Typo3-Hack auf der Spur

Ende April vermeldete "Swiss IT Magazine", dass zahlreiche, auf Typo3-basierende Websites dazu missbraucht werden, Besucher via Goole auf Online Drug Stores zu locken. Ein Artikel im Entwickler-Blog "Typo3 Blogger" gibt nun aufschluss darüber, wie der Hack, der unter dem Namen "Google Conditional Hack" bekannt ist, funktioniert. Gemäss Peter Kraume von "Typo3 Blogger" werde PHP Code in die Websites eingeschleust, die den User-Agenten des Besuchers auswerten. Wenn dann ein Googlebot erkannt werde, hänge der Schadcode einen HTML-Schnippsel mit Links zu Pharma-Produkte wie Viagra und Cialis an die Seite an, die dann auch in den Google Suchresultaten angezeigt werden. Teilweise werde auch der gesamte Inhalt von Webiste durch einen entsprechenden Pharma-Shop ersetzt.

Es sei jedoch nach wie vor nicht erwiesen, dass sich die Hacker eines Lecks in Typo3 bedient hötten. Ursache könnten auch schlecht abgesicherte FTP-Zugänge oder eine Schwachstelle in PHP sein.

Die Schweizer Internet-Agentur Namics bietet derweil gar eine Anleitung an, um ein System eines Kunden wieder in Betrieb zu nehmen. Dieses soll nun seit einer Woche wieder ohne Probleme laufen.
(mw)