Sch***-Hacker
Gestern erreichte mich eine Nachricht, von einem Freund von mir, dass eine der meinen Webseiten einen Trojaner beim Öffnen der Seite auf den Rechner des Clients zu installieren versucht. Erstmal glaubte ich daran nicht und dachte, dass es ein Irrtum ist. Als ich diese Seite öffnen wollte, alarmierte mich das Kaspersky Internet Security, dass ein trojanisches Pferd auf meinem Rechner den Zugriff verschaffen versucht. Das war wirklich eine sehr unangenehme Überraschung für mich. Ich begann sofort mit der Suche. Zuerst überprüfte ich die Datenbank, der jeweiligen Webseite, konnte aber keine Spuren finden. Danach suchte ich die Konfigurationsdateien von Apache durch und fand ebenfalls nichts. Als ich aber zu Grep griff, war ich sofort fündig. Dem Angreifer ist es gelungen, ein Symlink, das auf index.php Datei zeigt, mit einer präparierten index.php Datei zu überschreiben. Diese Datei enthielt Code, dass per Java-Skript eine Installation von einem Trojaner veranlasste. Die Hacker integrierten in die Webseite außer Java-Skript ein Meta-Tag mit der Codierung 1251. Daraus kann man schließen, dass diese Leute aus dem russisch-sprachigen Raum
agieren.
Ich konnte soweit meine Webseite von diesem Unding bereinigen und alle Updates, was die TYPO3 Installation und Linux aufzuspielen. Leider konnte ich nicht herausfinden, welche Lücke, die Angreifer genau ausgenutzt hatten, um das Symlink zu überschreiben.
