[TYPO3-UG Denmark] HJFLP mit site er blevet hacked af muslimer.

[Jan-Erik Revsbech (MOC)]

Hej Peter, jeg kan godt forstå jeres bekymring, og jer er selv helt overbevist om at det ikke er selve TYPO3 som har været indgangshul for disse defacements. Mm der er en eller anden der har installeret en extension, kan man jo ikke gardere sig mod, det vil selvfølgelig hjælpe når der (forhåbentlig) kommer en ordentlig review process igang omkring extension. Det er jo lidt urimeligt at TYPO3 skal stå til ansvar for at der er en der laver en extension med kode a la

exec($GLOBALS['_GET']['myCommand']);

Eller lignende dumheder. Men det ville være rart at have en liste over extension som på en eller anden måde er kigget igennem for de værste sikkerhedsbriser, en slags "TYPO3 approved". Men det kræver jo at der er nogen der gør det...

Omkring din komentar omkring en installation som påvirker en anden:
>et site bør aldrig kunne påvirke sikkerheden på andre.

Det er så vidt jeg er orienteret meget få webhoteller som ikke kører apache som den samme bruger for alle Virtual hosts, dvs. at din php kode eksekverer som samme bruger som alle andre kunder på samme server, og har derfor principielt system-rettighed til at se, og slette, andre kunders filer. Der findes måder hvorpå man kan køre Apache/Php som forskellige brugere for hver virtual host (fastCGI,mpm_perchild worker til Apache 2, su_exec og varianter af denne), nogen er mere stabile end andre, men det er min erfaring at det er meget få hostingudbydere der benytter sig af denne metode til mindre sites.
Jer der arbejder professionelt med hosting (vi hoster selv kun selvudviklede sites, og bruger kun ovenstående løsninger på nogle få "høj-sikkerheds" tilfælde), må endelig rette mig hvis jeg tager fejl!

Mvh.
Jan-Erik Revbech
MOC Systems

> -----Oprindelig meddelelse-----
> Fra: typo3-ug-denmark-bounces at lists.netfielders.de 
> [mailto:typo3-ug-denmark-bounces at lists.netfielders.de] På 
> vegne af peterg
> Sendt: 25. februar 2006 20:45
> Til: typo3-ug-denmark at lists.netfielders.de
> Emne: Re: [TYPO3-UG Denmark] HJFLP mit site er blevet hacked 
> af muslimer.
> 
> Hej Sune
> 
> Vi har selvsagt alle været bekymrede, og er det vel indtil 
> DCmedia orienterer os - deres kunder - og resten af Typo3 samfundet.
> 
> Hvis man på noget tidspunkt under det her havde fundet en 
> fejl i Typo3, så burde man ASAP have informeret Kasper, der 
> så burde have udsendt en sikkerhedsadvarsel.
> 
> Der er ikke udsendt en sikkerhedsadvarsel, så pt. må vi tro 
> det ikke er
> Typo3 som er problemet. Derimod kan vi læse om opdatering af 
> PHP og at enkelte sites er blevet lukket ned pga. lokal kode, 
> hvilket jo lyder lidt ubehageligt - et site bør aldrig kunne 
> påvirke sikkerheden på andre.
> 
> 
> Som admin på et hostet site kan jeg kun ønske mig, at 
> webhoteludbyderne fremover bliver mere proaktive på 
> sikkerhed. Apache, PHP og Typo3 opdateringer skal ikke ske 
> ved at kunderne spørger. De skal heller ikke
>   kun ske efter at der har været problemer. Webhotellet skal 
> tage initiativet og opdatere med rimeligt varsel. Ansvaret 
> for den grundlæggende sikkerhed er 100% deres.
> 
> Ja, det vil kræve noget af os kunder, men landet er i åben 
> krig i to lande og har lige fornærmet 1,5 mia. mennesker 
> dødeligt. Hellere opdatere sikkerheden end miste kontrollen. 
> Personligt er det også RET træls at blive kølhalet af 
> direktioner og landsledelser pga. problemer man ikke selv er 
> herre over. Og det ville jo ikke give mening at skifte, for 
> webhoteller har ingen smileyordning (og vi er generelt 
> særdeles tilfredse med DCmedia).
> 
> Helt basalt må det være et krav at login til BE kræver https, 
> og at ftp kun fungerer som sftp. Det skal ikke koste 1100% 
> ekstra på et webhotel at få fjernet http til BE og ftp.
> 
> Der bør også være klare retningslinjer for at defacede 
> servere omgående fjernes fra nettet - jeg vil hellere have en 
> side som ikke svarer end udbrede et budskab uden at have 
> kontrol over det.
> 
> Med det nye fokus på sikkerhed i TER2 og Typo3, så bør der 
> nok også laves mere direkte veje for rapportering af 
> sikkerhedsproblemer.
> 
> Typo3 hostingfirmaerne bør frivilligt gå sammen og lave et 
> sikkerhedskodeks - retningslinjer for, hvordan man forebygger 
> angreb og hvordan man handler under udbrud. Vi skal gerne 
> lægge lokaler til møderne i Kbh.
> 
> Og sker det ikke frivilligt, så må det blive som med 
> flyselskaber eller fødevarer, hvor kunderne heller ikke kan 
> gennemskue produktets sikkerhed, men får hjælp fra staten, 
> som tester procedurer og produktkvalitet.
> 
> Vh
> Peter
> Webmaster LBL.dk
> 
> 
> 
> 
> Sune Vestergaard (TypoConsult A/S) wrote:
> > 
> > Denne forklaring kan misforståes som om at der i det 
> konkrete tilfælde 
> > skulle være tale om en svaghed eller et sikkerhedhul i 
> TYPO3 - som kan løses 
> > ved at opgradere til en nyere version af TYPO3. Jeg er 
> overbevist om at du 
> > har misforstået forklaringen fra din udbyder, da det er ret 
> tydeligt, at det 
> > der er sket, er at der er blevet brudt ind på serveren og 
> blevet udskiftet 
> > filer. Det er meget meget usandsynligt at dette skulle skyldes et 
> > sikkerhedsbrist i TYPO3 - selv ved brug af MEGET gamle 
> TYPO3 versioner. Det 
> > er langt mere oplagt at der er opnået uauthoriseret adgang 
> på en anden 
> > måde - enten direkte gennem nogen server komponenter eller 
> måske 3. parts 
> > programmer.
> > Det skulle meget nødigt hænge i luften at TYPO3 er årsagen 
> til sådanne 
> > hændelser, medmindre det rent faktisk er tilfældet - og jeg 
> har endnu ikke 
> > hørt nogen rapporterede tilfælde hvor det er sket, hvorimod 
> adgang gennem 
> > andre programmer til sites der bruger TYPO3 er omtalt flere 
> gange. Jeg har 
> > lige vendt det telefonisk med vores sikkerhedsansvarlige 
> for vores egen 
> > hosting - og han bekræfter at udfordringen og 
> kompleksiteten næsten alene 
> > handler om at vedligeholde og sikkerhedsgodkende 
> serverkomponenter og større 
> > eksterne programpakker der kommer med TYPO3 extensions. I 
> sidstnævnte 
> > tilfælde er en ubehandlet ældre version af en extension som 
> f.eks. AwStats, 
> > et godt eksempel på hvad der i den fysiske verden vil svare 
> til at fjerne 
> > hoveddøren fra huset og sætte store skilte op i kvarteret 
> der informerer om 
> > det.
> > 
> > Jeg er overbevist om at DcMedia kommer med en præcis 
> forklaring til deres 
> > kunder om hvad der skete, når de har haft noget mere tid 
> gennemgå deres 
> > logfiler og øvrige sikkerhedssystemer. Det er det mindste 
> kan forvente af en 
> > professionel leverandør. Jeg forventer da også at DcMedia 
> selv, eller en af 
> > deres kunder, vil informere resten af communitiet såfremt 
> det virkeligt 
> > skulle vise sig, at indbruddet på deres systemer har nogen 
> relation til 
> > TYPO3, dets komponenter eller installerede offenligt tilgængelige 
> > extensions. Viser det sig at hændelsen på nogen måde kan 
> knyttes sammen med 
> > TYPO3 - er det vigtigt at få informeret resten af TYPO3 
> communitiet - og få 
> > rettet den/de pågældende fejl. Viser det sig derimod at det 
> der er sket, var 
> > muligt på grund af utilstrækkelig sikkerhed i dele der ikke 
> har noget med 
> > TYPO3, er det jo alene en sag mellem DcMedia og deres 
> kunder. Vi kan jo 
> > derfor håbe på at vi ikke hører mere om den sag - og dermed 
> "frikende" 
> > TYPO3.
> > 
> > For dem der evt. ikke skulle være klar over det - så er jeg 
> er kraftigt 
> > involveret i et firma der lever af at udvikle TYPO3 
> løsninger. Det ligger 
> > mig derfor MEGET kraftigt på sinde, at sikre, at der ikke 
> kommer urigtige 
> > rygter i omløb omkring TYPO3. Skulle det ske, vil det skade 
> TYPO3s omdømme - 
> > og dermed også selskabet jeg arbejder i - samt alle andre 
> der gør en indsats 
> > for at udbrede TYPO3 :-(
> > 
> > MVH
> > Sune Vestergaard
> _______________________________________________
> TYPO3-UG-denmark mailing list
> TYPO3-UG-denmark at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-ug-denmark
>