Hallo,

wodraus schliesst du denn, das es primär um Typo 3 Webseiten geht? Für mich sieht das nach einer Methode aus, die in der FXP-Szene früher weit verbreitet war. Dort wurden Seiten mit PhpMyAdmin (PMA) automatisch mit Programmen gesucht, die nicht Passwortgeschützt waren. Erfüllten diese Ergebnisse dann bestimmte Kriterien, liessen sich die ganzen Rechner mit SQL-Befehlen übernehmen und damit Schabernack treiben.

Aber vielleicht hat jemand diese Methode auch abgewandelt, um damit Viagra-Backlinks zu generieren.

vg Timo

Was meine Aufmerksamkeit erregte war der Hinweis aus einem der Links.
typo3/phpmyadmin/scripts/setup.php

Jedes CMS besitzt seine eigene Linkstruktur, wenn man diese nicht verändert. Dass gerade Typo3 in einem dieser Links auftauchte und es sich dabei um ausschließlich Links zu Adminbereichen handelte, daraus schlussfolgerte ich, dass es sich hierbei um eine Typo3 Attacke handeln könnte.

Wenn diese Annahme falsch sein sollte, bitte ich um Korrektur.

da dies die einzige TYPO3-url ist und auch noch für die extension phpmyadmin (welche eigentlich auch in einem anderen ordner liegt als typo3/) würde ich auf einen unbedarften "angriff" spekulieren. interessant wären ja auch nicht nur die urls, sondern auch die übermittelten requests.

gruß aus dresden

http://www.ploync.de/internet/364-hackangriff-auf-typo3-webseiten-typo3-webseiten-werden-gehackt.html dies ist die Adresse der Seite? in meinem allert wird sie so angezeigt: Startseite -http://www.xxxxx.xx/?q=Save+Us+From+Berlusconi. Wieso?

Bei der Domainendung /?q=Save+us+from+Berlusconi handelt es sich um einen Google Cloaking Scherz der Anfang 2010 die Runde machte. Den Link findet man immerhin noch über 30 Millionen Mal in den Suchergebnissen von Google.

Wieso man mit diesem alten Scherz jetzt hier aufwartet, bleibt mir allerdings ein Rätsel. Ich vermute aber mal du wolltest einen Link in deinem Kommentar platzieren, um die Scherzbolde von Google zu unterstützen. Die Sorge ist berechtigt, denn auch ich glaube, Google wird uns vor Berlusconi nicht beschützen können.

Das sind blinde Suchen nach nicht sauber installierten phpMyAdmins an Orten die häufig verwendet werden. Das hat nichts mit Typo3 zu tun.

Solche Anfragen gibt es seit Jahren. Script Kiddies halt :)

@BlaM: Danke noch mal für die Info. Dieses Statement sollte dann auch die letzten Fragen geklärt haben. Weißt du denn seit wann solche Scripts zum Einsatz kommen? Und vor allem wie erfolgreich die „Kiddies“ mit diesen Teilen sind?

die gab's schon immer meines wissens. das internet ist voll von verwaisten Bot-Netzen die jeder der clever genug ist übernehmen und für seine eigenen zwecke einsetzen kann.

hier mein privater honigtopf ohne präsents, ohne aktivität, fängt nur "hintergrundrauschen" auf.

weltkarte http://y3g.de/stat/

nogo passwords http://y3g.de/stat/pass

bad boy/gal ip's http://y3g.de/stat/ip

Kannst du uns zu den Links, die du gepostet hast, noch etwas mehr berichten. Was genau geschieht da?

Weltkarte: zeigt Angriffe bis zum 15.3 [Feder=apache;roter punkt=ssh] wenn beide genau übereinander liegen kann man von einem "geplanten angriff" ausgehen. bemerkenswert sind auch die "Angriffe" aus nicht Metropolen die wohl eher ein Statement sind.

nogo passwords: liste aller Passwörter die für "Angriffe" benutzt wurden [erste Zeile=Anzahl] diese sollte man unbedingt vermeiden da diese von bot-netzen Wörterbuch ähnlich ausprobiert werden.

bad boy/gal ip's: liste aller IP Adressen die von mir als Angreifer identifiziert wurden. Diese IP's kann man, wenn man mir traut, bedenkenlos blocken da von denen nichts gutes zu erwarten ist.

der Honigtopf kostet 10€ im Monat und ich hab ihn aufgebaut um Grundlagenforschung zu betreiben. Es liegen weder wertvolle Informationen drauf noch gibt es Verkehr. es ist so zu sagen ein "Toter" Server ideal um "Hintergrundrauschen" zu loggen.

woaw es gibt echt Leute die das interessiert?! na dann werde ich den mal ausbauen :)

info . ´Wen sich jemand mir mal anlegen will dan mal los. ich bin schon bekannt als höcker angreifer!
Ich lege sempliche seiten down !!

Anmerkung der Redaktion: Bitte beteiligen Sie sich konstruktiv an der Diskussion und benutzen Sie die Kommentarfunktion nicht zum Aufbau von Backlinks.

Hallo !

PHPMyAdmin würde ich per .htaccess / .htpasswd schützen, wenn ich es überhaupt auf den Server installieren würde, dies hat so erst einmal nichts mit Typo3 zu tun. Ist das Installtool deaktiviert, dann kann man da auch nichts mehr machen. Problematisch sind eher die zahlreichen Extensions, die man installieren kann. TemplaVoila, tt_news sind ja nur ein paar die eigentlich auf den meisten Installationen vorhanden sind. www.domain.tld/typo3 würde ich zusätzlich per htaccess schützen. Es ist ein CMS welches auch seine Macken hat, wenn man sich als User aber nicht mehr so um die Sicherheit kümmert, dann kann nutzt auch die beste Installation nichts.

@Typo3 Entwickler: Danke noch mal für die Hinweise. Hast du denn noch ein paar weitere grundlegende Tipps, wie man Typo3 sicher aber auch noch nutzbar installieren kann?