Saudi hackers befallen tl sites

**dtptiger** · 15.09.2009, 20:19

Hallo,
vor ein paar Tagen sind die "Saudi Hackers" laut meinem Provider über meine TL 2.7.2 Installation auf den Server und haben dann einige weitere Sites durcheinander gebracht und zur Korangesangsschleuder mutiert.
Ist noch jemandes Server mit einer Typolight installation von den "Saudi Hackers" überfallen worden?

Ist 2.7.3 gegen diese attacken sicherer?

PS: Mein hoster hat den Server jetzt vom Netzt und zieht alle 40 Sites auf einen anderen um, ist ein Freund aber er hat einen Haufen Arbeit damit, und ich möchte verhindern daran Schuld zu sein, oder zumindest soweit es geht wenn ich eine php site im Netz habe.

PPS: eine yoomla-installation auf dem selben server war nicht angerührt, aber alle tl und wp sites.

Gruss Achim

**MacKP** · 15.09.2009, 21:01

Hallo dtptiger,
das klingt ja alles nicht so schön...
Aber: die Frage ist die: wie genau sind die rein gekommen?

Könntest du uns eventuell die Apache Access Log zur Verfügung stellen?
Und auch die Logs von TL?

Dann könnte man herausbekommen wo genau es drann gelegen hat.

Eventuell war es nur ein zu einfaches Passwort... oder das Passwort wurde bei einem alten Filezilla (gab da mal nen Bug) ausgelesen oder sonst was...

Wenn es wirklich an TL gelegen hat wäre es sehr gut zu wissen wo drann genau.

Viele Grüße

**dtptiger** · 15.09.2009, 21:14

Zitat von MacKP

Aber: die Frage ist die: wie genau sind die rein gekommen?

Könntest du uns eventuell die Apache Access Log zur Verfügung stellen?
Und auch die Logs von TL?

Dann könnte man herausbekommen wo genau es drann gelegen hat.

Ich frage morgen meinen provider weg. der logs.

Gruss Achim

**MacKP** · 15.09.2009, 21:19

Ja, das wäre super

Viele Grüße

**oliverr** · 15.09.2009, 21:37

Zitat von dtptiger

PPS: eine yoomla-installation auf dem selben server war nicht angerührt, aber alle tl und wp sites.

Wenn auch wp davon betroffen waren, kann es dann an tl liegen?

Eher habe ich den verdacht, das irgend ein Loch (alles gepatched und auf dem aktuellsten Stand (was den Webserver an geht) ?) den Weg auf den Server geschaffen hat und dann wurde halt geschaut was es da so gibt und was die so konnten und dann wurde los gelegt...

**MacKP** · 15.09.2009, 22:05

Ohne Log-Dateien wird man da nix zu sagen können...
Es kann genauso eine WP installation sein die undicht ist..
Ein unsicheres Passwort....
Ein altes Filezilla (da gab es mal einen Bug und die Passwörter konnten ausgelesen werden)...

Das sind jetzt so die Standard Dinge die mir in den Sinn kommen.
Bisher ist einfach noch kein einziger Hack von TL bekannt.
Daher wären die Daten ja so wichtig.

Viele Grüße

**jan.theofel** · 16.09.2009, 14:00

Hi,

also wenn ich einen Tipp abgeben müsste, über welche Schwachstelle die Leute eingedrungen sind, würde ich bei einem TYPOlight und Wordpress auf der Maschine eigentlich immer auf letzteres tippen... Gerade in den letzten Wochen gab es da (wieder) zahlreiche Sicherheitsupdates. Welche Wordpressversion kam denn zum Einsatz?

Jan

**hschottm** · 16.09.2009, 15:00

Ich kann dem nur beipflichten. Wenn da nicht Wordpress 2.8.4 gelaufen ist, ist es extrem wahrscheinlich, dass WP das Einfallstor war. Ich habe bislang jedenfalls noch von keiner gehackten TL Version gehört.

Gruß,
Helmut

**Thomas** · 16.09.2009, 16:32

Genauso gut könnte es Joomla gewesen sein und zur Verschleierung haben sie es nicht zerstört. Alleine in den letzten 16 Tagen 13 bekannte SQL Injections.

Über bekannte Lücken im WP braucht man fast schon nichts mehr zu sagen, kommste mitm Zählen eh nicht hinterher.

Über Typolight finde ich nichts!

Also abwarten was die Logs bringen, alles andere ist spekulativ.
Auch TL könnte mal eine Lücke haben.