verzögerung verschickt werden, weil ein 
> Eindringling sie sonst evtl. abfangen könnte - sofern er das System kennt.
> 
> Generell sinnvoll währe ein Zugriff auf die Datenbank mit verschiedenen 
> Accounts, so daß Frontendbenutzer keinen unnötigen theoretischen Zugriff 
> auf Tabellen des Backends erhalten. Allerdings ist so eine Trennung 
> normalerweise nicht vorgesehen und ein generell unerlaubter Datenzugriff 
> wird durch Vermeidung von Möglichkeiten zu SQL-Injection unterbunden.
> 
> Ausserdem kannst Du regelmäßig Passwörter ändern und die Länge der 
> Passwörter erhöhen.
> 
> Das HTTPS-Protokoll bietet auch Schutz durch Zertifikate und 
> Verschlüsselung, allerdings läßt sich das auch aushebeln und dient in 
> erster Linie dazu, daß Daten, die Zwischen Server und Client übertragen 
> werden nicht von Zwischenstationen mitgelesen werden können.
> 
> Der Aufwand Spuren zu verschleiern oder eine "sichere" Verbindung zu 
> knacken ist relativ hoch, fragt sich also immer ob Sicherheitsmassnahmen 
> im Verhältnis zu den Daten stehen.
> 
> Für Frontendseiten kannst Du ein Skript integrieren, das verhindert, daß 
> eine Seite per Skript aufgerufen oder in einem Frame angezeigt wird. 
> Dadurch verhinderst Du Pishing-Versuche.
> 
> Viele Grüße
> David
> 
> 
> ----- Ursprüngliche Nachricht -----
> Von:        Daniela Waranie <typo3-community at gmx.de>
> Gesendet:   Montag, 9. März 2009 10:37:26
> An:         typo3-german at lists.netfielders.de
> CC:
> Betreff:    [TYPO3-german]  Wie stelle ich "zuverlässig" fest, ob meine 
> TYPO3-Installation gehacked wurde?
>> Hallo newsgroup,
>>
>> Es ist mir schon klar, dass ich auf eine solch´ pauschale Frage leider 
>> keine allumfassende Antwort bekommen kann. Ich würde mich freuen, wenn 
>> ich einige Tipps aus der Community bekomme, die mir helfen "ein gutes 
>> Gefühl"  beim Betrieb einer TYPO3-Installation zurück zu erhalten und 
>> zu   behalten.
>>
>> 100%tige Sicherheit gibt es ja bekanntlich nicht.
>>
>> Mit euren Tipps werde ich mir ein Prüf-Katalog erstellen, der 
>> regelmäßig abgearbeitet wird. Toll wäre es, wenn ich teilweise ein 
>> (automatsiertes) Monitoring, z.B. mit Nagios, aufsetzen könnte, um 
>> quasi ein Frühwarnsystem zu haben. Tipps hierfür nehme ich ebenfalls 
>> gerne an.
>>
>> Bei jedem "TYPO3 Security Bulletin" werde ich immer ganz nervös und 
>> schließe schnellst möglich das Loch, wie beschrieben. Aber was ist, 
>> wenn die Lücke vor dem Bugfix schon monatelang im System war und 
>> vielleicht auch schon ausgenutzt wurde? Meisten versuchen die Hacker, 
>> keine Veränderungen vorzunehmen, die auf Ihre Aktivitäten DIREKT 
>> hinweisen, damit die TYPO3-Installation "später" für die Zwecke des 
>> Hackers vorbereitet ist und einsatzbereit bleibt.
>>
>> Lieben Gruß
>> Daniela Waranie

More information about the TYPO3-german mailing list