[TYPO3-german] Wie stelle ich "zuverlässig" fest, ob meine TYPO3-Installation gehacked wurde?

Christian Wolff chris at connye.com
Mon Mar 9 16:03:17 CET 2009 

Daniela Waranie schrieb:
> Hallo Christian,
> 
> vielen Dank.
> 
> Der regelmäßige Passwortwechsel ist eine Vorsichtsmaßnahme. Wenn das
> System jedoch bereits kompromitiert ist, dann bringt ein Passwortwechsel
>   leider auch nichts, solange "der Weg zur kompromitierung des Systems"
> weiterhin unentdeckt ist, und daher nicht beseitigt wurde oder eine
> weitere "Hintertür" vom Hacker eingerichtet wurde.
> 
> Der Passwortwechesl bringt nur etwas, falls eine Brute-Force-Attake mit
> niedriger Intensität, z.B. über 4 Wochen läuft (damit diese nicht
> auffällt). Bei massiven Brute-Force-Attaken ist ein deaktivieren des
> Accounts sinnvoller - nach der Attake kann es mit einem neuen Passwort
> weitergeben.
> 
> Mir geht es hier ausdrücklich um die Erkennung der "Hintertür", bzw. die
> Erkennung, dass jemand eingebrochen ist oder es versucht hat. Nicht alle
> Hacker sind gleich gut, nicht alle verstehen es alle Spuren zu
> vertuschen. Wo sollte ich nach Spuren suchen? Wie muss ich diese Deuten?
> 
> Lieben Gruß
> Daniela Waranie
Hi Daniela,
okay dann bleibt die frage des aufspürens von "hintertüren"

eine variante währe von den dateien die du auf den server packst
checksummen zu berechnen und dann das gleiche mit den dateien online zu
tun. und diese zu vergleichen.

damit läst sich zumindest eine direkte manipulation an den verglichenen
dateien aufspüren.

dann bleibt natürlich zu überprüfen ob der hacker zusätzliche dateien
/programme abgelegt hat.

als nächstes muss dann sichergestellt werden das es auf dem system nur
"erlaubte" nutzer gibt. und sich der potientiell hacker nicht einen
zusätlichen admin angelegt hat.

generell sind vieren scanner auch immer eine gute idee weil diese ja
viele bekannte hintertüren finden.

angenommen du hast all die prozeduren nach einem security bullitin
durchgeführt  und sicher gestellt das alles in ordnung ist.

könnte es immer noch sein das der hacker bereits im besitzt deines root
passwortes ist. und er morgen anfängt deine webseite umzugestalten. aus
diesem grund ist ein passwort wechsel ratsam.

ich bin beim passwort rankommen jetzt eher nicht von brute force
ausgegangen sondern vom nutzen einer "echten" sicherheits lücke.

gruss chris

-- 
Christian Wolff // Berlin
http://www.connye.com

some projects:
http://richtermediagroup.com | http://titanic.de |
http://fairplay-homepage.de

More information about the TYPO3-german mailing list