Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

TYPO3: Das solltest du wissen, wenn deine Website gehackt wurde

Das Hacken von Websites oder Webdiensten scheint in diesem Jahr voll im Trend zu liegen, denn immer wieder gibt es Meldungen über gehackte Seiten und Systeme. In der Vergangenheit gehörten auch TYPO3-Websites immer wieder zu den Angriffszielen der Hacker, auch wenn die Sicherheitsvorkehrungen stetig verbessert werden. Doch was tun, wenn die eigene TYPO3-Website gehackt wurde?

Das solltest Du tun, wenn deine TYPO3-Website gehackt wurde

Jedes Content Management System - und da macht TYPO3 keine Ausnahme - hat diverse Angriffspunkte, die Hacker mit dem nötigen Wissen zum Kapern einer Website ausnutzen können. Ist eine Website erfolgreich angegriffen worden, so ist schnelles Handeln erforderlich. Was das genau für eine TYPO3-Website bedeutet, erklärt Helmut Hummel in einem Blogpost auf buzz.typo3.org.

Hacker versuchen sich auch immer wieder an TYPO3-Websites. (Foto: mightyohm / flickr.com, Lizenz: CC-BY-SA)

Als erste Sofortmaßnahme muss die betroffene Website vom Netz genommen und in den Wartungsmodus versetzt werden. Nur so kann verhindert werden, dass von der gekaperten Seite irgendein Schaden ausgehen kann. Nachdem dann der Admin und der Hoster informiert wurden, sollte der eigene Rechner nach Viren und Malware durchsucht werden.

Nach den Sofortmaßnahmen sollte ein komplettes Image vom Datensystem der Website angelegt werden. Das ist deshalb wichtig, damit später der Angriff und die betroffenen Komponenten analysiert werden können. Erst danach sollte ein Backup aufgespielt werden, das ja hoffentlich vorhanden ist. Ansonsten sollte ein Experte zu Rate gezogen werden, der infizierte Bestandteile identifizieren und beseitigen kann.

Wichtiger als die betroffenen Files zu identifizieren ist aber noch die Suche nach der Lücke. Hier ist in der Regel ein Sicherheitsexperte notwendig. Wer diesen Schritt auslässt und mit dem Backup wieder online geht, riskiert den nächsten erfolgreichen Angriff, denn die Beseitigung infizierter Komponenten beseitigt keine Lücke.

Weitere Informationen zur Bereinigung von gehackten TYPO3-Websites gibt es in diesem Blogpost.

Weiterführende Links zum Thema TYPO3 Sicherheit:

Bitte beachte unsere Community-Richtlinien

8 Reaktionen
Ady2015

Das kann natürlich schnell passieren. Ich empfehle einen kostenlosen Scanner dafür. Dieser findet Sicherheitslücken in Webanwendungen

https://www.janotta-partner.de/blog.website-scanner.html

Viele Grüße

Antworten
Frank

Der Artikel von Toscho ist ganz gut, leider ist der Vorschlag, jeglichen Internet-Zugang auf einen extra Rechner mit Linux umzustellen, wenig praktikabel. Das hat wohl ein Windows-Hasser geschrieben. Wer mit Linux nicht umgehen kann oder keinen Sysadmin im Haus hat, kann mit diesem Tipp nichts anfangen.

Der Artikel macht deutlich, dass ein aktuelles Update (in diesem Fall bei Typo3) nicht wirklich gegen Hacker schützt, denn die kommen auch anders in das System. Bei Typo3 muss ich lobend hervorheben, dass es eine Email an den Admin schickt, sobald sich jemand damit einloggt. Aber selbst das steht irgendwo gespeichert drin und wer gleich an die Datenbank mit Admin-Rechten kommt (also der Webspace-Besitzer = Kunde), kann tun und lassen was er will. Und es gibt Kunden die surfen mit IE6 im Internet, machen nie Updates und halten ihre Telefonnummer oder Postleitzahl als sicher genug für ein Passwort.

Der Artikel hier beschreibt zwar Wordpress, gibt aber einen guten Einblick in die Methoden der Hacker. http://ottopress.com/2009/hacked-wordpress-backdoors/

Sichere Hoster haben eval() meistens ausgeschaltet, nützen Besitzrechte für Verzeichnisse und Dateien und haben meistens das Suhosin-Pack eingebunden.
Aber es gibt ja auch eine Welt außerhalb PHP und nicht selten versteckt sich in einer harmlosen txt-Datei in Wirklichkeit ein Perl-Code.

Antworten
Bertram Simon

Der Artikel von Toscho ist zwar älter, aber meiner Meinung nach CMS unabhängig eine gute Vorgehensweise: http://agentur-simon.de/k/website-gehackt

Antworten
t3manager

Nicht vergessen einen längeren Blick auf die kürzlich aktualisierte TYPO3 Security Checklist zu werfen - http://www.workshop.ch/openmind/2011/06/14/typo3-security-checklist-aktualisiert/

Antworten
Frank

Ich denke der Artikel hätte etwas ausführlicher sein können.
Wer da kein ausführliches Logfile hat, tut sich schwer herauszufinden, wo und wie der Angriff statt fand.

Typo3 (ja ja, Großbuchstaben...) Hacking ist mir bisher noch nicht untergekommen, dafür alles mögliche andere. Ob Contao wirklich sicherer ist, möchte ich bezweifeln, eher gibt es noch zu wenig lohnende Ziele für Hacker, aber das kann sich bei weiterer Beliebtheit von Contao noch ändern.

Ich würde jedenfalls Webseiteninhabern raten, sich bei einem Hackerangriff an einen zu wenden der sich damit auskennt und nicht selbst versuchen es auf die Reihe zu bekommen. Ich habe die Erfahrung gemacht, dass Kunden dann oft genau die Spuren beseitigt haben, die wichtig gewesen wären um die Lücken zu finden, aber den Trojaner selbst dabei übersehen haben.

Oft merkt es auch der Hoster zuerst, dass die Seite gehackt wurde, aber falls nicht, würde ich den anrufen und ihn bitten, die Seite vom Netz zu nehmen, denn die machen das serverseitig, so dass kein Zugriff von Außen mehr geht und kein Programm mehr ausgeführt wird.

Leider gibt es große (Massen-) Hoster, bei denen ein schnelles Update auf eine aktuellere Version von Typo3 unmöglich ist, weil die Laufzeit von PHP-Programmen und der Rechenspeicher zu stark begrenzt wird. Selbst ein Datenbank-Dump lässt sich dann nicht mehr ziehen, weil der Prozess abgebrochen wird, bevor alle Daten exportiert wurden. Da kann man dann auch nicht mehr helfen.

Einmal fand ich es lustig, dass ein Hacker ein Foto, vermutlich von sich selbst, hinterlassen hat. Eitelkeit spielt da auch eine Rolle, scheint mir. Für machen Hacker hat das einen Sport-Charakter.

Ich vermute mal, dass einige größere Portalbetreiber sich ein Sicherheitskonzept leisten, aber ich kann es nur vermuten, weil ich noch keinen getroffen habe, der das konsequent tut. "Mut zur Lücke", heißt doch der alt bekannte Spruch ;-)

Antworten
Kian

Thomas ist fast schon ein Spammer auf jeden TYPO3 Artikel muss was über Contao geschrieben werden. Wenn Contao ein Sicherheitsteam hätte was so gut ist wie bei anderen CMS würde da bestimmt auch mehr gefunden an Lücken :-)

Antworten
stooni2

Hier hat es auch noch gute Sicherheits Tips


http://www.typo34u.de/index.php?id=typo3_sicherheit

Antworten
Andreas Wenth

Ich würde in dem Zusammenhang mit Sicherheit vor allem auf das regelmäßige Einspielen der aktuellen Sicherheitspatches nicht vergessen. Gerade kleine Hoster, die das nicht automatisch machen, sind da ziemlich gefährlich. Hier wird leider oft am falschen Platz gespart. Um 1,99 EUR im Monats gibts halt kein vernünftiges Typo3 Hosting ;)

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.