[TYPO3-german] Wie stelle ich "zuverlässig" fest, ob meine TYPO3-Installation gehacked wurde?

[David Bruchmann]

----- Ursprüngliche Nachricht -----
Von:        Marco Ziesing <mz at puremedia-online.de>
Gesendet:   Montag, 9. März 2009 16:59:31
An:         German TYPO3 Userlist <typo3-german at lists.netfielders.de>
CC:
Betreff:    Re: [TYPO3-german] Wie stelle ich "zuverlässig" fest, ob 
meine TYPO3-Installation gehacked wurde?

Hallo Marco,

> 
> seit ein paar Mails frage ich mich, ob ihr von einem Worst-Case ausgeht,
> oder einfach nur aneinander verbeischreibt.

Ich würde es einfach als Besprechung technischer Details bezeichnen, die 
unabhängig davon ist, ob und wieweit ein System kompromittiert wurde. 
Hoffe es ist möglich so eine Diskussion zu führen, auch wenn sie 
überwiegend theoretisch und jenseits von jeglichem Sollzustand ist.

> Wie unsicher muss eine Kiste konfiguriert sein, dass jemand über PHP/TYPO3
> an das root-Passwort gelangt? Nicht jeder richtet einen Server so heldenhaft
> wie Peter Huth ein und lässt "Directory Traversing" bis zur /etc/passwd und
> anderen Konfigurationsdateien zu. ;-)

Wieso? letzten Monat entdeckte Sicherheitslücke in TYPO3 nicht bemerkt?

> 
> Nach einem erfolgreichen Angriff bleibt dem Administrator immer nur die
> Möglichkeit der forensischen Untersuchung an einem Festplattenabbild.
> 

Wenn der Aufwand gerechfertigt ist - ja, evtl. auch des Speicherabbildes.

> Daher sollten schon immer im Voraus Schranken wie korrekte Zugriffsrechte,
> abgesperrte Umgebungen für einzelne Dienste und Werkzeuge wie SElinux und
> mod_security eingesetzt werden. Auch wenn es einiges an Arbeit ist.
> Und für Admins von gemieteten Rootservern ist das sogar eine in den AGB
> festgehaltene Pflicht.
> 

Prima, noch ein technisches Detail, das interessant ist ;-)

Viele Grüße
David