Hi Rene Leider waere der Thread damit nicht vorbei, denn die Hacker hatten nach der Auswertung der inzwischen hier vorliegenden Daten in mindesten einem der genannten Faelle Insiderwissen in TYPO3 ;-) und scheinen sich vorallem auch in Sicherheitsrelevanten Themen wie sie z.B. im HCI Team besprochen werden auszukennen. Sie benutzten die Kenntnis ueber die Luecke nachdem sie eine Mail einer namhaften Agentur versendet haben um in der Localconf die Datenbank und das entsprechende Passwort auszuspaehen. In den Folgenden Tagen probierte sie es abermals, kamen aber nicht durch, da inzwischen auf 4.2.6 upgedated wurde, Jedoch nutzten sie dann die Datenbank Daten und stiegen direkt hier ein. Sie suchten nach Content auf der Starseite (hinterliesen zum Glueck zahlreiche Spuren) mit den entsprechenden Suchbegriffen, wie sie nur jemand kennt, der auch mal das Backend von innen gesehen hat und weiss, wie News Artikel abgelegt werden.
Sie scheiterten jedoch auch daran, da einige Newsartikel eben nicht in dieser Datenbank gehostet werden. Sie kamen abermals wieder und versuchten ueber eine wohl neue Idee Aenderungen vorzunehmen - ohne Erfolg. Jedoch gelang ihnen dies 4 Tage spaeter bei einem anderen Newsartikel, wodurch dann auch der Hack bekannt wurde. Alle IPs fuehren bis auf eine nach Deutschland. Die erste fuehrt nach Brisbane/Ausralien an den Ort wo auch die besagte Agentur eine Niederlassung/Developer zu haben scheint. Die Art und weise wie der News-Artikel geandert wurde laesst zudem mehr als nur Schluesse auf die Hacker zu! Alles andere wird dann wohl die Staatsanwaltschaft interessieren, sollten sich die Hacker nicht selber stellen oder sich zumindest - entschuldigen und ihre Tat eingestehen - oder? Sollte sich unsere bisherigen Nachforschungen und Vermutungen jedoch bewahrheiten - wovon im Moment auszugehen ist, dann stellt sich fuer uns auch die Frage, welchen Agenturen, bzw. Developern kann man trauen! Es wuerde naemlich bedeuten dass unsere Kollegen unsere Seiten hacken! Da die Hacker hier mitlesen - nochmals der Aufruf - meldet Euch! Alles weitere ist Euch bereits bekannt. Ihr wisst was wir von Euch erwarten! (gilt fuer die Hacker! sorry!) Mit freundlichem Gruss Andi P.S. Allen anderen die hier mitlesen sei daher zudem Folgendes angeraten! Da die Hacker in einem der besagten Faelle mit hoher Sachkenntnis vorgegangen sind und sich der Hack ueber mehrere Tage erstreckte, ist nur jedem zu empfehlen der auf TYPO3 upgedatet hat, auch seine Datenbank Namen und Passwoerter zu aendern. Die Hacker haben diese Daten evtl bereits am 10/11 bekommen und koennen sie danach jederzeit nach belieben "abarbeiten". Zudem empfiehlt es sich auch phpmyadmin genauestens zu ueberwachen, so wie wir es taten. Ohne diese Infos haetten wir nicht so viele eindeutige Spuren. Kunden ist zu raten ihre Agenturen anzuhalten diese Aenderungen vorzunehmen, denn noch sind die Hacker "auf freiem Fuss" und koennen jederzeit erneut zuhacken. Sollten auch Eure Sites bzw. die von Kunden gehakt worden sein und ihr die notwendigen LogFiles und bereits oben angesprochenen Daten habt, so sollte man diese ggf. gemeinsam weiterleiten. Ich denke dass man hier sicher auch auf die Unterstuetzung von Herrn Schaeble zaehlen kann, denn wer weis, vielleicht steckt hinter den Hacks ja garnicht so viele Leute bzw. es gibt auffaellige Parallelen evtl sogar gleiche IPs und weitere Spuren. _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.netfielders.de http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
