-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 21.10.2010 09:34, schrieb Georg Ringer: > Hallo, > > gleich vorweg: Bitte keine sicherheitsrelevanten Themen in Listen, > Foren, Stammtischen diskutieren sondern *nur* mit dem Security Team!
Hallo Georg, ich denke jeder sollte die sicherheit von typo3 diskutieren! spezielle der punkt wie mache ich ein typo3 / meinen server sicher. und wie räume ich auf wenn doch mal etwas schief geht. natürlich hast du recht wenn eine neue sicherheitslücke entdeckt wird. sollte man das nicht zu erst in der öffentlichkeit breit treten sondern erstmal im "privaten" mit dem securtiy team besprechen damit ein entsprechender patch bereit steht wenn die lücke dannn öfentlich bekannt gegeben wird. denke aber das es jan hier nicht darum ging eine neue lücke zu melden sondern zu klären wie er herausbekommen kann wie die infektion gelaufen ist. nun zu Jans Problem wenn du dir das änderungsdatum der *.js dateien anguckst solltest du herausfinden können ob diese vor oder nach deinem typo3 update verändert wurden. damit kannst du eine erste einschätzung gewinnen ob es denn die bekannte typo3 lücke sein könnte. ansonsten hilft eventuell logfile lesen/filtern aber auch das ist keine garantie.. typo3 ist natürlich nicht die einzige software die auf so einem server läuft und auch andere software hat sicherheitslücken. es währe also gut möglich das der angreifer über eine ander site andere software eingedrungen ist. häufig wird dann erstmal eine php-shell. irgendwo auf dem server versteckt. tief vergraben in irgend einem unterverzeichnis von dort aus werden dann die anderen dateien infiziert. in deinem fall offensichtlich alle *.js dateien in deinem fall. guck auf jedenfall noch mal alle ordner deines webservers durch ob nicht noch irgnedwo ein script liegt das dort nicht hingehört. oder noch besser spiele lösche die daten der sites und spiele diese komplett neu ein soweit sich das eben machen läst. ich nehme mir in so einem fall immer die apache logfiles for. selbst wenns nicht garantiert ist ob man dort etwas findet. da hier nur angriffe auftauchen würden die GET benutzen also quellcode per URL parameter einschläusen die POST angriffe würden hier nicht auftauchen. aber trozdem lohnt es sich danach zu suchen. wenn du den zeitpunkt des angriffes ungefähr einschätzen kannst kannst du auch einfach erstmal gucken welche dateien sich denn überhaupt in der zeit geändert haben. gruss chris > > Am 21.10.2010 09:26, schrieb Jan Kornblum: >> Was meint ihr? Typisches Szenario für augenutze Sicherheitslücke (s.o.), >> oder andere Ursache? Und nach was könnte man in den Apache Logfiles >> suchen um herauszufinden, ob das ganze über TYPO3 reinkam? > > Ich würde mal die FTP-Logs checken. Zumindest kenne ich ähnliches wo ein > FTP-Account geknackt wurde, vermutlich über eine Malware am PC selbst, > und dann wurden alle Files via FTP geändert. > > lg georg -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (MingW32) iEYEARECAAYFAky//+UACgkQIcCaXPh/JHGAhgCgjcLeLL7Kj7DPZu2aSko/pp1v oOkAn2/bLc0jjNrlhlyWNdaRImVJ2i6c =2HZs -----END PGP SIGNATURE----- _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
