Offender-Friday

This article is from 2008 and has been archived. It's old and probably outdated.

Den Vogel schoss heute die Typo3-Association ab. Von denen erhielt ich heute Mittag eine Mail:

``

This is an important security warning. You are receiving it because your email address is registered on the TYPO3.org website.

We have to inform you that an unauthorized person has gained administrative access to the TYPO3.org website. 

The offender had access to website user details including their passwords, and there have been reports of this data being used to access other websites. It also has to be expected that the data may have been disclosed to third  parties.

The attacker has been identified, and the TYPO3 Association has started to take legal action on the issue.

Important!

IF YOU HAVE USED THE SAME PASSWORD ON ANY OTHER SITE, PLEASE CHANGE IT IMMEDIATELY!

[...]

Ich habe schon recht viel mit Typo3 gemacht, bislang jedoch meist über die Backend-Oberfläche und habe weniger direkt auf DB-Ebene an Frontend-User-Tabellen rumgestricken müssen. Auch habe ich nicht bewusst auf eine "Passwort zusenden"-Funktion geachtet. Somit ist es vollkommen an mir vorbeigegangen, dass Typo3 die Passwörter der Frontend-Benutzer als Plaintext in die Tabelle `fe_users` schreibt. Ich dachte vorhin, das könne doch nicht angehen - und vermutlich einige andere Empfänger dieser Meldung auch.

Darüber wollte ich später meinen Senf zu bloggen und stellte fest, dass meine Seite ein schickes Baustellen-Symbol schmückte, mit dem Text "Diese Webpräsenz befindet sich noch im Aufbau." - alle meine Domains zeigten diese Seite an.

Eine Mail an den Support und ein paar Minuten später erhielt ich die Antwort in Form einer Benachrichtigung über die Sperrung meines htdocs-Verzeichnisses aufgrund von andauernder "Webserver-Auslastung durch Anfragen", zusammen mit zwei Zeilen aus einem Logfile - wobei ich nicht weiß, woher die Einträge genau stammten (Access- oder Error-Log ist nicht ersichtlich)

Die URLs deuteten auf die Kommentar bzw. Trackback-Funktion und ich sah mich veranlasst eingehende Trackbacks zu deaktivieren, ein paar IPs zu sperren und noch ein paar Dinge mehr.

Ein Blick in meine Statistik zeigte, dass zwischen 4:00 und 5:00 Uhr heute Morgen der Traffic merklich einbrach und ab 7:00 nahezu zum Erliegen kam. Aufgrund eines geschäftigen Arbeitstages ist mir das Problem mit der Seite erst gegen frühen Abend aufgefallen. Ab 19:00 Uhr wurden wieder Zugriffe gezählt.

Mittlerweile hat der Support das Verzeichnis wieder freigeschaltet und die Lage hat sich entspannt. Werde das mal etwas genauer untersuchen.

Jan Beilicke

About the author

Long-time IT professional and full-time nerd. Open source enthusiast, advocating security and privacy. Sees the cloud as other people's computers. Find me on Mastodon or Twitter.