Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

PauloAlexandre

Site invadido / hackead

Por , em PHP

Recommended Posts

PauloAlexandre    0

PauloAlexandre
Postado

Olá pessoal,

 

Estou tendo um problema, pois um desenvolvido por mim foi invadido. Na primeira vez, semana passada, o site passou a exibia um alerta, na segunda, ontem, o invasor alterou algumas imagens de produtos do site por outras imagens.

 

Eu sempre me preocupei com essa questão da segurança, inclusive esse site é certificado pelo siteblindado.com.br.

 

Como nunca tive esse tipo de problema, me surgiram algumas duvidas. Se ele alterou imagens dentro do servidor, alterou arquivos php, ele necessariamente teria o acesso ao ftp? ou via script ele conseguiria fazer isso? Se existe a possibilidade de plantar arquivos ao ftp / servidor sem os dados de acesso? se existe, qual é essa técnica?

 

Aguardo a colaboração dos amigos...

 

 

Abraço,

Paulo

Compartilhar este post

Link para o post
Compartilhar em outros sites

LCS    0

LCS
Postado

kra tb nao coneço isso veio

 

ele provavelmente tem acesso ao ftp

 

tenta alterar a senha do ftp beleza

 

Bom não existem mistérios nesse assunto, muito provavelmente,talvez certamente, ele tem seu login e senha de acesso ao ftp, que de fato é a unica maneira de transferir dados ao servidor.Ou também existe alguma falha nas suas páginas php, mas de qualquer forma ele precisaria ter acesso ao servidor, o que somente se consegue em páginas marcadas como públicas(o que daria acesso a ele por ftp anônimo)..

 

Abçs;

Compartilhar este post

Link para o post
Compartilhar em outros sites

PauloAlexandre    0

PauloAlexandre
Postado

Então pessoal, o site até a semana passada estava em um servidor dedicado, então o cliente contratou outro servidor, pois o anterior não nos deu o suporte necessário, como logs de ftp, mysql que solicitamos. Então, mesmo o site migrado, em outro servidor, o problema voltou... :(

 

Ele até poderia ter a senha anterior, mas do novo servidor eu acredito que não, pois em menor de um dia já estava lá o problema!!!

 

Estamos aqui trabalhando a procura do que pode estar acontecendo, para contornar a vulnerabilidade que esta possibilitando esses ataques, mesmo sem saber do que se trata...

 

Conseguindo resolver o problema por aqui, vou postar a causa e a solução, para que possamos nos prevenir!!!

 

 

Grande abraço

Paulo

Compartilhar este post

Link para o post
Compartilhar em outros sites

André Severino    3

André Severino
Postado

Kra sabe essas pastas como 'imagens/css/js', você colocou um .htaccess nelas para bloquear o acesso e exibir um erro 403 de acesso negado?

 

Pois qnd você tem acesso ao diretório via @navegador da para plantar arquivos dentro do site sim. Não necessariamente precisa ter o acesso ao @ftp.

 

Também tem a questão do XSS/CSS, você está fazendo essas validações necessárias ou apenas se deteve nos sqlinjection ?

 

Outra coisa, pode ser que tenha um keylogger no computador de alguém que acessa o ftp e o cracker está fazendo isso para alterar os arquivos.

Compartilhar este post

Link para o post
Compartilhar em outros sites

PauloAlexandre    0

PauloAlexandre
Postado

Boa tarde André,

 

Com certeza todas as pastas possuem o arquivo .htaccess, afinal de contas isso é o básico!

Todo o site é verificado e trabalhado para evitar problemas com sql-injection e cross-site scripting, etc...

 

A questão do Keylogger também já foi verifica e posso lhe assegurar que não se trata disso, pelo menor em nossas maquinas e esse problema também já foi passado ao cliente, afinal eles também possui os dados de acesso do site.

 

Mas o que você me passou é somente o básico e se o problema estivesse em alguns desses itens, sem dúvidas já teria sido resolvido. Por isso abri esse tópico no forum, com objetivo de trocar idéias para facilitar a resolução do problema. E todas as informações com certeza servirão no futuro como fonte de pesquisa para inúmeros outros desenvolvedores.

 

Nós trabalhamos com desenvolvimento, não estamos brincando de desenvolvedores, portanto ninguém aqui está "dando sopa", afinal sabemos da criatividade dos hackers e do poder que possuem de diariamente criar novas formas de invasão. Portanto, vamos desconsiderar essa parte do seu comentário e tentar aproveitar algo de tudo o que você disse.

 

De qualquer forma, obrigado pela colaboração...

 

 

Atenciosamente,

Paulo

Compartilhar este post

Link para o post
Compartilhar em outros sites

Leozitho    81

Leozitho
Postado

Você já verificou os logs no servidor? Através dos logs (FTP, SSH, etc) você consegue descobrir quem acessou o servidor e subiu os arquivos.

 

Você disse que o cliente possui um servidor dedicado, neste caso além de cuidar da segurança a nível de aplicação também é fundamental estar atento com a segurança do servidor.

 

Servidores dedicados sofrem centenas de ataques diários, principalmente do tipo brute-force, onde são inseridas uma série de conbinações de senhas e senhas aleatórios até descobrir a senha de acesso ao servidor (root) ou do próprio site.

 

Se o servidor for Linux recomendo que instale o APF (Advanced Policy Firewall) em conjunto com o BFD (Brute Force Detection), caso não tenha esses ou outros programas do genero já instalados.

 

Um abraço!

Compartilhar este post

Link para o post
Compartilhar em outros sites

André Severino    3

André Severino
Postado

O que você quiz dizer com:

Com certeza todas as pastas possuem o arquivo .htaccess, afinal de contas isso é o básico!

Todo o site é verificado e trabalhado para evitar problemas com sql-injection e cross-site scripting, etc...

 

Nós trabalhamos com desenvolvimento, não estamos brincando de desenvolvedores, portanto ninguém aqui está "dando sopa", afinal sabemos da criatividade dos hackers e do poder que possuem de diariamente criar novas formas de invasão. Portanto, vamos desconsiderar essa parte do seu comentário e tentar aproveitar algo de tudo o que você disse.

A questão não é 'sabemos da criatividade dos hackers e do poder que possuem de diariamente criar novas formas de invasão'. Isso sim é dar sopa, esperar eles agirem.

 

Eu sempre me preocupei com essa questão da segurança, inclusive esse site é certificado pelo siteblindado.com.br.

você acha que apenas pegar um certificado ssl com o siteblindado é sinonimo de segurança? Eles apenas garantem as conexões https

 

- Quem faz as auditorias nesses sitemas? (Se existe alguém p/ isto)

- Você apenas pega um certificado de ssl com o siteblindado e boa ?

 

Cade seu script contra XSS/CSS, posta para analisar-mos e chegar há um consenso sobre a vunerabilidade

 

Nenhum cracker ia perder tempo para acessar alguns arquivos e mudar apenas 'fotos', eles iriam mais além, camuflar um código para receber senhas e dados pessoais dos clientes(Cartão de crédito) e etc...

Muito provavelmente quem fez isso é um 'zé ninguém' e que provavelmente está lado-a-lado com seu cliente.

A questão do Keylogger também já foi verifica e posso lhe assegurar que não se trata disso, pelo menor em nossas maquinas e esse problema também já foi passado ao cliente, afinal eles também possui os dados de acesso do site.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Andrey Knupp Vital    136

Andrey Knupp Vital
Postado

Você usa SSL ? , Coloque um Htaccess para todas as pastas que você não as considera acesso publico ..

 

faça proteção contra injection .. e Altere a senha do FTP para uma Fixa com mais segurança

 

e fique atento com os XSS

Compartilhar este post

Link para o post
Compartilhar em outros sites

Allam Santos    0

Allam Santos
Postado

Gente vcs nao entendem do assunto isso e falha de mysql injection tem algum arquivo malicioso em algum diretorio.

 

ja fiz muito isso me add ai q te ajudo

 

lms-lp@hotmail.com

Compartilhar este post

Link para o post
Compartilhar em outros sites

Leozitho    81

Leozitho
Postado

@Allam,

 

Parece que quem não entende do assunto é você. O que SQL Injection tem a ver com substituição de imagens no servidor?

 

Se você ler o post #7 vai ver que o PauloAlexandre disse que já tomou os cuidados básicos como prevenção contra ataques de SQL Injection.

 

E se quer ajudar faça isso através do fórum, essa é a finalidade dele. Não tem porque mandar adicionar no MSN pra você ajudar.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Andrey Knupp Vital    136

Andrey Knupp Vital
Postado

Parece que quem não entende do assunto é você. O que SQL Injection tem a ver com substituição de imagens no servidor?

Depende .. se o cara traz a imagen do banco , ele pode usar um Injection pra alterar a imagen ( o path ) pra redirecionar pra uma outra imagen

isso e questão de verificação , se as imagens são upadas para o servidor e não links externos , ele tem que verificar se todas estão com a dir

que armazena as imagens no servidor , não sei se é o caso .. , mais caso tiver alguma externa você ja vai saber por onde o cara ta injetando

ou então ele pode estar botando o mesmo path de uma outra .. duplicando a exibição ...

Compartilhar este post

Link para o post
Compartilhar em outros sites

LCS    0

LCS
Postado

Pessoal esse tópico tá totalmente errado. O pessoal ao invés de propor ações,idéias,etc para resolver o problema, ou dicas para evitar que isso aconteça, estão apenas um ofendendo o outro.

 

Vamos propor suas idéias de qual seja o problema junto com as possíveis soluções que souberem. E só!

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito