Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties

Honderden websites, die vooral in Duitsland zijn gehost, worden misbruikt voor het tonen van casinobanners. Alleen bezoekers die vanaf zoekmachines afkomstig zijn, krijgen de banners te zien, zodat de sitebeheerders ze niet opmerken.

Volgens de Duitse website Heise gaat het om versie 4.5 van Typo3, die wordt misbruikt voor het tonen van de casinobanners. Versie 4.5 is niet de nieuwste editie van Typo3, maar wel een long term support-versie die momenteel nog wordt ondersteund. Ook oudere versies zouden zijn misbruikt. Of nieuwere edities eveneens kwetsbaar zijn, is onbekend, hoewel ze niet lijken te worden misbruikt. Typo3 benadrukt dat het gaat om verouderde versies van 4.5 die zijn misbruikt.

De aanval is misschien uit Nederland afkomstig; de pop-ups worden geserveerd vanaf een map met de Nederlandse naam 'online-casinospelletjes'. De pop-up wordt alleen getoond als een gebruiker vanaf een zoekmachine afkomstig is. Waarschijnlijk proberen de aanvallers op die manier te voorkomen dat websitebeheerders ontdekken dat hun site gecompromitteerd is.

Update, dinsdag 20:46: Typo3 benadrukt dat bij de aanval verouderde Typo3-versies zijn gekraakt. Het artikel is hierop aangepast.

typo3 hack

Moderatie-faq Wijzig weergave

Reacties (40)

Als ik zoek via Google op https://www.google.de/#q=inurl:online-casinospelletjes, zie ik ook heel veel andere websites die gehackt zijn.

bijvoorbeeld: www.klinikum-nuernberg.de gebruikt Infopark CMS Fiona; 6.7.2

Lijkt me dus niet alleen een issue van verouderde Typo3 versies, maar eerder van een standaard exploit.
Typo3 ontkent via Twitter dat dit een security issue is: https://twitter.com/typo3/status/445582953197076480.

Volgens mij zijn die websites die gehacked zijn gewoon niet up-to-date, wat toch echt je eigen verantwoordelijkheid is als je een CMS gebruikt.
In dit geval, volg de geldstroom. Contacteer die casino's.
In dit geval, volg de geldstroom. Contacteer die casino's.
En dan? "Wij hebben het niet gedaan". Dan ben je klaar. En als je wetgeving maakt die iets zegt als: "Als er malware met advertenties zijn van jouw bedrijf dan ben je schuldig", dan maak je het wel heel makkelijk om van een concurrent af te komen, je serveert gewoon malware-reclames van die concurrent.
Zo hebben ze anders wel destijds de radiopiraten aangepakt: via de adverteerders.
Snap wel dat dit soort dingen mis kunnen gaan met typo3. Ik ben bepaald geen fan, zo onvoorstelbaar veel bestanden en vage relaties.. Er is daarnaast ook een mega ambtenarij rondom de typo3 community, je moet haast een cursus volgen om een bug te melden. En alleen e-mailen in plain text, doe je dat niet krijg je geeneens een antwoord. Laat staan om een fix te vinden via google, voor een foutecode die je krijgt tijdens de installatie. Laatst nog met een proefje van typo3 neos, ff een foutcode googlen (direct na de installatie dus..) leverde alleen maar vage sites op. Misschien is dit wel de nekslag voor dit CMS, dat neos slaat volgens mij ook niet heel hard aan.
Het is idd niet het meest toegankelijk CMS, met z'n eigen dsl (TYPOSCRIPT) maar voor de wat grotere websites met veel gelaagde navigaties het het beheer wel super.
Hoewel 4.5.x de LTS versie is, ontwikkelen we hier nu met 6.1 (echt een verademing qua templating) en dus niet vatbaar voor de bug. NEOS vind ik tot nu toe ook nog niet echt super: nog niet stabiel en de frontend-editing interface is ook om te huilen.


On-topic. Ik zou in de tussentijd als website zijnde kijken of ik tijdelijk naar 4.6/4.7 over kan schakelen. Misschien zijn niet al je plugins meer up-to-date maar liever wat minder functionaliteit dan banners serveren. Overigens kun je meerdere typo3 sites draaien op 1 core-installatie (met symlinks): upgraden is dan een fluitje van een cent. Zie ook http://wiki.typo3.org/Upgrade#Upgrading_to_4.6 voor meer info om te upgraden.
Ik zou gewoon upgraden naar TYPO3 versie 4.5.32. Dat is de meest recente. Die versie is veilig. Zie ook http://typo3.org/download/

De sites die gehackt zijn, zijn allemaal gebaseerd op oudere TYPO3 versies van bedrijven die geen onderhoud plegen op hun software. Dus, dan vraag je ook om gehacked te mogen worden.

Volgende week komt versie 6.2 uit. Ook dat is een zogenaamde LTS. Lange garantie, veel nieuwe features.
"gecompromitteerd" is wel echt een akelige verbastering, maar dat terzijde.
Ik vraag me vooral af hoe die banners daar terecht zijn gekomen, of anders gezegd, wat hebben ze nu weer voor een enge exploit gevonden.

kan me bijna niet voorstellen dat de beheerders dit overigens niet op zou vallen, het is niet alsof je niet jezelf met enige regelmaat google'd om te kijken op welke plek je staat als je serieus je brood probeert te verdienen aan je website
Tenzij er met cookies wordt bijgehouden of de bezoeker eerder op de website is geweest. Misschien ging het zelfs zo ver dat er een cookie wordt geplaatst als de beheerder succesvol inlogt.
Maar na het zoeken ga je niet op de site klikken. Als je op zoek was naar je eigen site had je wel een bookmark gebruikt, of de url direct ingevoerd. Ik kan mij heel goed voorstellen dat dit maanden ongemerkt kan blijven (totdat je gebruikers gaan klagen, maar daar moet je maar net contact mee hebben).
Haha, ik moest zelf ook even kijken naar dat woord..

On-topic. De exploit is wel enigzins hardnekkig om achter te komen. Alleen lijkt me de "transactie" pas plaatsvinden als je daadwerkelijk op de banner word geklikt, wat hopelijk niemand doet.. :/
mwah, nu is t niet zo moeilijk meer : (met bijv wget expect script )
www.jedomeinnaambleh.tldbleh/casino-spelletjes-online/
geen 404 err not found, maar een 200 ok? (gg casino-spelletjes-online en je ziet dat t merendeel van die urls direct te benaderen is zonder via google te klikken )
"jezelf" googelen is natuurlijk het domste wat je kan doen, aangezien de resultaten op jouw surf gedrag worden aangepast. Dus tenzij je dit steeds op een ander systeem met een ander IP adres doet, heeft het geen zin.
Zo te zien hebben de ontwikkelaars een typo gemaakt in de code ;).
Adblocker! Problem solved (gebruikers solution)
De aanval is misschien uit Nederland afkomstig; de pop-ups worden geserveerd vanaf een map met de Nederlandse naam 'online-casinospelletjes'.
En de Belgen dan? Wat een discriminatie :D
reclame laten zien moet strafbaar worden, veel beter.
Ligt het aan mezelf dat ik moeten googlen heb wat Typo3 is ?
Is dus blijkbaar een open source Content Management Systeem gebaseerd op PHP. Had er nog nooit over gehoord.
In Nederland wordt het toch vrij veel gebruikt voor websites van de overheid, gemeenten, publieke omroep etc.

[Reactie gewijzigd door basvd op 17 maart 2014 17:50]

Dat hadden ze er inderdaad wel even bij mogen zetten. Ik kon het wel bedenken, maar dan weet je nog niet precies.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True