[TYPO3-UG Denmark] HJFLP mit site er blevet hacked af muslimer.
Martin Seebach
martin at biplane.dk
Sat Feb 25 21:22:03 CET 2006
On Saturday 25 February 2006 20:44, peterg wrote:
> Der er ikke udsendt en sikkerhedsadvarsel, så pt. må vi tro det ikke er
> Typo3 som er problemet. Derimod kan vi læse om opdatering af PHP og at
> enkelte sites er blevet lukket ned pga. lokal kode, hvilket jo lyder
> lidt ubehageligt - et site bør aldrig kunne påvirke sikkerheden på andre.
Der er ikke nogen der tyder på et generelt hul i TYPO3. Da jeg blev defacet i
sommer var angrebsvektoren en SQL-injection sårbarhed i en usikker extension.
Denne blev så brugt til at få adgang til be_users, hvor et usikkert password
hurtigt blev cracket med et dictionary attack. Noget lignende er tilfældet
med (vil jeg tro) langt de fleste angreb på databasedrevne sites.
> [...] Apache, PHP og Typo3
> opdateringer [...]
Jeg tror som sagt hverken Apache, PHP eller TYPO3 har været synderen her.
Og nej, det er en rigtig dårlig ide at opdatere bare for at opdatere. If it
ain't broke, don't fix it. Bare fordi noget er nyere er det ikke nødvendigvis
bedre i enhver henseende.
Omvendt, ER der et hul i disse produkter, så skal der patches ASAP.
> Helt basalt må det være et krav at login til BE kræver https, og at ftp
> kun fungerer som sftp. Det skal ikke koste 1100% ekstra på et webhotel
> at få fjernet http til BE og ftp.
Det er farligt at stirre sig blind på det lille 's'. Det betyder blot at folk
ikke kan lytte med - og jeg tvivler på at nogen har sniffet dit password -
specielt i betragtning af at TYPO3 backenden allerede hasher passwordet når
du logger ind.
Det der kan være interessant, er at begrænse adgangen til backenden. Så selv
hvis en angriber får fat i alle dine passwords nytter det ikke noget. Selv
bruger jeg IP-begrænsning via .htaccess - det virker fint for mig, da alle
mine brugere sidder på de samme 10-12 IP'er (og generelt er tålmodige hvad
angår sikkerhed efter angrebet i sommer) - men andre kan være i en mindre
heldig situation. Man kunne f.eks. kigge på OpenVPN med preshared keys.
Men alt sådan noget lægger pres på udbyderen, og kan gøre servicen dyrere.
> Typo3 hostingfirmaerne bør frivilligt gå sammen og lave et
> sikkerhedskodeks - retningslinjer for, hvordan man forebygger angreb og
> hvordan man handler under udbrud. Vi skal gerne lægge lokaler til
> møderne i Kbh.
Det eneste der virkelig vil batte er grundig codereview af extensions -
primært de hjemmelavede. Og sådan noget koster penge og/eller tid.
> Og sker det ikke frivilligt, så må det blive som med flyselskaber eller
> fødevarer, hvor kunderne heller ikke kan gennemskue produktets
> sikkerhed, men får hjælp fra staten, som tester procedurer og
> produktkvalitet.
Lad os nu lige spise brød til: Man dør af at sidde i et fly der styrter ned og
man bliver meget syg af at spise fordærvet mad. Men at du skal stå skoleret
til et par møder med røde kinder er IMHO ikke grund nok til at påkalde sig
lovgivning.
Venlig hilsen
Martin Seebach
More information about the TYPO3-UG-denmark
mailing list