[TYPO3-german] Sicherheitslücke aufspüren

Hans-Peter M. istbanane at googlemail.com
Fri Jun 21 14:49:25 CEST 2013 

Hi,

es muss nicht immer am PHP liegen.

http://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html

Ich konnte in dem genannten Zeitraum reiheweise Seiten beobachten, die 
gehackt wurden. Sogar mit statischen HTML-Seiten.

Gruß
HP


Am 19.06.2013 15:28, schrieb ulrich:
> Hallo Liste,
> da die Diskussion sehr spekulativ wird, hier ein paar Infos:
>
> Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME
> hinzugefügt.
> In diesem IFRAME hat er dann Flash/Java initialisiert und den GVU-Trojaner
> im Windows des Users installiert.
> Es wurde nichts am TS oder im BE verändert.
> Ich kann mir auch beim besten Willen nicht vorstellen, dass jemand die
> Seite gezielt angegriffen hat.
> Ich denke eher, dass jemand per Script nach IP-Ranges abfragt, URLS checkt
> und dann den Schadcode ausführt.
> Alle involvierten Domains/server sind natürlich mit Privacy Protected. Ein
> whois läuft also ins leere.
> Nichtsdestotrotz hab ich dem Hoster (OVH) eine Abuse-Meldung zukommen
> lassen.
> Dort liegen - wie es scheint - die Dateien, die die Rechner der User
> infizieren.
>
> Und da ich bisher von solchen Themen verschont geblieben bin, war meine
> Frage:
>
> Habt ihr *praktische* Tipps?
> ZB welche Dokus man lesen könnte, Tools zur Analyse, ...
> Es kann ja auch sein, dass der Angreifer nicht übers Typo3 kam, sondern
> über JavaScript.
> Also muss ich die Logs auch nach manipulierten JS-Aufrufen durchsuchen,
> etc...
> Alles Sachen, die ich bisher nur aus schlechten Filmen kannte ;)
>
> Was ich bisher gemacht hab:
> Logfiles für FTP überprüft. > Sauber
> Logfiles nach Direktaufrufen von URLs in typo3conf/ext/ durchsucht >
> Nichts. Bringt das überhaupt was?
> Logfiles mit apache-scalp* nach diversen Patterns (SQLInjections, etc)
> durchkämmt > Nichts.
> Logfiles für ssh > Warte noch auf Zugriff. Ist ein Managed Server.
>
> Bin wie gesagt, über jeden praktischen Tipp mehr als dankbar!
>
> Schönen Tag und angenehmes Schwitzen
>
> Ulrich
>
>
> Am 19. Juni 2013 07:00 schrieb Andreas Becker <ab.becker at web.de>:
>
>> Richtig Georg -
>>
>> Insider Wissen und wenn man quasi an der Quelle sitzt ist immer hilfreich
>> bei solchen Dingen.
>> Ist aber in jedem Berufsfeld zB beim Boersenhandel ja nicht anders!
>>
>> Es wird sich immer die Frage stellen wie sicher ist der
>> Sicherheitsexperte/das Sicherheits Team/ wer kontrolliert das und wie wird
>> es kontrolliert etc.
>>
>>
>> Andi
>>
>>
>> 2013/6/19 Georg Ringer <typo3 at ringerge.org>
>>
>>> Hallo,
>>>
>>> Am 19.06.2013 01:35, schrieb Andreas Becker:
>>>> wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der
>>>> Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und
>>> dort
>>>> einen neuen User angelegt hat und mit diesem eiloggte ins Backend
>>>
>>> - Es ist ziemlich selten dass die DB komplett von außen erreichbar ist.
>>> Wenn das wirklich der Fall ist, hat es ohnedies ein anderes Problem.
>>>
>>> - Wie kommt man zu den Credentials der DB? Das geht nur über eine File
>>> Disclosure, dh es braucht schon mind 2 Lücken.
>>>
>>>> Aus eigener Erfahrung [...] Da kann man dann einiges abändern z.B. TS
>>> oder
>>>> simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann
>> mit
>>>> einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird.
>> Und
>>>> man kann Extensions installieren mit denen man u.a. auch die
>>> Configurations
>>>> Dateien editieren kann "from within TYPO3!" etc..
>>>
>>> ist das jetzt noch aus eigener Erfahrung? SCNR
>>>
>>>> Sicherheitsluecken werden dabei evtl. auch schon vor einer
>>>> veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org
>>>> ausgenutzt.
>>>
>>> Natürlich. Ist ja nicht so als ob die "Bösen" nicht miteinander
>>> kommunzieren bzw werden Lücken ja auch gegen Bares gehandelt.
>>>
>>> Genau das ist auch der Standpunkt warum es keine Patch Days gibt, da das
>>> nur heißt dass man Betreiber noch länger davon nichts weiß.
>>>
>>> aber wir sind nicht mehr beim initialen Thema
>>>
>>> Georg
>>>
>>> _______________________________________________
>>> TYPO3-german mailing list
>>> TYPO3-german at lists.typo3.org
>>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>>
>> _______________________________________________
>> TYPO3-german mailing list
>> TYPO3-german at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>

More information about the TYPO3-german mailing list