Trojaner im CMS Typo3

Zunächst einmal: Unser Verein produziert ein Internetportal mit dem Titel www.multikulti1.de Außerdem haben wir zurzeit keinen da, der programmieren kann, alles Amareure und Freiwillige, die Programmiererin ist vor einigen Wochen gegangen, war ziemlich böse. Nun das Problem: Im CMS, basierend auf Typo3, PHP und MySQL, ist offensichtlich ein Hacker eingedrungen, der die Performance durcheinander bringt. Da hat er zum Beispiel das Diskussionsforum so umgeleitet, dass beim Klicken auf einen Diskussionsbeitrag die Startseite erscheint. Außerdem bedroht er/sie uns mit weiteren Aktionen. Dabei hatten wir gerade vor vier Tagen sämtliche Passwörter geändert, auch im Installbereich, der Trojaner muss also vorher dort installiert worden sein. Was können wir tun? Etwaige Ratschläge bitte ganz einfach formulieren, keiner hier beherrscht eine Programmiersprache. Danke

nunja, ich vermute einfach mal das diese "sicherheitslücke" von dem programmierer/programmiererin selber eingebaut wurde um eine gewisse abhgängigkeit zu schaffen und im ernstfall euch ein "bischen ärgern zu können". Du wolltest das versuchen zu untersuchen mit logs ob sich der Beweis erbringen lässt -> wenn ja dann zur Anzeige greifen. Den kompletten Quellcode nach einer "Lücke" absuchen ist für aussenstehende die sich vorher noch nicht mit dem Quellcode befasst haben ein ziemliches ding der unmöglichkeit und auch erfahrene Programmierer wissen ja dann beim quellcode betrachten nicht was sich der ursprungs-coder bei der ein oder anderen funktion gedacht hat und ob diese nicht doch wichtig ist...

nunja, zu deinem Problem: irgendwo wird es ja gewiss backups geben, richtig? Sowohl von webinhalt als auch von der datenbank. Dann solltest du, wenn das forum über ein template-system (dynamische HTML-dateien) aufgebaut wird dir raussuchen wo der (html-)-code/ausgabe zu finden ist von dein einezlnen Themen - und das der Link immer zu eurer rootseite führt. Das änderst du auf das um was bei dir in den Backups an entsprechender Stelle steht - und voila, sollte es eigentlich wieder funzen.

Wenn keine backups vorhanden sind wird es schwer sich den Link zu einem thema wieder selber "auszudenken", vllt hast du aber ja noch irgendwas im verlauf oder cache liegen wo der link auch richtig ausfindig zu machen ist...

Also...den Antworten entnehme ich, dass der Verdacht, jemand hat einen Trojaner installiert, doch noch stimmig ist. Das ist schon was. Dann werde ich morgen mit den anderen Kolleginnen und Kollegen im Büro beratschlagen, wie wir mit deinem Hinweis verfahren sollten, ich kann das nicht. Jedenfalls, besten Dank und ich glaube, es war ein guter Zufall, auf den postpla zu stossen.

ich würde in dem zusammenhang eher von einer hintertür reden als von nem trojaner. mit ziemlicher sicherheit hat sich der coder den ein oder anderen zugang ausserhalb der normalen benutzerauthentifikation vorenthalten.

das ganze zu finden ist faktisch unmöglich, wenns auch nur ein bischen geschickt angestellt wurde. ich würde so vorgehen:

-die benutzerdatenbank auf seltsame user untersuchen und diese deaktivieren

-die datenbank sichern

-die dateien sichern und als beweisstück aufheben

-typo3 frisch installieren und die datenbank wieder zurückspielen

insofern ihr nicht auf einem eigenen rootserver arbeitet, zu dem der programmierer zugang hatte, besteht somit eine große chance eventuelle hintertürchen zu schließen.

Danke Sparko,
wir haben einen Internetprovider in HH, werde ich morgen telefonieren. Es gab ja einige Leute, die Zugang zum Installbereich hatten. Wir werden sehen.

vergleich auch mal die Dateien die auf dem Server liegen mit den Installationsdateien

vielleicht ist 1 Datei zuviel, die sowas wie einen WebFTP Zugang zum Server ermöglicht

Ähä. My name is Karl, ich bin expert.

Naja alles Wichtige wurde schon gesagt, irgendwie wollte ich auch nur diese Stilblüte hier verewigen. Grundsätzlich kann man sich dabei z.B. hier ran orientieren, nachdem diese Nachricht auch über die ganz normale Neuer-Beitrag-Funktion eurer (seit 2 Jahren unsupporteten?) 'Board' Extension da plaziert worden sein könnte muss das auch gar nichts heißen, nachdem das äh Thema aber wohl oben 'angepinnt' ist vielleicht doch..oO

Alles sichern und vom Netz nehmen, in Ruhe untersuchen und neu aufsetzen, dabei auf die Sicherheitsaspekte achten. Nur was "für sauber" befunden wird sollte auch zurückgespielt werden. Das dauert natürlich ewig, aber durch das Neu-Aufsetzen der zugrundeliegenden Software wird man schonmal s.o. Hintertüren los, die von Irgendwem eingebaut wurden.
Wenn es ein generelles neues Problem der Software ist hilft das ohne Patch natürlich nicht weiter; ich würde ganz blind einfach mal tippen, dass ihr dieses 2 Jahre alte Forensystem loswerden solltet, wenn ihr das denn verwendet.

Hallo F@S bofh,
ich habe das Gefühl, dass deine Tipps sehr wichtig sind und zum Erfolg führen können. Problem: momentan ist keiner hier, der eine Ahnung von PHP, MySQL, Typo3 und Programmierung hat, alles so gut wie blind. Und wenn ich deinen Hinweisen nachgehe und auf die verlinkten Sachen komme, überkommt mich ein gefühl der Bewunderung für Leute, die das alles kapieren und damit umzugehen wissen. Dabei bin ich ein studierter, sogar promovierter Mensch. Hier bin ich hilflos. Kurz und gut: werde morgen mit den anderen "Blinden" beratschlagen, was da gemacht werden kann. Viel jedenfalls nicht, denn wir haben keinen eigenen Server, sondern benutzen einen Provider in HH und keiner von uns traut sich, auf die Installebene zu gehen, aus Angst, wir würden das ganze Gebäude zum Einsturz bringen. Bete (!!!( für uns. Emmanuel