24 Reaktionen zu “TYPO3 Seite gehackt und dann…”

Kommentare abonnieren (RSS) oder TrackBack URL

ja halt uns am laufenden 😉

Georg Ringer am 06. November 2009 um 22:24

Ich denke, die Frage, die uns allen unter den NĂ€geln brennt, ist: Hast du die Powerpoint-Slides an diesem Tag noch rechtzeitig fertig bekommen? 🙂

Oliver Schlöbe am 06. November 2009 um 23:56

Ich muss ganz ehrlich sagen, dass ich nicht zur Polizei gegangen wÀre.

a) sollen die sich um wirkliche Probleme kĂŒmmern und nicht um eine „gehackte“ Webseite

b) ich die Zeit genutzt hÀtte, zu sehen, warum ich gehackt wurde (alte Versionsnummer etc. ?)

So blöd die Antwort von 1&1 sich anhört…meiner Meinung nach haben sie vollkommen Recht. Halte dein System aktuell!

Das soll sich jetzt nicht 9malklug anhören. Mir selber ist das vor kurzem mit einer Webseite und WordPress passiert. Und Asche auf mein Haupt, ich hatte 4 Monate kein Update gefahren.

Der Gedanke zur Polizei zu gehen, ist mir aber nicht gekommen.

christian am 07. November 2009 um 00:31

FTP login erraten, oder wo war jetzt genau das ursÀchliche Problem?

Ingo am 07. November 2009 um 08:45

Interessant!

Anonymous am 07. November 2009 um 10:35

Darf man fragen, welche T3 Version da am laufen war?

Thomas am 07. November 2009 um 10:36

… ich hatte vor ein paar Monaten das gleiche Problem – der Angreifer kam auch ĂŒber FTP rein und hat alle index.* Dateien mit iframes versehen. Die Sache hatte also nichts mit TYPO3 zu tun.
Dass du die Sache angezeigt hast finde ich richtig – einen Account zu hacken ist eine Sache, aber auf diesem Account dann Dateien zu zerstören ist eine Sauerei. Wenn s ne Chance den Penner zu erwischen, nutze sie.

MgW am 07. November 2009 um 11:08

Zur KlÀrung:
– Angreifer kam ĂŒber FTP nicht PHP oder TYPO3 (TYPO3 aktuell – keine wichtigen Sicherheitslecks)
– Keine Ahnung, wie das FTP Passwort ausgespĂ€ht wurde
– Wer weiß wie viele Computer sich bereits alleine durch den Besuch der Seite infiziert haben, daher finde ich eine Anzeige wichtig
– und ich habe die Slides noch fertig bekommen 😉

Alex Kellner am 07. November 2009 um 12:07

Ich kann dich verstehen, hĂ€tte wahrscheinlich Ă€hnliches getan. Ich kann dir nur sagen: Mach dir nicht zu viele Hoffnung. Falls sich ĂŒberhaupt irgendjemand irgendwann bei dir meldet (egal mit welcher Aussage), wĂ€re ich schon froh. Ich habe eine Anzeige gegen jemanden aus London gestellt, weil derjenige meine bezahlte Ware aus ebay (bezahlt ĂŒber PayPal) nicht geliefert hat. Im Grunde hĂ€tte man nur die Bankdaten aus PayPal benötigt, um den Typen auf die Spur zu kommen. Pustekuchen! Die Anzeige wurde aus Deutschland nach England weitergeleitet, seitdem nie wieder was davon gehört.

Paulina am 07. November 2009 um 12:27

Hallo Alex

Ich wurde im Sommer Opfer vermutlich desselben Hacks. Ich habe es glĂŒcklicherweise nach bereits 6 Stunden bemerkt. Du kannst soviele kryptische Logins/Passwörter verwenden, wie du willst, denn der Hack setzt an einer anderen Stelle an. Über eine SicherheitslĂŒcke im PDF Reader. Sobald ein Betroffener mit dem FTP Client einloggt, werden die Daten „ĂŒbermittelt“. Bei meinem Kunden wurde ein 16-stelliges Passwort verwendet und es fand KEIN einziger Invalid Login statt.

Also, wenn meine Vermutung zutrifft, dann dĂŒrfte es sich um so etwas handeln:
http://www.heise.de/security/meldung/Zehntausende-Webseiten-fallen-Massenhack-zum-Opfer-220581.html
http://www.adobe.com/support/security/bulletins/apsb09-06.html
http://securitylabs.websense.com/content/Blogs/3408.aspx

Es gibt natĂŒrlich Varianten und Modifications. Good luck und behalte das System gut in den Augen. Good Luck!

felix am 08. November 2009 um 16:30

Nachtrag:
Helfen tut beispielsweise FTP via TLS zu verwenden, weil dann FTP-User/Passwort NICHT mehr in Klartext ĂŒbertragen werden.

felix am 08. November 2009 um 16:31

Nachtrag II:
Meinen Verdacht, es handle sich um so etwas Ähnliches wie im Mai, könnten folgenden News-Artikel erhĂ€rten – Es scheint jedenfalls wieder aktuell zu werden:
Gumblar so aktiv wie nie zuvor (3.11.09) :
http://www.tomsnetworking.de/content/aktuelles/news_beitrag/news/3825/18/index.html

Gefahrenpotential deutlich höher als vor einem halben Jahr (6.11.09) :
http://www.itseccity.de/?url=/content/virenwarnung/aktuellemeldungen/091106_vir_akt_kaspersky.html

felix am 08. November 2009 um 16:40

hatte diesen sommer ein Àhnliches problem:

1. ich infizierte meine winXP-arbeitsstation auf einer webseite mit einem trojaner, welcher ĂŒber eine per iframe eingebundene webseite mit endung „.ru“ verbreitet wurde (trotz aktuellem virenschutz „avira antivir free“, vermtlich ĂŒber eine sicherheitslĂŒcke im „internet explorer 6“ oder winXP)

2. habe die infektion +/- sofort bemerkt und das system gereinigt etc., dennoch waren am nĂ€chten morgen diverse kundenseiten mit diesem iframe gehackt. ich musste 1. alle pw’s Ă€ndern und 2. alle betroffenen dateien identifizieren und wiederherstellen…

3. meine vermutung: der trojaner hatte in kĂŒrzester zeit alle ftp-pw’s aus der filezilla-config-datei ausgelesen und ein roboter modifizierte wahllos index.html & index.php dateien auf den betroffenen servern.

4. meine massnahmen:
– die sicherheitslĂŒcke bei filezilla (unverschlĂŒsselte pw’s im „../Anwendungsdaten/FileZilla/sitemanager.xml“ und „../recentservers.xml“) ist bekannt. ich empfehle dringend auf das speichern der passwörter in plaintext zu verzichten (kann bei der installation von filezilla festgelegt werden)
– stattdessen einen schlauen „passwordmanager“ und/oder einen anderen ftp-client verwenden
– internetexplorer 6 deinstallieren, stattdessen mit „IETester“ verwenden um seiten zu testen
– „avira antivir premium“ kaufen fĂŒr wenig geld (bietet verbesserten „web-guard“)

… das wars, viel stress fĂŒr nichts, aber zumindest sind mir beis heute keine weiteren schĂ€den bekannt.

und ja, ich hatte auch starke rachegelĂŒste, habe aber nichts weiter unternommen…

*d

david am 09. November 2009 um 14:21

Vor diese Art von Angriffen (FTP-Account-Auslesen), kann man sich relativ leicht mit iptables und Port-Knocking schĂŒtzen. Port-Knocking wird vom recent-Modul unterstĂŒtzt, der die Anzahl der Verbindungsaufnahmen zĂ€hlt. Mehr dazu in dem hervorragendem Artikel in der c’t:

> http://www.heise.de/security/artikel/recent-271032.html

Anonymous am 10. November 2009 um 15:52

hey,

ich muss dich leider enttÀuschen, es hat wirklich GARNIX gebracht zur Polizei zu gehen, da der Angreifer 100% hinter einem nonlogging Proxy sitz, und bestimmt nicht nur hinter einem ..

greetZ

wassilij am 22. November 2009 um 17:53

Völlig richtig – ein GesprĂ€ch mit der Kripo Rosenheim hat genau das zu Tage gebracht. Angreifer saß hinter einem Anonymisierungsproxy 🙁

Alex Kellner am 27. November 2009 um 15:03

… und wie man als guter hackt gibts in einem der nĂ€chsten blogs 😉

Georg Ringer am 27. November 2009 um 15:22

Haha wie lustig so einen genialen Beitrag hab ich schon lÀnger nicht mehr gelesen.
„Und was soll ich sagen, wir sprachen die gleiche Sprache ;)“
„und ich bildete mir ein, dass er zum Schluss verstanden hatte, was das Problem war.“
REAL LOL

Die Spinnen die … die Schweine 🙂

Hacker am 14. August 2010 um 03:53

Was hab ich gelacht … “Und was soll ich sagen, wir sprachen die gleiche Sprache”

herrlich

Marcus am 20. September 2011 um 09:58

Gab es den irgendeinen Erfolg hinsichtlich der IP?
Ich komme auch aus Rosenheim, im Bereich von VerschlĂŒsselung, Firewalls und Backbones tĂ€tig.
Ohnehin wird der Angreifer (sollte er kein Kiddy sein ) Socks5, Tor oder zumindest einen VPN genutzt haben.
Ich wĂŒrd mich freuen ĂŒber eine RĂŒckmeldung!

GrĂŒĂŸe Chris

Chris am 23. Februar 2014 um 09:12

Hallo Chris,

die Story liegt schon lange zurĂŒck und leider habe ich nie wieder etwas gehört. Vermutlich gehen diese Geschichten immer so oder so Ă€hnlich aus 🙁
BTW: mittlerweile arbeite ich auch in Ro – vielleicht kennt man sich ja zufĂ€llig?

Alex Kellner am 24. Februar 2014 um 21:39
Trackbacks & Pingbacks

[…] Dieser Eintrag wurde auf Twitter von Alex Kellner, Michael Hamann erwĂ€hnt. Michael Hamann sagte: RT @einpraegsam: Website gehackt und wie geht es weiter: http://is.gd/4P7eC good luck… […]

Pingback von Tweets die TYPO3 Seite gehackt und dann
 | TYPO3 Blogger erwÀhnt -- Topsy.com am 06. November 2009 um 23:58

[…] am Samstag lese ich den schon am Abend zuvor veröffentlichen Blogeintrag von Alex Kellner: “TYPO3 Seite gehackt und dann
“. Da die meisten (ĂŒberwiegend interessanten) Kommentare aber erst am Samstag einschlugen, […]

Pingback von » WEB2.0-WochenrĂŒckblick WK45/2009 tobi.weinhorst am 08. November 2009 um 18:57

[…] es darum wie man reagiert und welche Schritte einzuleiten sind (Vielleicht ganz passend zum Thema: TYPO3 Seite gehackt und dann…). In der Anschließenden Diskussion ging es dann darum, wie man PrĂ€ventiv-Maßnahmen am besten dem […]

Pingback von T3Camp10HH Tag 3 | TYPO3 Blogger am 26. Mai 2010 um 16:51

Kategorien

Archiv