Seit ein paar Monaten macht eine neue Art von Website Hack die Runde: der Google Conditional Hack. Dabei wird PHP Code in die Webseite eingeschleust, der den Useragent des Besuchers auswertet. Wenn der Googlebot erkannt wird, hängt der Schadcode einen HTML Schnippsel mit Links zu Viagra oder Cialis Produkten an die Seite an, die dann natürlich auch promt im Google Cache landen. Alternativ wird auch gleich der gesamte Inhalt der Webseite durch einen Viagra Shop ersetzt. Wird die Seite normal über den Browser aufgerufen, bekommt man davon nichts weiter mit.Testen kann man das, in dem man die eigene Webseite bei Google mit dem Stichwort Viagra sucht:
site:typo3blogger.de viagra
Auch viele TYPO3 Webseiten sind von diesem Problem betroffen. Vor ein paar Tagen hat ein Schweizer IT Magazin über zahlreiche gehackte TYPO3 Seiten berichtet. Allerdings ist keineswegs erwiesen, dass sich die Hacker Zugriff über eine Schwachstelle in TYPO3 oder einer Extension verschafft haben. Genauso gut sind schlecht abgesicherte FTP Zugänge oder Schwachstellen in PHP als Ursache möglich.
Nach meiner Beobachtung gibt es verschiedene Methoden, wo der Schadcode in TYPO3 Webseiten eingebettet wird:
- In typo3conf/ wird eine include.php oder default.php abgelegt, die dann entweder in der localconf.php oder im Document Root in der index.php includiert wird.
- Die .htaccess Datei wird manipuliert und dort entsprechende Weiterleitungen eingerichtet.
- Überall im TYPO3 Core, in typo3conf/ext/ und fileadmin/ werden php Dateien abgelegt, die „verschlüsselten“ Code mit print(), eval() und base64_decode() enthalten.
- /typo3/sysext/cms/tslib/index_ts.php wurde um einen größeren Codeblock erweitert.
Falls jetzt jemand aufgrund dieses Artikels bei sich eine gehackte TYPO3 Webseite entdeckt, sollte auf jeden Fall Kontakt mit dem TYPO3 Security Team unter security@typo3.org aufgenommen werden. Auf keinen Fall sollten Details über den Hack oder mögliche Schwachstellen in TYPO3 oder Extensions hier in den Kommentaren oder anderweitig veröffentlich werden!
Wie kann man sich generell vor Hacks schützen?
Die wichtigste Maßnahme dürfte sein, den TYPO3 Core, alle Extensions und auch die Server Komponenten immer auf dem aktuellsten Stand zu halten bzw. nach der Veröffentlichung von Security Bulletins umgehend zu handeln. Über neue Security Bulletins wird man am schnellsten über die Announce Mailingliste von TYPO3 informiert.
Außerdem sollten dem Webserver Benutzer sämtliche Schreibrechte auf den TYPO3 Core entzogen werden. Viele weitere Tipps zur Absicherung einer TYPO3 Installation liefert das TYPO3 Security Cookbook.