Kommentare zu: TYPO3 Seite gehackt und dann…

Von: Marcus

Marcus — Tue, 20 Sep 2011 07:58:35 +0000

Was hab ich gelacht … “Und was soll ich sagen, wir sprachen die gleiche Sprache”

herrlich

Von: Hacker

Hacker — Sat, 14 Aug 2010 01:53:20 +0000

Haha wie lustig so einen genialen Beitrag hab ich schon länger nicht mehr gelesen.
“Und was soll ich sagen, wir sprachen die gleiche Sprache ”
“und ich bildete mir ein, dass er zum Schluss verstanden hatte, was das Problem war.”
REAL LOL

Die Spinnen die … die Schweine

Von: T3Camp10HH Tag 3 | TYPO3 Blogger

T3Camp10HH Tag 3 | TYPO3 Blogger — Wed, 26 May 2010 14:51:48 +0000

[...] es darum wie man reagiert und welche Schritte einzuleiten sind (Vielleicht ganz passend zum Thema: TYPO3 Seite gehackt und dann…). In der Anschließenden Diskussion ging es dann darum, wie man Präventiv-Maßnahmen am besten dem [...]

Von: Georg Ringer

Georg Ringer — Fri, 27 Nov 2009 14:22:14 +0000

… und wie man als guter hackt gibts in einem der nächsten blogs

Von: Alex Kellner

Alex Kellner — Fri, 27 Nov 2009 14:03:53 +0000

Völlig richtig – ein Gespräch mit der Kripo Rosenheim hat genau das zu Tage gebracht. Angreifer saß hinter einem Anonymisierungsproxy

Von: wassilij

wassilij — Sun, 22 Nov 2009 16:53:51 +0000

hey,

ich muss dich leider enttäuschen, es hat wirklich GARNIX gebracht zur Polizei zu gehen, da der Angreifer 100% hinter einem nonlogging Proxy sitz, und bestimmt nicht nur hinter einem ..

greetZ

Von: Anonymous

Anonymous — Tue, 10 Nov 2009 14:52:19 +0000

Vor diese Art von Angriffen (FTP-Account-Auslesen), kann man sich relativ leicht mit iptables und Port-Knocking schützen. Port-Knocking wird vom recent-Modul unterstützt, der die Anzahl der Verbindungsaufnahmen zählt. Mehr dazu in dem hervorragendem Artikel in der c’t:

> http://www.heise.de/security/artikel/recent-271032.html

Von: david

david — Mon, 09 Nov 2009 13:21:31 +0000

hatte diesen sommer ein ähnliches problem:

1. ich infizierte meine winXP-arbeitsstation auf einer webseite mit einem trojaner, welcher über eine per iframe eingebundene webseite mit endung “.ru” verbreitet wurde (trotz aktuellem virenschutz “avira antivir free”, vermtlich über eine sicherheitslücke im “internet explorer 6″ oder winXP)

2. habe die infektion +/- sofort bemerkt und das system gereinigt etc., dennoch waren am nächten morgen diverse kundenseiten mit diesem iframe gehackt. ich musste 1. alle pw’s ändern und 2. alle betroffenen dateien identifizieren und wiederherstellen…

3. meine vermutung: der trojaner hatte in kürzester zeit alle ftp-pw’s aus der filezilla-config-datei ausgelesen und ein roboter modifizierte wahllos index.html & index.php dateien auf den betroffenen servern.

4. meine massnahmen:
- die sicherheitslücke bei filezilla (unverschlüsselte pw’s im “../Anwendungsdaten/FileZilla/sitemanager.xml” und “../recentservers.xml”) ist bekannt. ich empfehle dringend auf das speichern der passwörter in plaintext zu verzichten (kann bei der installation von filezilla festgelegt werden)
- stattdessen einen schlauen “passwordmanager” und/oder einen anderen ftp-client verwenden
- internetexplorer 6 deinstallieren, stattdessen mit “IETester” verwenden um seiten zu testen
- “avira antivir premium” kaufen für wenig geld (bietet verbesserten “web-guard”)

… das wars, viel stress für nichts, aber zumindest sind mir beis heute keine weiteren schäden bekannt.

und ja, ich hatte auch starke rachegelüste, habe aber nichts weiter unternommen…

Von: » WEB2.0-Wochenrückblick WK45/2009 tobi.weinhorst

» WEB2.0-Wochenrückblick WK45/2009 tobi.weinhorst — Sun, 08 Nov 2009 17:57:06 +0000

[...] am Samstag lese ich den schon am Abend zuvor veröffentlichen Blogeintrag von Alex Kellner: “TYPO3 Seite gehackt und dann…“. Da die meisten (überwiegend interessanten) Kommentare aber erst am Samstag einschlugen, [...]

Von: felix

felix — Sun, 08 Nov 2009 15:40:07 +0000

Nachtrag II:
Meinen Verdacht, es handle sich um so etwas Ähnliches wie im Mai, könnten folgenden News-Artikel erhärten – Es scheint jedenfalls wieder aktuell zu werden:
Gumblar so aktiv wie nie zuvor (3.11.09) :
http://www.tomsnetworking.de/content/aktuelles/news_beitrag/news/3825/18/index.html

Gefahrenpotential deutlich höher als vor einem halben Jahr (6.11.09) :
http://www.itseccity.de/?url=/content/virenwarnung/aktuellemeldungen/091106_vir_akt_kaspersky.html

Von: felix

felix — Sun, 08 Nov 2009 15:31:33 +0000

Nachtrag:
Helfen tut beispielsweise FTP via TLS zu verwenden, weil dann FTP-User/Passwort NICHT mehr in Klartext übertragen werden.

Von: felix

felix — Sun, 08 Nov 2009 15:30:18 +0000

Hallo Alex

Ich wurde im Sommer Opfer vermutlich desselben Hacks. Ich habe es glücklicherweise nach bereits 6 Stunden bemerkt. Du kannst soviele kryptische Logins/Passwörter verwenden, wie du willst, denn der Hack setzt an einer anderen Stelle an. Über eine Sicherheitslücke im PDF Reader. Sobald ein Betroffener mit dem FTP Client einloggt, werden die Daten “übermittelt”. Bei meinem Kunden wurde ein 16-stelliges Passwort verwendet und es fand KEIN einziger Invalid Login statt.

Also, wenn meine Vermutung zutrifft, dann dürfte es sich um so etwas handeln:
http://www.heise.de/security/meldung/Zehntausende-Webseiten-fallen-Massenhack-zum-Opfer-220581.html
http://www.adobe.com/support/security/bulletins/apsb09-06.html
http://securitylabs.websense.com/content/Blogs/3408.aspx

Es gibt natürlich Varianten und Modifications. Good luck und behalte das System gut in den Augen. Good Luck!

Von: Paulina

Paulina — Sat, 07 Nov 2009 11:27:46 +0000

Ich kann dich verstehen, hätte wahrscheinlich ähnliches getan. Ich kann dir nur sagen: Mach dir nicht zu viele Hoffnung. Falls sich überhaupt irgendjemand irgendwann bei dir meldet (egal mit welcher Aussage), wäre ich schon froh. Ich habe eine Anzeige gegen jemanden aus London gestellt, weil derjenige meine bezahlte Ware aus ebay (bezahlt über PayPal) nicht geliefert hat. Im Grunde hätte man nur die Bankdaten aus PayPal benötigt, um den Typen auf die Spur zu kommen. Pustekuchen! Die Anzeige wurde aus Deutschland nach England weitergeleitet, seitdem nie wieder was davon gehört.

Von: Alex Kellner

Alex Kellner — Sat, 07 Nov 2009 11:07:15 +0000

Zur Klärung:
- Angreifer kam über FTP nicht PHP oder TYPO3 (TYPO3 aktuell – keine wichtigen Sicherheitslecks)
- Keine Ahnung, wie das FTP Passwort ausgespäht wurde
- Wer weiß wie viele Computer sich bereits alleine durch den Besuch der Seite infiziert haben, daher finde ich eine Anzeige wichtig
- und ich habe die Slides noch fertig bekommen

Von: MgW

MgW — Sat, 07 Nov 2009 10:08:24 +0000

… ich hatte vor ein paar Monaten das gleiche Problem – der Angreifer kam auch über FTP rein und hat alle index.* Dateien mit iframes versehen. Die Sache hatte also nichts mit TYPO3 zu tun.
Dass du die Sache angezeigt hast finde ich richtig – einen Account zu hacken ist eine Sache, aber auf diesem Account dann Dateien zu zerstören ist eine Sauerei. Wenn s ne Chance den Penner zu erwischen, nutze sie.