Hackers misbruiken sites met Typo3 voor casinobanners - update

Honderden websites, die vooral in Duitsland zijn gehost, worden misbruikt voor het tonen van casinobanners. Alleen bezoekers die vanaf zoekmachines afkomstig zijn, krijgen de banners te zien, zodat de sitebeheerders ze niet opmerken.

Volgens de Duitse website Heise gaat het om versie 4.5 van Typo3, die wordt misbruikt voor het tonen van de casinobanners. Versie 4.5 is niet de nieuwste editie van Typo3, maar wel een long term support-versie die momenteel nog wordt ondersteund. Ook oudere versies zouden zijn misbruikt. Of nieuwere edities eveneens kwetsbaar zijn, is onbekend, hoewel ze niet lijken te worden misbruikt. Typo3 benadrukt dat het gaat om verouderde versies van 4.5 die zijn misbruikt.

De aanval is misschien uit Nederland afkomstig; de pop-ups worden geserveerd vanaf een map met de Nederlandse naam 'online-casinospelletjes'. De pop-up wordt alleen getoond als een gebruiker vanaf een zoekmachine afkomstig is. Waarschijnlijk proberen de aanvallers op die manier te voorkomen dat websitebeheerders ontdekken dat hun site gecompromitteerd is.

Update, dinsdag 20:46: Typo3 benadrukt dat bij de aanval verouderde Typo3-versies zijn gekraakt. Het artikel is hierop aangepast.

typo3 hack

IT-banen

Reacties (40)

rood23 17 maart 2014 17:15

Als ik zoek via Google op https://www.google.de/#q=inurl:online-casinospelletjes, zie ik ook heel veel andere websites die gehackt zijn.

bijvoorbeeld: www.klinikum-nuernberg.de gebruikt Infopark CMS Fiona; 6.7.2

Lijkt me dus niet alleen een issue van verouderde Typo3 versies, maar eerder van een standaard exploit.

Zidane007nl 17 maart 2014 17:04

Typo3 ontkent via Twitter dat dit een security issue is: https://twitter.com/typo3/status/445582953197076480.

Volgens mij zijn die websites die gehacked zijn gewoon niet up-to-date, wat toch echt je eigen verantwoordelijkheid is als je een CMS gebruikt.

goarilla 17 maart 2014 16:40

In dit geval, volg de geldstroom. Contacteer die casino's.

enigmafan @goarilla • 17 maart 2014 16:56

In dit geval, volg de geldstroom. Contacteer die casino's.

En dan? "Wij hebben het niet gedaan". Dan ben je klaar. En als je wetgeving maakt die iets zegt als: "Als er malware met advertenties zijn van jouw bedrijf dan ben je schuldig", dan maak je het wel heel makkelijk om van een concurrent af te komen, je serveert gewoon malware-reclames van die concurrent.

Kalief @enigmafan • 17 maart 2014 18:30

Zo hebben ze anders wel destijds de radiopiraten aangepakt: via de adverteerders.

MrHankey 17 maart 2014 16:27

Snap wel dat dit soort dingen mis kunnen gaan met typo3. Ik ben bepaald geen fan, zo onvoorstelbaar veel bestanden en vage relaties.. Er is daarnaast ook een mega ambtenarij rondom de typo3 community, je moet haast een cursus volgen om een bug te melden. En alleen e-mailen in plain text, doe je dat niet krijg je geeneens een antwoord. Laat staan om een fix te vinden via google, voor een foutecode die je krijgt tijdens de installatie. Laatst nog met een proefje van typo3 neos, ff een foutcode googlen (direct na de installatie dus..) leverde alleen maar vage sites op. Misschien is dit wel de nekslag voor dit CMS, dat neos slaat volgens mij ook niet heel hard aan.

HokiPoki @MrHankey • 17 maart 2014 17:50

Het is idd niet het meest toegankelijk CMS, met z'n eigen dsl (TYPOSCRIPT) maar voor de wat grotere websites met veel gelaagde navigaties het het beheer wel super.
Hoewel 4.5.x de LTS versie is, ontwikkelen we hier nu met 6.1 (echt een verademing qua templating) en dus niet vatbaar voor de bug. NEOS vind ik tot nu toe ook nog niet echt super: nog niet stabiel en de frontend-editing interface is ook om te huilen.

On-topic. Ik zou in de tussentijd als website zijnde kijken of ik tijdelijk naar 4.6/4.7 over kan schakelen. Misschien zijn niet al je plugins meer up-to-date maar liever wat minder functionaliteit dan banners serveren. Overigens kun je meerdere typo3 sites draaien op 1 core-installatie (met symlinks): upgraden is dan een fluitje van een cent. Zie ook http://wiki.typo3.org/Upgrade#Upgrading_to_4.6 voor meer info om te upgraden.

rood23 @HokiPoki • 19 maart 2014 08:44

Ik zou gewoon upgraden naar TYPO3 versie 4.5.32. Dat is de meest recente. Die versie is veilig. Zie ook http://typo3.org/download/

De sites die gehackt zijn, zijn allemaal gebaseerd op oudere TYPO3 versies van bedrijven die geen onderhoud plegen op hun software. Dus, dan vraag je ook om gehacked te mogen worden.

Volgende week komt versie 6.2 uit. Ook dat is een zogenaamde LTS. Lange garantie, veel nieuwe features.

Xantios 17 maart 2014 16:19

"gecompromitteerd" is wel echt een akelige verbastering, maar dat terzijde.
Ik vraag me vooral af hoe die banners daar terecht zijn gekomen, of anders gezegd, wat hebben ze nu weer voor een enge exploit gevonden.

kan me bijna niet voorstellen dat de beheerders dit overigens niet op zou vallen, het is niet alsof je niet jezelf met enige regelmaat google'd om te kijken op welke plek je staat als je serieus je brood probeert te verdienen aan je website

Putyah @Xantios • 17 maart 2014 16:22

Tenzij er met cookies wordt bijgehouden of de bezoeker eerder op de website is geweest. Misschien ging het zelfs zo ver dat er een cookie wordt geplaatst als de beheerder succesvol inlogt.

BRAINLESS01 @Xantios • 17 maart 2014 16:23

Maar na het zoeken ga je niet op de site klikken. Als je op zoek was naar je eigen site had je wel een bookmark gebruikt, of de url direct ingevoerd. Ik kan mij heel goed voorstellen dat dit maanden ongemerkt kan blijven (totdat je gebruikers gaan klagen, maar daar moet je maar net contact mee hebben).

Wampa1 @Xantios • 17 maart 2014 16:25

Haha, ik moest zelf ook even kijken naar dat woord..

On-topic. De exploit is wel enigzins hardnekkig om achter te komen. Alleen lijkt me de "transactie" pas plaatsvinden als je daadwerkelijk op de banner word geklikt, wat hopelijk niemand doet..

zeduude @Wampa1 • 17 maart 2014 16:40

mwah, nu is t niet zo moeilijk meer : (met bijv wget expect script )
www.jedomeinnaambleh.tldbleh/casino-spelletjes-online/
geen 404 err not found, maar een 200 ok? (gg casino-spelletjes-online en je ziet dat t merendeel van die urls direct te benaderen is zonder via google te klikken )

supersnathan94 @Xantios • 17 maart 2014 17:02

"jezelf" googelen is natuurlijk het domste wat je kan doen, aangezien de resultaten op jouw surf gedrag worden aangepast. Dus tenzij je dit steeds op een ander systeem met een ander IP adres doet, heeft het geen zin.

Verwijderd 17 maart 2014 16:20

Zo te zien hebben de ontwikkelaars een typo gemaakt in de code

tommyx 17 maart 2014 17:01

Adblocker! Problem solved (gebruikers solution)

sanderv 17 maart 2014 19:39

De aanval is misschien uit Nederland afkomstig; de pop-ups worden geserveerd vanaf een map met de Nederlandse naam 'online-casinospelletjes'.

En de Belgen dan? Wat een discriminatie

Thc_Nbl 18 maart 2014 12:57

reclame laten zien moet strafbaar worden, veel beter.

Twixie 17 maart 2014 17:26

Ligt het aan mezelf dat ik moeten googlen heb wat Typo3 is ?
Is dus blijkbaar een open source Content Management Systeem gebaseerd op PHP. Had er nog nooit over gehoord.

basvd @Twixie • 17 maart 2014 17:50

In Nederland wordt het toch vrij veel gebruikt voor websites van de overheid, gemeenten, publieke omroep etc.

[Reactie gewijzigd door basvd op 25 juli 2024 05:37]

gjmi @Twixie • 17 maart 2014 18:01

Dat hadden ze er inderdaad wel even bij mogen zetten. Ik kon het wel bedenken, maar dan weet je nog niet precies.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (40)

Sorteer op:

Weergave: