Hunderte Webseiten, die auf dem Content Management System Typo3 basieren, wurden gehackt. Sie liefern Casino-Werbung an Besucher aus, die über Google auf die Seiten kommen.

Offenbar wurden hunderte Typo3-Websites – viele davon auch in Deutschland – von Hackern gekapert. Das berichten die Sicherheitsexperten von Heise Security. Welche Sicherheitslücke die Angreifer für ihre Attacke nutzten, steht bislang noch nicht fest. Von den Angriffen sollen vor allem Seiten betroffen sein, die auf der Long-Term-Support-Version (4.5.x) basieren. Allerdings scheinen auch Seiten betroffen zu sein, die ältere Typo3-Versionen einsetzen. Eine entsprechende Google-Suche zeigt, welche Seiten von der Attacke betroffen sind.

Die gehackten Seiten fungieren als Linkfarmen und liefern Spam für Online-Casinos aus. Die Werbung ist aber nur für die Nutzer sichtbar, welche die Seiten aus einer Suchmaschine heraus besuchen. Rufen Nutzer die Seite direkt auf, erscheint entweder eine Fehlermeldung oder die normale Seite wird geladen. Wie ein betroffener Admin bei Heise Security berichtet, haben die Hacker PHP-Dateien in das Konfigurationsverzeichnis der angegriffenen Server eingeschleust. Eine neue Datei namens »main.php« sorgt dafür, dass die Spam-Seite ausgeliefert wird. Die Änderung der ».htaccess« sorgt dann dafür, dass Suchmaschinen-Nutzer die Spam-Seite zu Gesicht bekommen.

Da noch nicht bekannt ist, welche Sicherheitslücke die Angreifer benutzten, gibt es noch keine empfohlenen Gegenmaßnahmen. Ein Update der Long-Term-Support-Version von Typo3 soll laut Plan allerdings noch in diesem Monat erscheinen.

Update

Typo3 hat zu dieser Thematik Stellung bezogen und der Darstellung von Heise Security vehement widersprochen. »Unserer Ansicht nach ist die Nachricht nicht nur lückenhaft - und deshalb verwirrend für die Nutzer - sondern auch fehlerhaft«, so die gemeinnützige Association. Eine eigene Analyse hätte zu Tage gefördert, dass keine der bei Heise Security genannten Seite die aktuelle Typo3-Version 4.5.32 nutzt, von der bis dato keine Sicherheitslücken bekannt seien. Vielmehr nutzten viele der genannten Websites nicht einmal Typo3. Weiterhin weist Typo3 auf den Newsletter hin, mit dem Nutzer über sicherheitsrelevante Updates und Patches informiert werden.