24.08.15 –
Kriminelle haben einen Weg gefunden, wie sie bei TYPO3 verschlüsselte Passworte abhören können. Sie manipulieren auf geschickte Weise eine System-Erweiterung, lassen sich Zugangsdaten von Frontend- wie Backend-Benutzern per E-Mail zusenden und installieren Malware (Schad-Software). Zuvor aber müssen sie sich einen Zugang auf Verzeichnis-Ebene verschafft haben.
Die Kriminellen verändern die TYPO3-System-Erweiterung Saltedpasswords: Dort wo die Erweiterung Passworte entschlüsselt, fügen die Einbrecher wenige Zeilen Code ein, die eine E-Mail versenden mit:
System-Erweiterungen sind bei TYPO3 grundsätzlich geschützt und können in der Regel nicht einmal von Administratoren geändert werden. Die Gangster bedienen sich deshalb eines Tricks: Sie laden die Kopie der von ihnen manipulierten Saltedpasswords ins lokale Erweiterungsverzeichnis typo3conf/ext/saltedpasswords hoch. Damit wird die Sytemerweiterung in typo3/sysext/saltedpasswords überlagert und faktisch überschrieben.
Den Einbrechern geht es dabei darum, dauerhaft Kontrolle über die TYPO3-Installation zu bekommen, um von der Installation immer wieder massenweise Spam versenden zu können. Die versendeten E-Mails sollen die Empfänger zum Aufrufen bestimmter Websites bewegen, um deren Rechner ebenfalls mit Malware (Schad-Software) zu befallen.
Der installierte Code für das Versenden von Spam wird verschlüsselt, so dass dieser ohne weitere Werkzeuge weder zu erkennen noch zu finden ist.
Was die Cyber-Kriminellen aber in jedem Fall benötigen, bevor sie eine TYPO3-Installation infizieren können, ist ein Admin-Zugang. Bei einem der Netzmacher-Kunden war dafür das Einfallstor offensichtlich eine Dritt-Software – ein Advertisement-Programm –, dass für Sicherheitslecks bekannt war. Also nicht TYPO3 selbst!
Offenbar haben sich die Einbrecher mit Hilfe dieser Software Zugang zu den Verzeichnissen auf Web-Server-Ebene verschaffen können, um dann die manipulierte Kopie von Saltedpasswords zu installieren.
Wahrscheinlich bemerkt man ohne weiteres selbst, dass der Server von Malware (Schad-Software) befallen ist. Denn das dauerhafte Versenden von zig-tausenden von Spams bleibt nicht ohne Folgen:
Wenn man selbst mal nachsehen will, kann man folgendes machen:
Ist der Server befallen:
Bei dem Versuch der Kriminellen, sich Kontrolle über einen fremden Server zu verschaffen handelt es sich um eine Straftat. Für eine Strafverfolgung gäbe es einen Ansatz: In der manipulierten Version von Saltedpasswords tragen die Cyber-Ganoven E-Mail-Adressen ein, an die die Zugangsdaten gesendet werden. In unserem Fall hatten diese Adressen die Länderkennung "ru" – also Rußland. Auch die Malware hat auf Server mit *.ru-Domains verlinkt. Das muss aber nicht heißen, das sich russische Staatsbürger strafbar machen, es kann sich auch gut getarnt um US-amerikanische, Chinesische oder Deutsche Staatsbürger handeln.
Die betroffenen TYPO3-Website-Betreiber und Hoster können jedenfalls Strafanzeige bei Deutschen Behörden stellen.
Kategorie
Dies ist eine Website mit Start TYPO3 Responsive! Einem kostenlosen TYPO3-Template. TYPO3 und sein Logo sind Marken der TYPO3 Association.