Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

horacio2009

tentaram invadir meu site!

Por , em Docker, Kubernets e outros ambientes

Recommended Posts

horacio2009    1

horacio2009
Postado

galera, boa tarde!!

Tudo bem com vocês?

seguinte, meu site foi bloqueado pq segundo os operadores houve uma tentativa de invasão ontem.

Bom quero saber quais as formas mais comuns que podem tentar usar para invasão, na verdade, quero saber o que posso fazer para me defender disso, se possível, com código, sei lá...preciso saber se tem como me defender desse tipo de coisa..

enfim...

Valeu a força, galera!!!

Grande abraço!!!

Horácio

Compartilhar este post

Link para o post
Compartilhar em outros sites

João Víctor Rocon Maia    1

João Víctor Rocon Maia
Postado

o seu servidor é dedicado ou compartilhado?

no caso de dedicado, verifique se todos os softwares estão atualizados e firewalls configurados devidamente.

no caso de compartilhado, se vc usa CMS ou framework verifique se os mesmos estão atualizados tbm.

no caso do seu site ter sido feito todo por vc fica mais complicado pois será preciso uma inspeção de código em busca de falhas.

saber que tipo de ataque foi realizado tbm é importante p/ saber se defender.

boa sorte

abs

Compartilhar este post

Link para o post
Compartilhar em outros sites

horacio2009    1

horacio2009
Postado

e aí, João Víctor!!!

abri um chamado no host e responderam o seguinte:

Seu site foi bloqueado por nosso sistema pois tentou fazer um envio de emails chamado o processo postfix muitas vezes.

no final do log que o sujeito postou, ele colocou a seguinte dica: 

Por favor coloque um sleep de 7 segundos entre cada envio em seu script de newsletter para que isso não ocorra novamente.

mas na verdade, não temos qualquer script de envio de emails em massa,nesse caso, presumo que esse script foi lançado no servidor...o que justifica o que um outro operador falou, que se houvesse esse tipo de script no servidor (enviando um monte de emails de uma vez), o site seria bloqueado(exatamente como aconteceu)

logo , concluo que o servidor foi acessado...

o servidor é semi-dedicado e o site eu estou atualizando, mas foi uma empresa que o desenvolveu...

bom, é simples fazer isso, de invadir um servidor, imaginando que a pessoa que o fez não tinha a senha?

esse tipo de ataque que eu sofri, é muito comum????

quais as formas de se defender disso???

bom, por enquanto é isso, muito obrigado!!!

Horácio

Compartilhar este post

Link para o post
Compartilhar em outros sites

João Víctor Rocon Maia    1

João Víctor Rocon Maia
Postado

e aí, João Víctor!!!

abri um chamado no host e responderam o seguinte:

Seu site foi bloqueado por nosso sistema pois tentou fazer um envio de emails chamado o processo postfix muitas vezes.

no final do log que o sujeito postou, ele colocou a seguinte dica: 

Por favor coloque um sleep de 7 segundos entre cada envio em seu script de newsletter para que isso não ocorra novamente.

mas na verdade, não temos qualquer script de envio de emails em massa,nesse caso, presumo que esse script foi lançado no servidor...o que justifica o que um outro operador falou, que se houvesse esse tipo de script no servidor (enviando um monte de emails de uma vez), o site seria bloqueado(exatamente como aconteceu)

logo , concluo que o servidor foi acessado...

o servidor é semi-dedicado e o site eu estou atualizando, mas foi uma empresa que o desenvolveu...

bom, é simples fazer isso, de invadir um servidor, imaginando que a pessoa que o fez não tinha a senha?

esse tipo de ataque que eu sofri, é muito comum????

quais as formas de se defender disso???

bom, por enquanto é isso, muito obrigado!!!

Horácio

 

olá horácio, no caso pode então nem ter sido ataque, falha no sistema é uma possibilidade tbm.

o sistema detectou vc como spammer por isso o problema.

quanto ao acesso, no caso real de invasão, existe várias possibilidades, o ideal é varrer logs e analisar.

talvez seja interessante procurar empresas especialisadas no assunto p/ avaliar.

boa sorte!

abs

Compartilhar este post

Link para o post
Compartilhar em outros sites

horacio2009    1

horacio2009
Postado

olá!!

então, falando com o pessoal eles me disseram que o problema foi na página que envia email(a página que recebe os dados para enviar email pra gente)...

o sujeito falou sobre o sleep e tal, bom, a dúvida é admitindo que essa página tenha sido acessada inumeras vezes, isso poderia ser considerado spam???tipo, a página envia email, mas se acessada muitas vezes, vai enviar muitos email, dependendo da quantidade, pode virar spam?

outra coisa...a página que o cara falou, era um backup, e não havia link para ela em nenhum ponto do site.existe como listar a páginas de um diretório e descobrir qual as páginas que existem?a tal página é um backup, e coloquei um nome bem chatinho, com datas e tal, para dificultar qualquer acesso acidental, mesmo...

como se poderia chegar nessa página???

obrigado pela atenção!!!

Horácio

Compartilhar este post

Link para o post
Compartilhar em outros sites

João Víctor Rocon Maia    1

João Víctor Rocon Maia
Postado

nesse caso então talvez nem tenha ocorrido a invasão.

o que aconteceu um bot fazendo scan na sua página. igual bots de spam em blogs e forums.

minha recomendação é colocar algum tipo de autenticação na página em questão.

 

abs

Compartilhar este post

Link para o post
Compartilhar em outros sites

João Víctor Rocon Maia    1

João Víctor Rocon Maia
Postado

por enquanto recomendo esperar e acompanhar os logs p/ achar algo de suspeito/errado.

o ideal de sempre é sempre se manter atualizado em termos de segurança na ferramenta que usa.

ainda acho válido a contratação de empresas que prestam serviço de pen-testing

 

abs

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Docker, Kubernets e outros ambientes
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito