[TYPO3-UG Rhein-Neckar] Typo3 Hack

[Ralf Hettinger]

Hallo Oliver,

danke für das Posting hier; ich setze die macina_banners hier und da auch ein,
war aber glücklicherweise nicht betroffen, da ich die betreffende Stelle schon
vorher mal umprogrammiert hatte und diese modifizierte Version für die
SQL-injection nicht anfällig war.


Oliver Troch schrieb:
> hier eine Mail eines anderen betroffenen, der die Sache etwas
> einschränken kann. Ich werde nicht drumherum kommen, alle Accounts neu
> aufzusetzen.

Wenn Du sicherstellen kannst, dass die Hosting-Umgebung noch sauber ist (d.h.
z.B. keine Root-Kits durch Erlangung des Shell-Zugangs eingerichtet werden
konnten), ist es ja noch "relativ" glimpflich abgelaufen; auf jeden Fall würde
ich aber zusätzlich

- die TYPO3-Quelltexte abgleichen (z.B. mit einem diff gegen ein frisches
TYPO3-src-Paket und entsprechende Extensions),

- alle individuell angelegten (z.B. .htaccess, s.u.) Dateien prüfen,

- temp-Dateien löschen,

- Datenbankeinträge nach dem Zeitpunkt des injects prüfen (wenn die queries
unwahrscheinlicherweise geloggt wurden, ist das sicher einfacher) oder besser
ein Backup einspielen.



> Daher hoffe ich, dass die neueste Version sicher ist.

macina_banners ist leider ein netter "Haufen" Code.

An anderer Stelle wird ebenfalls ein MySQL-UPDATE direkt und nicht über die
TYPO3-API abgesetzt; der sollte aber nicht anfällig sein, da die Parameter nicht
aus dem Request kommen. Warum man aber dieses UPDATE nicht auch gleich ersetzt
hat, ist mir ehrlich gesagt nicht klar.


Grüße und Danke für die Hintergrundinfos
Ralf