Hi wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und dort einen neuen User angelegt hat und mit diesem eiloggte ins Backend, von dortaus kann er dann im Grunde alles weitere erledigen was er will. Er muss nur eine extension i.e. terminal installieren.
Andere Frage - welches Interesse verfolgte wohl der Angreifer mit dem Hack? Macht der Hack ueberhaupt Sinn auf deiner Seite? evtl. kommst du mit diesen einfachen Fragen einer moeglichen Loesung näher. Aus eigener Erfahrung würde ich sagen dass Angreifer besonders bei bestimmten grossen Projekten in der Regel auch ein Ziel verfolgen und dieses ggf. dann auch mit aller Gewalt versuchen umzusetzen - d.h, evtl. auch mal 5 Tage oder länger rumprobieren bis sie schlussendlich Zugang zu i.e. PhpMyAdmin erlangen - oder einem anderen Tool, was evtl. noch nicht einmal in deinem "Zuständigkeitsbereich" liegt. Sie dann wiederum laengere Zeit rumsuchen bis sie z.B. auch einen bestimmten Eintrag in der DB finden um diesen abzuaendern. Da kann man dann einiges abändern z.B. TS oder simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann mit einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird. Und man kann Extensions installieren mit denen man u.a. auch die Configurations Dateien editieren kann "from within TYPO3!" etc.. Ein normaler User kann hier auch leicht zu einem Admin user werden mit vollzugriff. Kurzum es badarf hierzu nicht des TYPO3 Backends wuerde ich mal sagen, sondern es reicht ein dritt-Tool aus. Sicherheitsluecken werden dabei evtl. auch schon vor einer veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org ausgenutzt. Hat man erst einmal das PW so duerfte der Rest nicht mehr so schwer sein und vor allem kann er zeitlich versetzt sein. d.h. ggf. loggte der Haker quasi legal ein weil er bereits seit langem im Besitzt von Zugangsdaten ist. Andi 2013/6/18 Jan Kornblum <jan.kornb...@gmx.de> > SFTP / SSH am besten nur mit Publickey Authentifizierung, das ist noch >>> eine Stufe sicherer! >>> >> das ist richtig. Was aber nun, wenn jemand auf dem Rechner sitzt und an >> den Key rankommt? >> > > Der Key alleine nützt ihm ja nichts, solange der mit einer guten > Passphrase geschützt ist (Privatekeys ohne Passphrase sollte man nie > verwenden)... > > Oder meinst du gestohlener Privatekey + über Keylogger o.ä. die Passphrase > erschnüffeln...? Nagut, das Risiko bleibt offen, ist aber immens kleiner. > > Grüße, Jan > > > > ______________________________**_________________ > TYPO3-german mailing list > TYPO3-german@lists.typo3.org > http://lists.typo3.org/cgi-**bin/mailman/listinfo/typo3-**german<http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german> > _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
