[Frage] Google Conditional Hack TYPO3-Version: 4.3.14

  • schmidtsmikey schmidtsm...
    Jedi-Ritter
    0 x
    145 Beiträge
    0 Hilfreiche Beiträge
    08. 07. 2014, 17:15

    Hallo liebe Community,

    ich bin Opfer des Google Conditional Hacks geworden. Zumindest sehe ich unter der Google Suche site:DOMAIN.de viagra suche, sehe ich nahezu alle Seiten im Google Index. Obwohl ich mich jetzt u.a. bei folgenden Links eingelesen habe, weiß ich nicht wirklich, wo ich anfangen soll. Die darin beschrieben base64 & Co. Anpassungen habe ich nicht gefunden. Bzw. habe ich wahrscheinlich falsch gesucht. Es wäre also super, wenn mir mal jemand etwas unter die Arme helfen könnte.

    http://typo3blogger.de/die-eigene-webseite-als-spam-schleuder-der-google-conditional-hack/
    http://blog.namics.com/2011/05/google-viagra-a.html
    http://blog.namics.com/2012/01/a-study-in-viagra.html

    Ich fange mal an, wichtige Infos aufzuzählen:

    - die betroffene Seite basiert noch auf 4.3.13, da ich eine bestimmte Extension habe, die unter neueren Versionen nicht läuft. Und diese zu ersetzen habe ich noch nicht geschafft.
    - Neben dem betroffenen Typo3 Web läuft noch ein weiteres Typo3 4.3 Web und ein phpBB 3 Forum. Diese Seiten sind nicht betroffen
    - Vor ca. 4-6 Wochen hatte ich Probleme mit der Seitenladezeit. Das kam plötzlich und verschwand nach ca. 2 Wochen wieder. Ich denke, dass damals die Seite gehackt wurde.
    - der Server ist ein Root-Server basierend auf Gentoo-Linux Hardened (3.11.7-hardened-r1 ). Diesen habe ich selbst aufgesetzt
    - FTP ist nicht aktiv. Nur SSH mit einem Nicht-Root-Benutzer. Laut den Statistiken hat sich niemand Unbefugtes eingeloggt.

    Was kann ich nun tun?

    - Kann mir jemand einen Link geben, wie man Typo3 besonders strikt einrichtet. Ich sehe hier zum Beispiel viele Dateien mit 777 Berechtigung :-(
    - Ich würde jetzt ein Backup einspielen? Reicht es, die Dateien auszutauschen oder ist auch die Datenbank Pflicht?
    - Die Typo3-Sources würde ich neu herunterladen und einrichten.
    - Passwörter? Welche sollten es alle sein?

    Falls Fragen da sind, immer her damit. Ich hoffe, dass mir jemand helfen kann. Danke!!!


  • 1
  • schmidtsmikey schmidtsm...
    Jedi-Ritter
    0 x
    145 Beiträge
    0 Hilfreiche Beiträge
    09. 07. 2014, 08:41

    [b]Status-Update - neue Erkenntnisse:[/b]

    Ich vergleiche mit einem Diff-Tool die aktuellen Dateien mit dem Stand von vor einem Jahr (zum Glück habe ich brav Sicherungen aufbewahrt!

    • Die Viagra-Links werden nur angezeigt, wenn Google die sprechende URL (generiert durch real_url 1.6) aufruft. Wird die "id-URL", sprich index.php?id=XXX aufgerufen, werden die Viagra-Links nicht angezeigt. Scheint also irgendwie mit real_url zusammenzuhängen.
    • Irgendwas oder Irgendwer hat die Extension t3quixplorer installiert. Auf meinem Desktop meckert Windows 8.1 sogar die Datei mysql.php aus dieser Extension als Malware an. In der Datei selbst stehen aber nur ein paar Variablen. Ich habe die Extension jetzt gelöscht.

    Ansonsten kämpfe ich mich gerade durch, um das offene Tor bzw. den Übeltäter zu finden. Das Problem scheint schon länger zu existieren. Seit wann, kann ich aber noch nicht genau sagen.

    Hier noch mal meine heutigen Updates:

    • Admin-User Passwort geändert
    • Alle anderen BE-User entfernt
    • Installations-Passwort geändert und die()-Funktion in /install/index.php gesetzt
    • Typo3-Sources neu heruntergeladen und verlinkt (=> ohne Erfolg)
    • localconf.php mit altem Versionsstand überprüft => keine Änderungen

  • Schweriner Schwerine...
    Jedi-Ratsmitglied
    0 x
    554 Beiträge
    60 Hilfreiche Beiträge
    09. 07. 2014, 09:36

    Schonmal den Inhalt des typo3temp Ordners gelöscht wie es der TYPO3 Blogger vorschlägt? Oder mal auf Änderungen in der htaccess geschaut?

  • schmidtsmikey schmidtsm...
    Jedi-Ritter
    0 x
    145 Beiträge
    0 Hilfreiche Beiträge
    10. 07. 2014, 08:33

    Den Hack habe ich mittlerweile gefunden. Ist das Vorgehen, was in den vielen Topics zu lesen ist: links werden preg_replace oder base64 codiert. Bei mir war es:

    1) die Extension t3quixplorer mit einer modifizierten PHP-Datei
    2.) die Extension tx_crawler, wo die Dateien ***pdf.php angepasst wurde. Diese wurde mit require in der localconf.php eingebunden.

    Bis jetzt sieht es ganz gut aus. die Spamlinks sind weg. Ich sichere nun das System ab und werde mich noch mal melden...

  • seebold seebold
    T3PO
    0 x
    29 Beiträge
    1 Hilfreiche Beiträge
    17. 07. 2014, 13:02

    Hallo,

    bei mir war es der folgende Eintrag in der localconf.php
    #require_once(dirname(__FILE__).'/ext/realurl/ext_fpdf.php');

    Natürlich habe ich auch das dazugehörige Script gelöscht und das FTP-Passwort sowie das Install-Passwort von TYPO3 geändert. Muss ich bei einem Managed Server noch an irgendetwas anderes denken?

    Viele Grüße

  • schmidtsmikey schmidtsm...
    Jedi-Ritter
    0 x
    145 Beiträge
    0 Hilfreiche Beiträge
    29. 07. 2014, 11:29

    Hallo,

    bei mir war es übrigens auch diese Datei. Ich konnte das Problem mittlerweile beheben und habe keine Probleme mehr. Ich habe folgende Punkte durchgeführt:

    • alle unnötigen und vom Hack betroffenen Extensions deinstalliert und vom Server gelöscht(!)
    • Admin-User Passwort geändert
    • Alle anderen BE-User entfernt
    • Installations-Passwort geändert
    • Installationsverzeichnis deaktiviert ( => siehe Link unten)
    • Typo3-Sources neu heruntergeladen, um dortige Änderungen auszuschließen
    • Alle SQL-Passwörter neugesetzt
    • Nur SQL- Lese-Benutzer eingerichtet (für Datensicherung)
    • Ich nutze nur noch SSH statt FTP
    • Verzeichnis-Berechtigungen neu gesetzt /typo3_src, typo3conf/ext/ ( => siehe Link unten)
    • Systemupdates (Linux)
    • localconf.php in anderes Verzeichnis verschoben ( => siehe Link unten)

    Ließ Dir mal folgenden Artikel durch: http://www.pc-erfahrung.de/nebenrubriken/sonstiges/webdesignwebentwicklung/typo3/typo3-installation-absichern.html

    Dort wird beschrieben, wie man die Dateiberechtigungen möglichst streng setzen, die localconf.php in ein anderes Verzeichnis verschieben und den generellen Live-Betrieb eines Typo3-Webs sehr restriktiv setzen kann.

  • karlchen karlchen
    Jedi-General
    0 x
    1427 Beiträge
    30 Hilfreiche Beiträge
    29. 07. 2014, 14:05

    Hallo,

    erstmla danke für deinen ausführlichen Bericht. Doch ich glaube nicht das deine Vorkehrungen auf Dauer was bringen. Deine TYPO3 Version ist einfach zu alt, seid dem erscheinen der Version sind einige Sicherheitsupdates für TYPO3 herausgekommen die eventuell wieder genutzt werden können um sich auf deinem Server einzuschleichen.

  • SirRuddy SirRuddy
    R2-D2
    0 x
    119 Beiträge
    0 Hilfreiche Beiträge
    02. 07. 2015, 11:43

    Hallo liebe Gemeinde!

    Ich habe mich auch sehr lange mit dem Thema auseinandergesetzt, da gleich drei Seiten bei mir davon betroffen waren. Wie man das weg bekommt, und welch Ursachen das hat wird ja ausreichend im Web erklärt. Wobei bei mir wohl in erster Linie das Update von 4.5 auf 6.2, sowie das aktualisieren von RealUrl das Problem endgültig gelöst haben.

    Da doch immer noch recht viele Seiten davon betroffen sind, wie mir bei meiner Recherche dazu auffiel, wollte ich mal eine robts.txt posten. Denn das ist der einfachste Weg Google, Bing und Co. mitzuteilen, diese Verzeichnisse in der Suche zu löschen. Bei Betrachtung der URL muss man gestehen, dass die Ar...löcher durchaus kreativ waren was die Keywords angeht. - Aber mir erschließt sich immer noch nicht der Zweck der Übung. Es wird kein Sale generiert, und auch kein Klick auf eine (deren) Seite. - Sollte das also nur trolling sein...?!

    OK, fügt das (siehe Anhang) bei bedarf für mindesten 90 Tage in Eure robots.txt hinzu, und schon (vorausgesetzt "der Hack ist Weg") sollte das Problem gelöst sein. - Die Liste erhebt keinen Anspruch auf Vollständigkeit!

    Den HTML-Kram am Ende könnt ihr weg lassen. Der wird hier nach dem Upload der Datei immer wieder vom Forum hinzugefügt. - Sorry not my Fault :)

    Gruß
    SirRuddy

    Anhänge (1)
    robots.txt text/plain 0,00 B 286 heruntergeladen
  • askalot askalot
    Jar Jar Binks
    0 x
    1 Beiträge
    0 Hilfreiche Beiträge
    09. 06. 2016, 11:21

    OK, fügt das (siehe Anhang) bei bedarf für mindesten 90 Tage in Eure robots.txt hinzu, und schon (vorausgesetzt "der Hack ist Weg" sollte das Problem gelöst sein. - Die Liste erhebt keinen Anspruch auf Vollständigkeit!

    Den HTML-Kram am Ende könnt ihr weg lassen. Der wird hier nach dem Upload der Datei immer wieder vom Forum hinzugefügt. - Sorry not my Fault

    Hallo SirRuddy,

    wärst du so nett und könntest das in den Text posten. Denn in dem Anhang steht irgendwie nur der html-code der aktuellen Seite. Vielen Dank! :)

  • 1