Server gehackt

  • jenshh jenshh
    Padawan
    0 x
    37 Beiträge
    0 Hilfreiche Beiträge
    19. 05. 2013, 00:14

    Heute ist mein TYPO3 Server gehackt worden. Version ist 4.5.25
    So wie es aussieht haben sich die Hacker ganz normal im Backend mit dem admin User eingeloggt. Da ich jedes Login mitlogge konnte ich sehen, dass sich zunächst jemand aus Amerika eingeloggt hat und kurz danach jemand aus Deutschland mit der IP 134.255.247.88. Es wurden ein paar Seiten und Templates verändert und ein Verzeichnis umbenannt.
    Was mich völlig irritiert ist, das es keine misslungenen Versuche gegeben hat. Die kannten mein Passwort oder haben einen anderen Weg gefunden, sich ganz normal einzuloggen. Per FTP waren sie nicht drauf und auch die config.php wurde nicht manipuliert. Spyware habe ich nicht auf meinem Rechner.
    Kann mir das jemand erklären?

    Beste Grüße
    Jens


  • 1
  • Chrissli Chrissli
    Jedi-General
    0 x
    1016 Beiträge
    28 Hilfreiche Beiträge
    19. 05. 2013, 02:55

    Ich denke dass sicher zu sagen ist unmöglich, dafür gibt es zu viele Möglichkeiten.

    Evtl. hat jemand das Passwort veraten wenn noch andere Zugang haben.
    Wenn du auf einem SharedHosting-Server bist, könnte auch der Server selbst gehackt worden sein und per MySQL-Zugriff das Passwort kurzfristig geändert worden sein.
    Und und und...

    Wie gesagt, Möglichkeiten gibt es viele.

    Wichtig ist, sicherzustellen dass keine schädliche Manipulation stattgefunden hat, d.h. Templates und TS sowie JS Dateien überprüfen, im besten Fall Backup zurückspielen. Und dann alle Passwörter ändern. Ggf. auch den Hoster kontaktieren.

    God's in his heaven, all's right with the world

  • karlchen karlchen
    Jedi-General
    0 x
    1433 Beiträge
    30 Hilfreiche Beiträge
    21. 05. 2013, 10:14

    Bitte in solchen Fällen immer erst ans Security Team von TYPO3 wenden, die können dir beim weiteren Vorgehen behilflich sein.
    Denn falls bei sowas rauskommt das es ein TYPO3 Bug ist, würdest du auch Tausende andere Seiten mit TYPO3 gefährden, da ein mögliches Sicherheitsproblem besprochen wird bevor es einen Bugfix gibt.

  • helmet helmet
    R2-D2
    0 x
    126 Beiträge
    1 Hilfreiche Beiträge
    21. 05. 2013, 15:41

    Hast Du das Install-Tool-Passwort geändert (also weg vom Standard "joh316")?

  • 1