Hi,
es muss nicht immer am PHP liegen.
http://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html
Ich konnte in dem genannten Zeitraum reiheweise Seiten beobachten, die
gehackt wurden. Sogar mit statischen HTML-Seiten.
Gruß
HP
Am 19.06.2013 15:28, schrieb ulrich:
Hallo Liste,
da die Diskussion sehr spekulativ wird, hier ein paar Infos:
Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME
hinzugefügt.
In diesem IFRAME hat er dann Flash/Java initialisiert und den GVU-Trojaner
im Windows des Users installiert.
Es wurde nichts am TS oder im BE verändert.
Ich kann mir auch beim besten Willen nicht vorstellen, dass jemand die
Seite gezielt angegriffen hat.
Ich denke eher, dass jemand per Script nach IP-Ranges abfragt, URLS checkt
und dann den Schadcode ausführt.
Alle involvierten Domains/server sind natürlich mit Privacy Protected. Ein
whois läuft also ins leere.
Nichtsdestotrotz hab ich dem Hoster (OVH) eine Abuse-Meldung zukommen
lassen.
Dort liegen - wie es scheint - die Dateien, die die Rechner der User
infizieren.
Und da ich bisher von solchen Themen verschont geblieben bin, war meine
Frage:
Habt ihr *praktische* Tipps?
ZB welche Dokus man lesen könnte, Tools zur Analyse, ...
Es kann ja auch sein, dass der Angreifer nicht übers Typo3 kam, sondern
über JavaScript.
Also muss ich die Logs auch nach manipulierten JS-Aufrufen durchsuchen,
etc...
Alles Sachen, die ich bisher nur aus schlechten Filmen kannte ;)
Was ich bisher gemacht hab:
Logfiles für FTP überprüft. > Sauber
Logfiles nach Direktaufrufen von URLs in typo3conf/ext/ durchsucht >
Nichts. Bringt das überhaupt was?
Logfiles mit apache-scalp* nach diversen Patterns (SQLInjections, etc)
durchkämmt > Nichts.
Logfiles für ssh > Warte noch auf Zugriff. Ist ein Managed Server.
Bin wie gesagt, über jeden praktischen Tipp mehr als dankbar!
Schönen Tag und angenehmes Schwitzen
Ulrich
Am 19. Juni 2013 07:00 schrieb Andreas Becker <ab.bec...@web.de>:
Richtig Georg -
Insider Wissen und wenn man quasi an der Quelle sitzt ist immer hilfreich
bei solchen Dingen.
Ist aber in jedem Berufsfeld zB beim Boersenhandel ja nicht anders!
Es wird sich immer die Frage stellen wie sicher ist der
Sicherheitsexperte/das Sicherheits Team/ wer kontrolliert das und wie wird
es kontrolliert etc.
Andi
2013/6/19 Georg Ringer <ty...@ringerge.org>
Hallo,
Am 19.06.2013 01:35, schrieb Andreas Becker:
wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der
Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und
dort
einen neuen User angelegt hat und mit diesem eiloggte ins Backend
- Es ist ziemlich selten dass die DB komplett von außen erreichbar ist.
Wenn das wirklich der Fall ist, hat es ohnedies ein anderes Problem.
- Wie kommt man zu den Credentials der DB? Das geht nur über eine File
Disclosure, dh es braucht schon mind 2 Lücken.
Aus eigener Erfahrung [...] Da kann man dann einiges abändern z.B. TS
oder
simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann
mit
einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird.
Und
man kann Extensions installieren mit denen man u.a. auch die
Configurations
Dateien editieren kann "from within TYPO3!" etc..
ist das jetzt noch aus eigener Erfahrung? SCNR
Sicherheitsluecken werden dabei evtl. auch schon vor einer
veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org
ausgenutzt.
Natürlich. Ist ja nicht so als ob die "Bösen" nicht miteinander
kommunzieren bzw werden Lücken ja auch gegen Bares gehandelt.
Genau das ist auch der Standpunkt warum es keine Patch Days gibt, da das
nur heißt dass man Betreiber noch länger davon nichts weiß.
aber wir sind nicht mehr beim initialen Thema
Georg
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
