Trojaner

[Pitigrilli]

Auf meiner Typo3 Installation (3.7.0) wurde ein Script eingebracht, dass einen Trojaner herunterlädt und Verbindungen zu mehreren dubiosen Websites erstellt. Das Script war am Ende der index.php.

Mir ist völlig unerklärlich, wie das möglich ist. Die Sicherheitswarnungen habe ich berücksichtigt (insbesondere typo3-sa-2009-002). und den Patch habe ich eingespielt.

Ich bin bisher vor einem Update auf eine aktuellere Version von Typo3 zurückgeschreckt. Die Seite ist sehr umfangreich und viele Personen haben als Redakteure mitgearbeitet.

Was kann ich tun, um einen erneuten Befall zu verhindern? Ist ein Update auf 4.2 problemlos möglich (gibt es dazu Erfahrungen?)?

Vielen Dank für eure Hilfe

[just2b]

Hallo,

du hast wirklich alle patches nachgezogen die es seitdem je gegeben hat?

problemlos kann man schwer sagen, machs halt mal testweise mit einer kopie, aber content allein kein problem, bei extensions kommts drauf an.. ansonsten eher mal auf die 4.1.10 gehen

georg

[Pitigrilli]

Hallo,

du hast wirklich alle patches nachgezogen die es seitdem je gegeben hat?

Sicher bin ich mir natürlich nicht ... (Ich habe leider nicht aufgeschrieben, wann ich was gemacht habe.) Wie sollte ich jetzt vorgehen, um unsere Seite wieder sicher zu machen (ohne gleich ein Upgrade vorzunehmen, mein Testlauf lokal ist noch nicht soweit).

Jedenfalls war heute morgen wieder eine Manipulation auf unserer Seite. Mist. Ich verstehe nicht, wie das vor sich geht.

Kann es sein, dass ein Eintrag in die Datenbank geschmugelt wurde, der bei Aufruf der richtigen Unterseite unsere index.php manipuliert? Ich würde natürlich alle Tabellen durchsuchen, aber ich weiß nicht wonach.

Das angebrachte Script ist mir unverständlich. Ich kann nicht sehen, wo die Informationen zu den Seiten gespeichert werden, mit denen es eine Verbindung erstellt.
Vermute ich richtig, dass diese Informationen in der Datenbank versteckt sind?

Mich wundert ein wenig das geringe Feedback. Es kann doch nicht sein, dass wir die einzigen Betroffenen sind. Natürlich gibt es noch die Möglichkeit, dass ein Mitarbeiter dieses Script anbringt ( ich bin nicht der einzige der die Passwörter hat), aber das will ich eigentlich nicht glauben.

Eine schwierige Situation. Vielen Dank für eure Hilfe.

[just2b]

Hallo,

nun wenn eine Seite gehackt wurde ists schwer das alles wieder sauber zu machen, aber ohne Upgrade wirds nicht gehen.

geringes feedback wundert mich nicht, 3.7.0 ist ja schon ewig alt und ewig überholt und ewig nicht mehr am aktuellsten Stand.

[Pitigrilli]

Danke für deine rasche Antwort.
Ich finde mich grade mit dem Gedanken eines Upgrades ab. Ich würde gerne noch was fragen.
Ich hatte in unserem Webspace eine zweite Typo3 Installation (Version 4.2.1). Gerade eben habe ich mir das nochmal angeschaut und dort war die Datei index.php auf gleiche Art und Weise manipuliert (Auch gleiches Änderungsdatum. Heute Nacht 00:54:00). Wenn ich mal Schizophrenie für mich ausschließe, dann fällt mir keine Erklärung ein. Diese Unterseite hat nichtmal ein Template.

[just2b]

auch 4.2.1 ist nicht sicher, abgesehen davon dass die Lücke ja nicht mal sicher in TYPo3 sein muss...

[Pitigrilli]

So nachdem vier Wochen vergangen sind, möchte ich hier mein Schlusswort setzen.
Nachdem ich alle Auftreten des Trojaners auf unserer Seite entfernt hatte, habe ich auch die Passwörter zu allen ftp-Zugängen geändert (wir haben 6 ftp-Zugänge für ebenso viele Nutzer), d.h. nur noch ich selbst habe die Möglichkeit auf die Seite direkt zuzugreifen. Seitdem ist Ruhe. Hmm. Da muss sich wohl jeder selbst einen Reim drauf machen. Vielen Dank an just2b für seine Antwort.

Claus