Am 19. Juni 2013 18:56 schrieb Philipp Gampe <philipp.ga...@typo3.org>:
> Hi ulrich, > > ulrich wrote: > > > Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME > > hinzugefügt. > > Das schaue eher nach einen Skript, denn nach einem gezielten Angriff aus. > > I.d.R. erfolgen solche Angriffe über gehackte (Trojaner, o.ä.) Zugangsdaten > von dir oder jemand anderem auf dem Server. > Evtl. hat auch jemand ein schwaches Passwort und einen erratenen > Benutzernamen. > Wenn auf dem Server die Accounts nicht untereinander abgeschottet sind > (chroot, o.ä.), dann kann es von jedem Account aus losgegangen sein. > Wieso ich denke, dass der Angriff nicht über ssh/ftp kam: Hätte der Angreifer auf diesem Weg Zugriff aufs System gehabt, warum hat er dann nur bei ein paar Dateien was verändert? Und dann auch nur welche die leicht zu erraten sind (index/default .php/.html). Wenn ich auf einem System eine shell hätte, dann würde ich bestimmt mehr Zeit auf dem System verbringen... noch dazu liegen auf dem System hunderte andere .html files an denen nichts manipuliert wurde. Mit einer shell wäre es doch ein leichtes gewesen über find und sed oder awk zusätzlichen code in alle auf dem System vorhanden html/php files was zu schreiben. > Oder es wurde ein bekannte, automatisch ausnutzbare Lücke von einem der > eingesetzten Softwaremodulen verwendet. > > Typisch sind dann ein automatischer Scan nach index.html und index.php und > das Einfügen von Schadecode in diese. > > Die eigentliche Schwierigkeit besteht daran, die Lücke zu finden, wodurch > der Angreifer Zugriff auf den Server erhalten hat. > Genau. Ich hab ja bisher versucht mit tools wie apache-scalp die logs zu analysieren, bin aber noch nicht fündig geworden... > > Außerdem werden oft Hintertüren eingebaut, wodurch eine erneute Infektionen > sehr wahrscheinlich wird. > Bisher noch keine erneute Infektion. Was meine Theorie von oben unterstützt. Allerdings werde ich mir wohl den Wahnsinn antun und tripwire einrichten um halbwegs angenehm schlafen zu können ;) > > Du solltest eine Experten engagieren oder den Hoster wechseln und alles > PHP, > JS und HTML Dateien aus sauberen Quellen neu aufsetzen. > Ja. Der Experte bin dann in dem Fall ich. Es kommt ja immer auf den Umfang des Projekts an. > > Viele Grüße > -- > Ebenso Ulrich _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
