das ist ja mal zu geil.. herlizchen glueckwunsch zum Hacker, der das geschafft hat.. die sind ja auch selber dumm. wenn sie keine Sicherheitsupdates machen..

Das Security-Bulletin für die ausgenutzte Sicherheitslücke ist kurz vor dem "Hack" veröffentlicht worden - nicht jeder liest 24 Stunden am Tag alle Updatenews - das ist aber nicht das Problem.

Ums nochmal zusammenzufassen: Die sind nicht dumm, weil sie kein Sicherheitsupdate machen sondern "dumm", weil sie viele Do-Not's gemacht haben - diese Sicherheitslücke ist nur dann kritisch, wenn man eben viele extra Fehler macht.

Vorgehensweise:

• Der Bug erlaubt es die Konfigurationsdatei auszulesen (nur zu lesen).
• Damit erhält man den Hash des Passworts für das Install-Tool sowie die Klartextzugangsdaten zum Datenbankserver
  -- Wenn die Verbindung von ausser halb (nicht nur localhost) erlaubt ist, hat man schon jetzt gewonnen. Falls nicht, weier zum nächsten Schritt:
• Dieser Hash konnte, weil der Klartext sehr trivial ist, binnen Minuten in einer Rainbow-Table gefunden werden (es gibt Genug Online-Rainbow-Table-Liste (wie etwa passcracking.com).
• Das File ENABLE_INSTALL_TOOL (welches nicht vorhanden sein solle - man erhält einen unübersehbaren, knallgelben Hinweis im Backend, wenn man es vergessen sollte) war vorhanden, somit konnte man sich mit den gewonnenen Daten in diesem einloggen.
• Im Install-Tool kann man sich einen neuen Admin-Account für das tatsächliche Backend erzeugen.
• Mit diesem Admin-Account kann man sich nun bequem einloggen.
• Nun kann man prinzipiell schon Artikel ändern oder ähnliches.

Wenn man möchte, kann man sich nun eine Extension installieren (Quixplorer, phpMyAdmin) und damit die komplette Datenbank mit sämtlichen Zugangsdaten auslesen (als md5-Hashes) oder bestehende Systemextensions (php-Files) manipulieren - z.B. ein kleiner Hook im Registrierformular, welcher beim Abschicken eine Kopie an den Angreifer schickt - somit hat man seinen privaten "E-Mail-Adressen + Zugangsdaten"-Harvester.

Jetzt klaut man sich noch die Zugangsdaten eines echten Admin-Accounts und verwischt anschließend seine Spuren indem man alles rückgängig macht: die Änderungen aus dem TYPO3-Log entfernen, Extensions deinstallieren, den neuen Zusatzbenutzer entfernen.

Die einzig verwertbaren Spuren bleiben im Log des Webservers, aber wenn das Ganze geschickt gemacht wurde, fällt das niemandem auf. Sowie ein winziger Rest auf das entfernen der phpMyAdmin-Extension (wenn die schon installiert war, bleibt nichtmal das) und der Logeintrag für das login des Admins (dessen Account man sich ausgeborgt hat).

Darum:
a) Install-Tool deaktiveren (wer das aktiviert lässt, handelt ohnehin grob fahrlässig).
b) getrennte Passwörter für Install-Tool, Administrator-Account und Datenbank - alphanummerisch, Groß-/Kleinschreibung sowie eine entsprechende länge. 8 Stellen sind für Passwörter die nicht versalzen als md5-Hash vorliegen einfach zu wenig und besonders beim Install-Tool-Password oder beim Datenbankpassword ist es egal ob das Password 10 oder 100 Stellen hat, das gibt man ohnehin nur sehr selten ein und wenn kann mans per copy&paste aus einer Dokumetation rauskopieren.
c) das Login des (der) Admin-Benutzers auf eine IP-Adresse (oder einen Adressbereich beschränken).