Hi,
es muss nicht immer am PHP liegen.
http://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html
Ich konnte in dem genannten Zeitraum reiheweise Seiten beobachten, die
gehackt wurden. Sogar mit statischen HTML-Seiten.
Gruß
HP
Am 19.06.2013 15:28, schri
Hallo Ulrich,
> -Ursprüngliche Nachricht-
> Von: typo3-german-boun...@lists.typo3.org [mailto:typo3-german-
> boun...@lists.typo3.org] Im Auftrag von ulrich
> Gesendet: Freitag, 21. Juni 2013 12:48
> An: German TYPO3 Userlist
> Betreff: Re: [TYPO3-german] Sicherhe
Am Freitag, 21. Juni 2013, 12:47:36 schrieb ulrich:
> Bisher noch keine erneute Infektion. Was meine Theorie von oben
> unterstützt. Allerdings werde ich mir wohl den Wahnsinn antun und
> tripwire einrichten um halbwegs angenehm schlafen zu können ;)
Nimm aide, http://aide.sourceforge.net. Ist k
Am 19. Juni 2013 18:56 schrieb Philipp Gampe :
> Hi ulrich,
>
> ulrich wrote:
>
> > Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME
> > hinzugefügt.
>
> Das schaue eher nach einen Skript, denn nach einem gezielten Angriff aus.
>
> I.d.R. erfolgen solche Angriffe über geha
Hi ulrich,
ulrich wrote:
> Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME
> hinzugefügt.
Das schaue eher nach einen Skript, denn nach einem gezielten Angriff aus.
I.d.R. erfolgen solche Angriffe über gehackte (Trojaner, o.ä.) Zugangsdaten
von dir oder jemand anderem
Hallo Liste,
da die Diskussion sehr spekulativ wird, hier ein paar Infos:
Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME
hinzugefügt.
In diesem IFRAME hat er dann Flash/Java initialisiert und den GVU-Trojaner
im Windows des Users installiert.
Es wurde nichts am TS oder i
Richtig Georg -
Insider Wissen und wenn man quasi an der Quelle sitzt ist immer hilfreich
bei solchen Dingen.
Ist aber in jedem Berufsfeld zB beim Boersenhandel ja nicht anders!
Es wird sich immer die Frage stellen wie sicher ist der
Sicherheitsexperte/das Sicherheits Team/ wer kontrolliert das u
Hallo,
Am 19.06.2013 01:35, schrieb Andreas Becker:
> wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der
> Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und dort
> einen neuen User angelegt hat und mit diesem eiloggte ins Backend
- Es ist ziemlich selten da
Hi
wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der
Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und dort
einen neuen User angelegt hat und mit diesem eiloggte ins Backend, von
dortaus kann er dann im Grunde alles weitere erledigen was er will. Er muss
nu
SFTP / SSH am besten nur mit Publickey Authentifizierung, das ist noch eine
Stufe sicherer!
das ist richtig. Was aber nun, wenn jemand auf dem Rechner sitzt und an den
Key rankommt?
Der Key alleine nützt ihm ja nichts, solange der mit einer guten
Passphrase geschützt ist (Privatekeys ohne Pass
Am 6/18/13 3:28 PM, schrieb Jan Kornblum:
SFTP / SSH am besten nur mit Publickey Authentifizierung, das ist noch
eine Stufe sicherer!
das ist richtig. Was aber nun, wenn jemand auf dem Rechner sitzt und an
den Key rankommt?
___
TYPO3-german mailing
Am 6/18/13 3:23 PM, schrieb Georg Ringer:
Hallo,
Am 18.06.2013 15:14, schrieb LUCOMP mediale kommunikation &
internetDesign Bernhard Ludwig:
Es ist kaum anzunehmen, dass die FTP-Session ausgespäht wird, da müsste der
Trojaner den gesamten Traffic überwachen, was aus Perfomancegründen nicht
ge
SFTP / SSH am besten nur mit Publickey Authentifizierung, das ist noch
eine Stufe sicherer!
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Hallo,
Am 18.06.2013 15:14, schrieb LUCOMP mediale kommunikation &
internetDesign Bernhard Ludwig:
> Es ist kaum anzunehmen, dass die FTP-Session ausgespäht wird, da müsste der
> Trojaner den gesamten Traffic überwachen, was aus Perfomancegründen nicht
> gemacht wird,
na wenn du das weißt ...
> -Ursprüngliche Nachricht-
> Von: typo3-german-boun...@lists.typo3.org [mailto:typo3-german-
> boun...@lists.typo3.org] Im Auftrag von Georg Ringer
> Gesendet: Dienstag, 18. Juni 2013 11:52
> An: typo3-german@lists.typo3.org
> Betreff: Re: [TYPO3-german] Sicherhe
Am 6/18/13 2:56 PM, schrieb Ingo:
ulrich schrieb am 18.06.2013 12:16
FTP würd ich ausschliessen. Das sind nur ein paar Zugriffe die
nachzuvollziehen sind.
Logs können umgeschrieben werden (weiß nicht, ob das üblich ist,
früher wurde wohl einfach logfile gelöscht).
Letztlich ist ein korrumpie
ulrich schrieb am 18.06.2013 12:16
FTP würd ich ausschliessen. Das sind nur ein paar Zugriffe die
nachzuvollziehen sind.
Logs können umgeschrieben werden (weiß nicht, ob das üblich ist, früher
wurde wohl einfach logfile gelöscht).
Gruss, Ingo
___
Wenn ein Angreifer schon Zugriff über eine PHP Shell erlangt hat, müsste er
innerhalb des web-Verzeichnisses eigentlich auch in der Lage sein, die
modification time von Dateien zu verändern und damit zu verschleiern, z.B. über
time().
Auf das Änderungsdatum einer Datei allein würde ich mich nich
Am 18.06.13 12:16, schrieb ulrich:
> Ich frage mich eher, nach welchen Pattern ich in den logs suchen sollte?
Ich würde Dir mal den Tipp geben und schauen, ob alle Deine Redakteure
und Admin sichere Passworte haben.
Aus meiner Erfahrung sieht ein Szenario wie folgende aus:
* Suche nach SQL Inje
Hallo alle,
erst mal VIELEN Dank für die ganzen Anregungen!
FTP würd ich ausschliessen. Das sind nur ein paar Zugriffe die
nachzuvollziehen sind.
Ich frage mich eher, nach welchen Pattern ich in den logs suchen sollte?
Schliesslich kann der Angriff ja über PHP oder JavaScript erfolgt sein.
Ein gr
Hallo,
Am 18.06.2013 11:49, schrieb LUCOMP mediale kommunikation &
> was Du nicht ausschließen kannst ist, dass der Kunde auf seinem Rechner einem
> Trojaner Raum gewährt, der gemütlich die FTP-Daten aus Programmen wie z.B.
> Filezilla ausliest und nach Hause schickt. Viele FTP-Programme speiche
> -Ursprüngliche Nachricht-
> Von: typo3-german-boun...@lists.typo3.org [mailto:typo3-german-
> boun...@lists.typo3.org] Im Auftrag von ulrich
> Gesendet: Dienstag, 18. Juni 2013 10:53
> An: German TYPO3 Userlist
> Betreff: Re: [TYPO3-german] Sicherheitslücke aufspüre
Der Kunde nutzt FTP bloss alle paar Monate
"Kunde nutzt FTP nur alle paar Monate" bedeutet nicht zwangsläufig,
dass der FTP-Account nicht ggf. andersweitig mißbraucht wird. Es sei
denn, das kannst du auf Basis der Logs ausschließen.
mal und die Logs sind auch ok.
Ansonsten wird von mir alle
Ist es möglich, dass ein Angreifer über Typo3 auch Schreibrechte auf
Verzeichnisse ausserhalb der Typ3 Installation erlangen kann?
Das hängt vom Webspace ab und worauf der User, unter dem der Webserver
läuft, Zugriff hat. Wenn das TYPO3 Verzeichnis nicht irgendwie
abgegrenzt ist von anderen (c
Hallo Ulrich,
wichtig ist wohl für dich dieses Kapitel:
http://docs.typo3.org/typo3cms/SecurityGuide/HackedSite/TakeOffline/Index.html
= IMPORTANT ==
Wichtig ist auch: wenn irgendwas auf Extensions oder den Core deutet,
das Security Team benachrichtigen und nicht hier im Forum darüber red
> Da hast Du schon mal ein Zeit Kriterium für das durchsuchen der Log
> Dateien.
Sicher?
Also wenn ich Einbruchsversuche mache und bei modernen Rootkits sicher
nicht :D
http://uckanleitungen.de/rootkit-scanner-linux/
Zusätzlich solltest du noch eine Firewall verwenden ;)
Grüße
Kay
--
http:
Hallo Ulrich,
Am 18.06.2013 10:32, schrieb ulrich:
ich hatte auf einem 4.7 System den Fall, dass es einem Angreifer gelungen
ist, Dateien auf dem System zu verändern.
wenn Dateien verändert wurden, tragen diese ja auch den Zeitstempel des
Ereignisses.
Da hast Du schon mal ein Zeit Kriterium
Oder mal andersrum gefragt:
Ist es möglich, dass ein Angreifer über Typo3 auch Schreibrechte auf
Verzeichnisse ausserhalb der Typ3 Installation erlangen kann?
Falls nein, dann würde es die Suche sehr einschränken ;)
Am 18. Juni 2013 10:52 schrieb ulrich :
> Am 18. Juni 2013 10:43 schrieb Jan Ko
Am 18. Juni 2013 10:43 schrieb Jan Kornblum :
> Hi,Kannst du denn mit Sicherheit ausschließen, dass der Angriff evtl.
> "einfach nur" über ausspionierte FTP Zugänge erfolgte, und gar nicht über
> TYPO3 selbst? Das erspart mühsames Suchen...
>
Das kann ich bis zu einem bestimmten punkt ausschliess
Hi,
ich hatte auf einem 4.7 System den Fall, dass es einem Angreifer gelungen
ist, Dateien auf dem System zu verändern.
Nun hab ich alles durchkämmt und soweit allen Schadcode entfernt und alle
PWs, etc geändert.
Ich würde aber gern herausfinden, wie der Angreifer das geschafft hat.
Meine Frage
30 matches
Mail list logo
