[TYPO3-UG Denmark] TYPO3 - eBay.com spoofing and passwordphishing

Henrik J. Koch henrik at koch-engineering.com
Wed Jan 24 09:10:07 CET 2007 

Jeg kan ikke helt blive klog på hvem det skyldes. Her er hvad mit hotel skriver:


-------------
8. dec. 2006
MEGET VIGTIGT !
Der har i den seneste tid været en øget aktivitet på Phishing-området, hvor
hackere får adgang til en hjemmeside og lægger sine egne scripts ind, som
herefter bruges til at franarre brugernavne og passwords fra kunder i
forskellige banker, PayPal, Ebay etc.

Disse hackere får adgang gennem PHP-scripts, der ikke er godt nok sikret. Det er
typisk PHP-scripts der er Open-Source, og installeret af website-brugeren, og
herefter aldrig, eller kun sjældent opdateret til seneste version.

Da disse Phishing-hack er en stor belastning for alle, skal vi på det kraftigste
anmode alle vore kunder om at sørge for opdatering af deres scripts så hurtigt
som muligt. Det gælder også de scripts der i sin tid er hurtiginstalleret
gennem PLESK's Application Vault!

Samtidig vil vi bede alle kunder om at slette alle filer og mapper på deres
webhotel, som ikke har en aktiv rolle på sitet. Har du f.eks. installeret et
eller flere scripts for at prøve dem af - men hvor du faktisk ikke bruger
det... Så SLET det fra webhotellet!

Ovenstående anmodning skal tages meget alvorlig, og vi beklager det besvær det
vil have for vore kunder.

---------------


Det hele startede med at JEG troede at jeg blev spammet fordi nogle hentydede
til at jeg udsendte spam. Men det undersøgte jeg og der fandt jeg folderen.

Jeg skyndte mig at få opdateret til seneste TYPO3 version da der her blev
skrevet om bedre sikkerhed. Siden har jeg ikke hørt om noget og ikke observeret
noget usædvanligt.

mvh. Henrik




Citat Søren Guldbæk Olsen <info at web-ss.dk>:

> Hej Henrik,
>
> Det var samme omgang her - der var placeret en mappe med nogle scripts..
> - Havde du nogle idé om at det kunne skyldes TYPO3?
>
> -----Oprindelig meddelelse-----
> Fra: typo3-ug-denmark-bounces at lists.netfielders.de
> [mailto:typo3-ug-denmark-bounces at lists.netfielders.de] På vegne af Henrik J.
> Koch
> Sendt: 23. januar 2007 23:04
> Til: 'TYPO3 Usergroup Denmark'
> Emne: Re: [TYPO3-UG Denmark] TYPO3 - eBay.com spoofing and passwordphishing
>
> Jeg har været ude for det samme.
>
> På mit site havde nogen placeret en folder hvorfra disse scripts blev kørt.
>
> Efter at have slettet denne folder er det ophørt.
>
>
> Mvh. Henrik J. Koch
>
>
>
> -----Original Message-----
> From: typo3-ug-denmark-bounces at lists.netfielders.de
> [mailto:typo3-ug-denmark-bounces at lists.netfielders.de] On Behalf Of Søren
> Guldbæk Olsen
> Sent: 23. januar 2007 18:28
> To: 'TYPO3 Usergroup Denmark'
> Subject: [TYPO3-UG Denmark] TYPO3 - eBay.com spoofing and password phishing
>
> Hej Alle,
>
> Vi er blevet kontaktet af eBay da en af vores sider er blevet brugt til
> spoofing på eBay.com - Det har som sådan ikke noget med TYPO3 at gøre..
>
> Og alligevel forsøger jeg mig lige her, da det eneste der lå på webhotellet
> var en TYPO3 installation. Og det er jo rimelig problematisk hvis det har
> været via et hul i TYPO3 - de har lagt en mappe med navnet ws2 ind på
> webhotellet.
>
> Derfor vil jeg lige høre jer om der er nogen der kunne hjælpe mig lidt på
> vej til hvad det kunne være. Jeg har kigget på:
> http://news.typo3.org/news/article/typo3-security-bulletin-typo3-20061220-1-
> remote-command-execution-in-typo3/ og kan man via denne få lov til at ligge
> mapper og filer ind på webhotellet. Eller er der andre ting i typo3 som
> kunne skyldes at de har kunne komme igennem..?
>
> Vi har desværre ikke en access log fra da det startede - og kan derfor ikke
> komme nærmere hvordan det er startet..
>
> Håber nogen kan hjælpe og på forhånd tak.
>
> Med Venlig hilsen / Best Regards
> Søren Guldbæk Olsen
>
>
> _______________________________________________
> TYPO3-UG-denmark mailing list
> TYPO3-UG-denmark at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-ug-denmark
>
> _______________________________________________
> TYPO3-UG-denmark mailing list
> TYPO3-UG-denmark at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-ug-denmark
>
>
> _______________________________________________
> TYPO3-UG-denmark mailing list
> TYPO3-UG-denmark at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-ug-denmark
>


Henrik J. Koch
Hans Erik Nielsens Vej 7
3650 Ølstykke
47100305 / 40680305

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.

More information about the TYPO3-UG-denmark mailing list