TYPO3 Donation
06. November 2009

TYPO3 Seite gehackt und dann…

Alex Kellner in Security

Vorneweg: Das muss ich einfach bloggen, tut mir leid… ;)

Hacker auf dem TYPO3 ServerLetzten Dienstag habe ich durch Zufall im größten Stress entdeckt, dass eine meiner alten Seiten (justpowder.de) gehackt worden war. Nach den schnellen Erste Hilfe Maßnahmen machten sich langsam Rachegelüste breit. Denn was kann man schon tun?
Aber Eins nach dem Anderen – hier die komplette Story:

Was ist denn passiert?
Letzten Dienstag hatte ich die Ehre für die TYPO3 Usergroup München einen kleinen SEO Vortrag zu halten. Da ich in der Regel so lange ein Motivationsproblem habe, bis daraus ein Zeitproblem wird, begann ich “bereits” Dienstag Mittag, in aller Hektik ein paar Powerpoint Slides für den Vortrag anzufertigen.
Nur aus Versehen klickte ich in meinen Favoriten im Firefox auf einen Link zu eine meiner alten Seiten (justpowder.de). Früher konnte man hier noch in einem commerce Shop Ski- und Snowboard Accessoires erwerben.
Als ich noch fluchend versuchte, die Escape Taste zu drücken, bevor die falsche Seite komplett geladen wurde, wehte mir bereits ein “Als attackierend gemeldete Website” Banner entgegen.
Als attackierend gemeldete Website
Nach gefühlten 100 Mal Klicken auf den Button “Warnung ignorieren”, wurde ich auf die gewünschte Seite geleitet. Ein kurzer Blick in den HTML Code zeigte ein nettes iframe, das über JS am Ende der Seite hinzugefügt wurde.
Nach einer kurzen anfänglichen Lähmung (“Das kann doch nicht wahr sein…”) entschloss ich mich, die Domain auf einpraegsam.net umzuleiten, bis ich für dieses Problem mehr Zeit haben würde. Der Shop auf justpowder war sowieso stillgelegt – ich hatte die Seite nur noch nicht komplett abgeschaltet, weil ich hier mal sehr viel Zeit investiert hatte (ihr kennt sicher alle diese Wehmut…).

Was habe ich nach der Entdeckung getan?
Wie bereits erwähnt, verhinderte ich zu allererst das Ausliefern der Seite, indem ich die Domain umleitete. Das würde ich auch anderen empfehlen, die ein ähnliches Problem haben.
Mein nächster Gedanke: Ich brauche Hilfe von den Server-Profis! Ich habe mich also gleich bei 1und1 eingeloggt, in den Adminbereich meines Manged Servers. Dort gibt es auch irgendwo tief versteckt eine Möglichkeit mit dem Support Team Kontakt aufzunehmen: In diesem Sinne Problem geschildert und Nachricht abgeschickt.
Zwei Tage (!) nach der unglaublichen Entdeckung kam auch schon die hilfreiche Antwort von den “Internet Experten”: “Halten Sie Ihre PHP Anwendungen immer aktuell, ansonsten können Sie sich ja die Logfiles anschauen…”.
Naja, mit allzu großer Hilfsbereitschaft hatte ich ohnehin nicht gerechnet und machte mich somit gleich selbst an’s Werk.

Wie konnte ich den Angreifer isolieren?
Ich hatte mir einen Teil des fremden Codes in die Zwischenablage kopiert und dann über Shellzugriff nach Dateien mit diesem Code gesucht: Nahezu alle index.* Dateien waren befallen. Interessant war das Änderungsdatum einer dieser Dateien. Das gab mir Aufschluss auf die Angriffszeit.
Danach sah ich mir das normale Logfile des Servers an. Zur gemerkten Zeit gab es keine außergewöhnlichen GET oder POST Anfragen an den Server.
Bereits halb entmutigt sah ich mir auch noch das Logfile der FTP Zugriffe an und hier wurde ich fündig: Ein extra eingerichteter FTP Zugang wurde zu dieser Zeit genutzt um einige Dateien zu modifizieren. Nun hatte ich auch die IP Adresse des Angreifers (diese wird im Logfile gespeichert). Laut ip locator sitzt der Angreifer übrigens im kühlen Minnesota in den USA.
Natürlich sperrte ich den betroffenen FTP Zugang umgehend.

Rachegelüste?
Klar hätte ich die Geschichte auf sich beruhen lassen können, aber da war noch irgendetwas. Irgendetwas das sich zur Wehr setzen wollte. Wer mir an dieser Stelle erzählen will, er hätte nicht die geringsten Rachegelüste gehabt, müsste schon Pfarrer der katholischen Kirche sein.
Ich hatte das Gefühl, dass ich etwas tun musste – egal was. Nun muss man wissen, dass ich hier im tiefsten Oberbayern ca. 60km entfernt von München wohne: Beim Anruf auf dem nächsten Polizeirevier sagte mir eine unmotivierte Stimme, dass ich doch jederzeit vorbeikommen könne. Mit meinem iPhone und dem Logfile sowie der IP Adresse des Kollegen aus Amerika im Gepack fuhr ich also zum Polizeipräsidium Ebersberg.
polizei bayern
Nachdem ich meine Geschichte am Empfang kurz angerissen hatte, erklärte mir der Polizist am Empfang, dass ich mich so lange gedulden müsse, bis ein fähiger Kollege (mit Computerschulung) zu mir käme. So lange dürfe ich auf einem Stuhl im Empfangsbereich Platz nehmen.
Nach ca. 10 Minuten holte mich ein weiterer Polizist (vermutlich Mitte 50) von meinem Platz ab und führte mich in sein Büro. Ein weiterer Kollege war mit “Computer-Tipp-Arbeit” beschäftigt.
An dieser Stelle fällt mir eine Situationsbeschreibung sehr schwer; ich selbst schwankte während meinen Ausführungen zwischen Hilflosigkeit, Resignation, Wut und Schmunzeln: Nachdem ich 10 Minuten vergebens versucht hatte, zu erklären, dass es sich bei meinem Problem nicht um einen Virus auf meinem Computer zu Hause handelt, den ich mir irgendwo eingefangen hatte, wollte man mich mit einem “Es ist doch kein Schaden entstanden” abspeisen. Meine Hartnäckigkeit führte jedoch zu einem Telefonat mit einem “It-ler” aus einem anderen Präsidium und ab diesem Zeitpunkt kam etwas mehr Licht in die Sache. Ich durfte sogar selbst mit diesem netten Herren telefonieren, und was soll ich sagen, wir sprachen die gleiche Sprache ;)
Im Anschluss nahm der erste Beamte meine “Anzeige gegen Unbekannt” auf und ich bildete mir ein, dass er zum Schluss verstanden hatte, was das Problem war.
Mit einem guten Gefühl konnte ich nach einer Stunde das Präsidium verlassen, auch wenn der Ausgang dieser Geschichte noch offen ist…

Was werde ich als nächstes tun?
Als nächstes sind alle befallenen Dateien zu säubern und die Seite wieder online zu bringen. Dann muss ich Firefox und Google noch beibringen, dass die Webseite keinen Schadcode mehr ausliefert…
Übrigens habe ich beschlossen, dass ich die FTP Zugänge künftig besser verwalten werde: Benutzernamen werden kryptischer, nicht genutzte Benutzer werden entfernt, bestehende FTP Zugänge werden auf das Nötigste begrenzt.

To be continued…
Wie geht es jetzt weiter? Das LKA sollte sich in den nächsten Tagen bei mir melden und das Logfile einfordern – ich bin gespannt…
Ich bin mir übrigens nicht sicher, ob die amerikanischen Behörden sich für derlei deutsche Anliegen interessieren, aber ich hoffe es wirklich. Wer austeilen kann, muss auch einstecken können!

Was meint ihr zu dieser Geschichte?

Links zum Thema

Wünsche euch ein schönes und hackerfreies Wochenende,
Alex

20 Reaktionen zu “TYPO3 Seite gehackt und dann…”

Kommentare abonnieren (RSS) oder TrackBack URL

ja halt uns am laufenden ;)

Georg Ringer am 06. November 2009 um 22:24

Ich denke, die Frage, die uns allen unter den Nägeln brennt, ist: Hast du die Powerpoint-Slides an diesem Tag noch rechtzeitig fertig bekommen? :)

Oliver Schlöbe am 06. November 2009 um 23:56

Ich muss ganz ehrlich sagen, dass ich nicht zur Polizei gegangen wäre.

a) sollen die sich um wirkliche Probleme kümmern und nicht um eine “gehackte” Webseite

b) ich die Zeit genutzt hätte, zu sehen, warum ich gehackt wurde (alte Versionsnummer etc. ?)

So blöd die Antwort von 1&1 sich anhört…meiner Meinung nach haben sie vollkommen Recht. Halte dein System aktuell!

Das soll sich jetzt nicht 9malklug anhören. Mir selber ist das vor kurzem mit einer Webseite und WordPress passiert. Und Asche auf mein Haupt, ich hatte 4 Monate kein Update gefahren.

Der Gedanke zur Polizei zu gehen, ist mir aber nicht gekommen.

christian am 07. November 2009 um 00:31

FTP login erraten, oder wo war jetzt genau das ursächliche Problem?

Ingo am 07. November 2009 um 08:45

Interessant!

Anonymous am 07. November 2009 um 10:35

Darf man fragen, welche T3 Version da am laufen war?

Thomas am 07. November 2009 um 10:36

… ich hatte vor ein paar Monaten das gleiche Problem – der Angreifer kam auch über FTP rein und hat alle index.* Dateien mit iframes versehen. Die Sache hatte also nichts mit TYPO3 zu tun.
Dass du die Sache angezeigt hast finde ich richtig – einen Account zu hacken ist eine Sache, aber auf diesem Account dann Dateien zu zerstören ist eine Sauerei. Wenn s ne Chance den Penner zu erwischen, nutze sie.

MgW am 07. November 2009 um 11:08

Zur Klärung:
- Angreifer kam über FTP nicht PHP oder TYPO3 (TYPO3 aktuell – keine wichtigen Sicherheitslecks)
- Keine Ahnung, wie das FTP Passwort ausgespäht wurde
- Wer weiß wie viele Computer sich bereits alleine durch den Besuch der Seite infiziert haben, daher finde ich eine Anzeige wichtig
- und ich habe die Slides noch fertig bekommen ;)

Alex Kellner am 07. November 2009 um 12:07

Ich kann dich verstehen, hätte wahrscheinlich ähnliches getan. Ich kann dir nur sagen: Mach dir nicht zu viele Hoffnung. Falls sich überhaupt irgendjemand irgendwann bei dir meldet (egal mit welcher Aussage), wäre ich schon froh. Ich habe eine Anzeige gegen jemanden aus London gestellt, weil derjenige meine bezahlte Ware aus ebay (bezahlt über PayPal) nicht geliefert hat. Im Grunde hätte man nur die Bankdaten aus PayPal benötigt, um den Typen auf die Spur zu kommen. Pustekuchen! Die Anzeige wurde aus Deutschland nach England weitergeleitet, seitdem nie wieder was davon gehört.

Paulina am 07. November 2009 um 12:27

Hallo Alex

Ich wurde im Sommer Opfer vermutlich desselben Hacks. Ich habe es glücklicherweise nach bereits 6 Stunden bemerkt. Du kannst soviele kryptische Logins/Passwörter verwenden, wie du willst, denn der Hack setzt an einer anderen Stelle an. Über eine Sicherheitslücke im PDF Reader. Sobald ein Betroffener mit dem FTP Client einloggt, werden die Daten “übermittelt”. Bei meinem Kunden wurde ein 16-stelliges Passwort verwendet und es fand KEIN einziger Invalid Login statt.

Also, wenn meine Vermutung zutrifft, dann dürfte es sich um so etwas handeln:
http://www.heise.de/security/meldung/Zehntausende-Webseiten-fallen-Massenhack-zum-Opfer-220581.html
http://www.adobe.com/support/security/bulletins/apsb09-06.html
http://securitylabs.websense.com/content/Blogs/3408.aspx

Es gibt natürlich Varianten und Modifications. Good luck und behalte das System gut in den Augen. Good Luck!

felix am 08. November 2009 um 16:30

Nachtrag:
Helfen tut beispielsweise FTP via TLS zu verwenden, weil dann FTP-User/Passwort NICHT mehr in Klartext übertragen werden.

felix am 08. November 2009 um 16:31

Nachtrag II:
Meinen Verdacht, es handle sich um so etwas Ähnliches wie im Mai, könnten folgenden News-Artikel erhärten – Es scheint jedenfalls wieder aktuell zu werden:
Gumblar so aktiv wie nie zuvor (3.11.09) :
http://www.tomsnetworking.de/content/aktuelles/news_beitrag/news/3825/18/index.html

Gefahrenpotential deutlich höher als vor einem halben Jahr (6.11.09) :
http://www.itseccity.de/?url=/content/virenwarnung/aktuellemeldungen/091106_vir_akt_kaspersky.html

felix am 08. November 2009 um 16:40

hatte diesen sommer ein ähnliches problem:

1. ich infizierte meine winXP-arbeitsstation auf einer webseite mit einem trojaner, welcher über eine per iframe eingebundene webseite mit endung “.ru” verbreitet wurde (trotz aktuellem virenschutz “avira antivir free”, vermtlich über eine sicherheitslücke im “internet explorer 6″ oder winXP)

2. habe die infektion +/- sofort bemerkt und das system gereinigt etc., dennoch waren am nächten morgen diverse kundenseiten mit diesem iframe gehackt. ich musste 1. alle pw’s ändern und 2. alle betroffenen dateien identifizieren und wiederherstellen…

3. meine vermutung: der trojaner hatte in kürzester zeit alle ftp-pw’s aus der filezilla-config-datei ausgelesen und ein roboter modifizierte wahllos index.html & index.php dateien auf den betroffenen servern.

4. meine massnahmen:
- die sicherheitslücke bei filezilla (unverschlüsselte pw’s im “../Anwendungsdaten/FileZilla/sitemanager.xml” und “../recentservers.xml”) ist bekannt. ich empfehle dringend auf das speichern der passwörter in plaintext zu verzichten (kann bei der installation von filezilla festgelegt werden)
- stattdessen einen schlauen “passwordmanager” und/oder einen anderen ftp-client verwenden
- internetexplorer 6 deinstallieren, stattdessen mit “IETester” verwenden um seiten zu testen
- “avira antivir premium” kaufen für wenig geld (bietet verbesserten “web-guard”)

… das wars, viel stress für nichts, aber zumindest sind mir beis heute keine weiteren schäden bekannt.

und ja, ich hatte auch starke rachegelüste, habe aber nichts weiter unternommen…

*d

david am 09. November 2009 um 14:21

Vor diese Art von Angriffen (FTP-Account-Auslesen), kann man sich relativ leicht mit iptables und Port-Knocking schützen. Port-Knocking wird vom recent-Modul unterstützt, der die Anzahl der Verbindungsaufnahmen zählt. Mehr dazu in dem hervorragendem Artikel in der c’t:

> http://www.heise.de/security/artikel/recent-271032.html

Anonymous am 10. November 2009 um 15:52

hey,

ich muss dich leider enttäuschen, es hat wirklich GARNIX gebracht zur Polizei zu gehen, da der Angreifer 100% hinter einem nonlogging Proxy sitz, und bestimmt nicht nur hinter einem ..

greetZ

wassilij am 22. November 2009 um 17:53

Völlig richtig – ein Gespräch mit der Kripo Rosenheim hat genau das zu Tage gebracht. Angreifer saß hinter einem Anonymisierungsproxy :(

Alex Kellner am 27. November 2009 um 15:03

… und wie man als guter hackt gibts in einem der nächsten blogs ;)

Georg Ringer am 27. November 2009 um 15:22
Trackbacks & Pingbacks

[...] Dieser Eintrag wurde auf Twitter von Alex Kellner, Michael Hamann erwähnt. Michael Hamann sagte: RT @einpraegsam: Website gehackt und wie geht es weiter: http://is.gd/4P7eC good luck… [...]

Pingback von Tweets die TYPO3 Seite gehackt und dann… | TYPO3 Blogger erwähnt -- Topsy.com am 06. November 2009 um 23:58

[...] am Samstag lese ich den schon am Abend zuvor veröffentlichen Blogeintrag von Alex Kellner: “TYPO3 Seite gehackt und dann…“. Da die meisten (überwiegend interessanten) Kommentare aber erst am Samstag einschlugen, [...]

Pingback von » WEB2.0-Wochenrückblick WK45/2009 tobi.weinhorst am 08. November 2009 um 18:57

[...] es darum wie man reagiert und welche Schritte einzuleiten sind (Vielleicht ganz passend zum Thema: TYPO3 Seite gehackt und dann…). In der Anschließenden Diskussion ging es dann darum, wie man Präventiv-Maßnahmen am besten dem [...]

Pingback von T3Camp10HH Tag 3 | TYPO3 Blogger am 26. Mai 2010 um 16:51
Ein Kommentar hinterlassen


 Name


 Mail (wird nicht veröffentlicht)


 Website

Bitte beachten sie, dass ihr Kommentar möglicherweise erst freigeschaltet werden muss.

Kategorien

Archiv (Quick)

Juli 2010
M D M D F S S
« Jun    
 1234
567891011
12131415161718
19202122232425
262728293031