Hunderte Typo3-Webseiten gehackt

Die betroffenen Webseiten, viele davon aus Deutschland, liefern Online-Casino-Spam an Besucher aus, die von Suchmaschinen kommen und fungieren so als Linkfarmen. Welche Sicherheitslücke ausgenutzt wird, ist noch unklar.

In Pocket speichern vorlesen Druckansicht 181 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Eine große Anzahl von Webseiten, die das Content Management System (CMS) Typo3 einsetzen, ist offenbar Opfer eines Hackerangriffs geworden. Der Angriff scheint vor allem Seiten zu betreffen, welche die Long-Term-Support-Version (4.5.x) des CMS einsetzen. Welche Sicherheitslücke ausgenutzt wird, ist momentan nicht bekannt. Eine entsprechende Google-Suche deutet darauf hin, dass hunderte von Webseiten betroffen sind, viele davon in Deutschland.

Die gehackten Webseite liefert Spam an Besucher aus, die von Suchmaschinen kommen

Die betroffenen Seiten liefern Online-Casino-Spam mit der URL /online-casinospelletjes unter der Hauptseite aus. Allerdings ist diese Seite ist nur sichtbar, wenn der Besucher die gehackte Domain mit dem Referrer einer Suchmaschine aufruft. Wird die Spam-Seite direkt angesurft, gibt Typo3 eine Fehlermeldung aus oder lädt die Hauptseite des CMS. Das führt dazu, dass der Hack von Administratoren schwerer zu entdecken ist.

Nach Informationen eines betroffenen Admins werden auf manipulierten Servern mehrere PHP-Dateien im Konfigurationsverzeichnis des CMS hinzugefügt. Die Spam-Seite wird von einer neu erstellten Datei namens main.php im Webserver-Root ausgeliefert. Änderungen in der .htaccess-Datei des Servers sorgen dann dafür, dass Besucher mit Suchmaschinen-Referer zu der entsprechenden Seite umgeleitet werden. Die auf den Webservern hinzugefügten Dateien enthalten verschwurbelten Quellcode, der auf den ersten Blick keine bösen Absichten verrät.

Da momentan keine weiteren Details zu dem Angriff und der zugrunde liegenden Schwachstelle bekannt sind, ist nicht klar, wie die Hacks verhindert werden können. Allerdings soll laut Typo3-Release-Plan eine neue LTS-Version (Typo3 6.2) noch diesen Monat erscheinen.

Update, 17.03.2014, 15:45: Es scheinen auch einige Webseiten betroffen zu sein, die Typo3-Versionen einsetzen, die älter als Version 4.5 sind.

Update, 20.03.2014, 17:30: Es sind auch Seiten betroffen, die kein Typo3 einsetzen, siehe dazu auch: Hintergründe des Typo3-Hacks weiter im Dunkeln (fab)