11 Reaktionen zu “Aufregung um angeblich gehackte TYPO3 Systeme und die Bedeutung von Updates”

Kommentare abonnieren (RSS) oder TrackBack URL

Ich verstehe die Aufregung um den heise-Artikel nicht. Man hat von kompromittierten TYPO3-Websites berichtet und man das Einfallstor aktuell nicht kennt. Da kann ich keine einseitige Berichterstattung erkennen.

Sobald die Lücke gefunden ist, kann man – bei Bedarf – Maßnahmen ergreifen. heise wird sicherlich auch darüber berichten. Alles andere sind Mußmassungen und haben wenig Gehalt.

Bertram Simon am 19. März 2014 um 13:43

Ich habe die betreffenden Webseiten durchgesehen. Die Trefferliste bei Google schrumpft ziemlich zusammen, wenn man komplett durchblättert, auch wenn man die Suche wiederholt mit der Option, dass nichts ausgeblendet werden soll. Aktuell sind es 70 betroffene Sites, davon eine mit ca. 20 zufälligen Subdomains, also ca. 50 unterschiedliche Domains.

Gestern waren es 45 echte Treffer.
– 9 verwendeten ein anderes System als TYPO3.
– 9 waren erkennbar alte TYPO3-Versionen (3.8 bis 4.4)
– 8 waren alte TYPO3 4.5-Versionen (erkennbar an Jahreszahlen 2011/2012)
der Rest waren TYPO3 4.5 mit Jahreszahl 2013 – das könnten aktuelle Versionen sein, es können aber auch Versionen von 2013 sein, also 80%).

Die Wahrscheinlichkeit spricht also dafür, dass hier eine Verwundbarkeit einer älteren TYPO3-Version oder einer Extension ausgenutzt wird. Da es sich nicht endemisch ausbreitet, scheint es aber – sofern es wirklich an TYPO3 liegt – eine bereits gefixte Sicherheitslücke zu sein.

Gut möglich, dass hier jemand eine alte, bekannte Sicherheitslücke ausnutzt. Aber das sind Vermutungen, sicher ist das nicht, dazu müsste man genauer prüfen können, wie alt die oben erwähnten restlichen TYPO3-4.5-Instanzen sind. So weit ich weiß kann man das nicht prüfen, oder weiß jemand einen Weg, die dritte Nummer von aussen abzufragen? Dann könnte man konkret prüfen, ob aktuelle Versionen darunter sind.

Peter am 19. März 2014 um 14:14

Da ist grad was verschluckt worden … So ist es unverständlich. So ist es richtig:

der Rest waren TYPO3 4.5 mit Jahreszahl 2013 – das könnten aktuelle Versionen sein, es können aber auch Versionen von 2013 sein.

Mein Fazit:
– es sind nicht Hunderte
– es werden nur langsam mehr
– es sind viele TYPO3-Installationen darunter (ca. 80%)

und jetzt geht’s weiter wie oben.

Peter am 19. März 2014 um 14:18

Um die Patch-Version herauszufinden, kann man als ersten einfachen Versuch probieren http://www.example.com/typo3_src/ChangeLog aufzurufen. Wenn diese Datei nicht vorhanden sein sollte, kann man überprüfen, ob bei einem Patchlevel evtl. Dateien oder Verzeichnisse neu angelegt wurden und auf deren Existenz prüfen.

Malte am 19. März 2014 um 14:23

Schon mal daran gedacht, dass es vielleicht nicht nur eine Lücke gibt die ausgenutzt wurde?

Ich kenne Webseiten, die TYPO3 4.5.0 oder sogar noch ältere Versionen nutzen und diese wurden nicht mit dem Casino-Spam infiziert. Daher halte ich es für voreilig gleich mit dem Finger auf TYPO3 zu zeigen.

Ich tippe eher darauf, dass sich der Angreifer über verschiedene Lücken (wie z.B. SQL Injection, gehackte FTP/SSH Konten, Remote Code Execution oder gehackte TYPO3 Admin Accounts) Zugriff auf die Webseiten verschaffen und dort dann erst mal eine Backdoor platziert hat. Sobald der Angreifer dann genügend Webseiten mit der Backdoor versehen hat, kann er bequem alle gehackten Webseiten in einem Rutsch zu Spam-Schleudern machen. Das ist alles aber nicht wirklich neu.

Vielleicht hat die ganze Aufregung ja auch einen Positiven Effekt und einige Update-Muffel machen sich nun vielleicht etwas mehr Gedanken über die Sicherheit Ihrer Webseiten.

Torben Hansen am 19. März 2014 um 14:25

Aufschlussreich ist der Kommentar des Autors zur Aufregung um seinen Artikel (http://fabsh.com/typo-d/), dort macht er recht deutlich, dass er nichts von TYPO3 hält.. und das kommt meiner Meinung nach in dem Bericht auch deutlich rüber…
Und ich hatte schon erste Mails von Kunden, die nachgefragt haben, ob denn TYPO3 überhaupt sicher sei etc. pp.

Christoph am 19. März 2014 um 14:36

Danke Bertram für deine Ausschlüsselung. Es wird in dem Artikel in bester Manier das schnell geschrieben, dass es vor allem TYPO3 4.5 betrifft. Das dies aber auch an nicht aktualisierten Erweiterungen liegen könnte, wird nicht einmal angerissen.

Ich habe über einen Bekannten auch von einer betroffenen Seite erfahren. Diese lief nicht mit einem aktuellen TYPO3 4.5. So weit ich das in Erfahrung bringen konnte, war aber das Einfallstor hier nicht TYPO3, denn die Dateien wurden nicht mit dem User/den Rechten des Webservers geschrieben. Bei dieser Seite war ein Angriff mittels FTP sehr wahrscheinlich.
Demnach hätte es bei diesem Projekt auch andere Systeme treffen können und auch aktuellere TYPO3 Versionen hätten hier keinen Riegel vorgeschoben.
Die Seite wurde wohl aber auch schon aktualisiert und der FTP-Account gesperrt.

Daniel am 19. März 2014 um 15:23

Kleiner Hinweis:

ich betreibe 80 TYPO3 Installationen.
ALLE mit 4.5.32

Von diesen war eines betroffen. Dieses unterschied sich in keinem signifikantem Punkt von den anderen, sondern war sogar besonders gut gepflegt.

Da es in diesem System mehrere Backdoors gab – versteckt zwischen den Dateien der TYPO3 Extensions, gehe ich davon aus, dass der eigentliche Hack schon Wochen zurück liegt, und vielleicht in der kurzen Zeit zwischen finden einer Sicherheitslücke in einer Extension (oder dem Core?) und dem Update stattfand.
Die Angreifer haben dann lange die Füße stillgehalten und so fiel der Hack nicht auf.

Die SPAM-Seiten wurden dann einige zeit später ins System gebracht.

Da die Backdoor an sich nichts mit TYPO3 zu tun hat, sondern lediglich eine ’normale‘ PHP-Datei ist, die lediglich irgendwo im Apache herumliegt, ist es nachvollziehbar, dass diese auch durch andere Lücken in andere Systeme gebracht wurde.

Seit dem entfernen der Backdoors gab es bei uns keinen weiteren Vorfall, so dass die Hoffnung erlaubt ist, dass die Eindringlinge über eine inzwischen gestopfte Sicherheitslücke hereinkamen und erst jetzt aktiv wurden.

Betroffene sollten in jedem Falle den GESAMMTEN typo3conf ordner durchsuchen nach Dateien in denen Lange Base64-Kodierte Strings mit preg_replace ausgeführt werden.

Thomas Moll am 19. März 2014 um 16:22

Eine gute Möglichkeit nicht zu lange zur Werbe-, Viren- und Malwareschleuder zu werden bietet auch die Registrierung bei der „Initiative S“ (https://www.initiative-s.de/).

Nein, es ist nicht das nonplusultra und schlägt erst Alarm wenn es zu spät ist, aber wenn man dann schnell reagiert lässt sich der Schaden wenigstens begrenzen.

Thomas am 19. März 2014 um 20:29
Trackbacks & Pingbacks

[…] Einen weiteren ausführlichen Bericht aus dem Netz zum diesem Thema finden Sie hier. […]

Pingback von Hackerangriffe auf Webseiten | der-BERGMANN.net am 20. März 2014 um 13:38

[…] Community reagierte ebenfalls enttäuscht auf die Berichterstattung. Peter Kraume schrieb auf TYPO3 Blogger etwa, er wünsche sich in Zukunft besser recherchierte Artikel, bei denen bereits im Vorfeld mit […]

Kategorien

Archiv