Hacker alterou minha pagina index.php

[terra 1]

Olá,

 

então, Hacker da indonesia alterou minha pagina index.php.

 

como me proteger disso? houve invasão ou foi atraves de upload, formulario...

 

e eu descobri que não tinha backup da index.php, remei quase tudo de novo.

 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<HTML xmlns="http://www.w3.org/1999/xhtml"><HEAD><title>Dravide Was Here</title>
<link href='http://fonts.googleapis.com/css?family=Just+Me+Again+Down+Here' rel='stylesheet' type='text/css'>
<script LANGUAGE="JavaScript">
var text="<font color=white>Selamatkan Indonesia Kami<br> Selamatkan KPK Kami<br> Selamatkan Akhlaq Mulia Bangsa Indonesia <br>Selamatkan Persatuan dan Kesatuan Indonesia Ini<br>Bungkam Semua Koruptor <br>Racun Semua Tikus-Tikus Indonesia<br>Karena Kami Satu Intuk Indonesia Yang Lebih Baik</font>";
var delay=20;
var currentChar=1;
var destination="[none]";
function type()
{
//if (document.all)
{
var dest=document.getElementById(destination);
if (dest)// && dest.innerHTML)
{
dest.innerHTML=text.substr(0, currentChar)+"<blink>/</blink>";
currentChar++;
if (currentChar>text.length)
{
currentChar=1;
setTimeout("type()", 5000);
}
else
{
setTimeout("type()", delay);
}
}
}
}
function startTyping(textParam, delayParam, destinationParam)
{
text=textParam;
delay=delayParam;
currentChar=1;
destination=destinationParam;
type();
}
</SCRIPT></HEAD>
<meta name="description" content="Dravide Was Here" />
<meta name="keywords" content="Defaced by Dravide" />
<body style="background-color:red;" ><center>
<H1 style="font-family: 'Just Me Again Down Here', cursive;">Dravide Was Here</H1><br><img height=250 src=http://stat.ks.kidsklik.com/statics/files/2012/10/13494935781254064685.jpg><br><H2 color=bluesky style="font-family: 'Just Me Again Down Here', cursive;"><div id="textDestination"></div>
<script language="JavaScript">
javascript:startTyping(text, 75, "textDestination");
</script></H2><br><b style="font-family: 'Just Me Again Down Here', cursive;">Contact : <a href=http://fb.me/Dravide>fb.me/Dravide</a></b><br><b>Thanks : Cianjur Learn To Hack, Hacker Indonesia, Balikita, Hacker Newbie Indonesia and YOU!</b></center>

 

Valeu

[Ricardo Barantini 33]

Função Anti SQL Injection.

[junaooaks 3]

da uma olhada com

.htaccess

 

da pra fazer umas coisa bem legais nesse sentido

 

mas da uma olhada na sua maquina se não tem keylog

[terra 1]

Olá,

 

obrigado.

 

O script que uso tem anti injection

 

strip_tags(trim($_POST[nome]))

 

como faço para testar? o que devo colocar no formulario de login?

 

eu fiz assim

 

no campo nome de usuario eu coloquei (peguei no google)

 

=' having 1=1--

 

e retornou

 

= \' having 1=1--

 

 

valeu

[Ricardo Barantini 33]

No seu formulário de upload ele upou um arquivo PHP mascarado de .JPG e provavelmente ele sabia o diretório de upload, assim ele foi até esse arquivo, removeu o .JPG da falsa imagem e colocou o .PHP, assim ele executou a SHELL e com essa SHELL ele tem acesso a todo seu servidor, como se fosse um painel administrativo assim ele altera todos os arquivos e faz o que quiser.

[Daniel_Moraes 11]

Se foi por Upload faz uma função para nao aceitar arquivos php ou asp que possam danificar seu site .

[Ricardo Barantini 33]

Se foi por Upload faz uma função para nao aceitar arquivos php ou asp que possam danificar seu site .

 

Não adianta, uma vez que o arquivo está camuflado como JPG ele irá carregar, o que ele pode fazer é uma função que altera o nome do arquivo que foi upado para um nome aleatório, assim a pessoa nunca irá descobrir o nome do arquivo.

[Isabela C. 3]

sql ou xss.

 

você pode usar a função replace pra se defender de xss, sql injection é só se defendendo pelos campos.

 

pode descrever como era seu site mais ou menos?

 

pra desenvolver um site, antes de mais nada, você tem que pensar como um hacker. desde um sistema de busca com campos sem o devido tratamento (replace) podem ser invadidos.

 

já entrei em sites do governo pelo sistema de busca, usando xss.

[terra 1]

então, uma imagem php.jpg (que é uma arquivo PHP) em somente uma sessão do site foi aceita e o upload realizado com outro nome (e_201210111545271)

 

nas outras sessão do site que upload é feito a verificação e não aceita.

 

como ele poderia acessar esse arquivo mascarado como imagem se o nome é alterado?

 

como faço pra descobrir se ele tem acesso?

 

p.s. achei no meu pc com spyware terminator SPR/Tool.Keylog.A, será que é isso?

 

valeu a todos

[Ricardo Barantini 33]

A melhor prevenção é testando e descobrindo as falhas por si só.

 

Se quer aprender um pouco sobre essa prática para que possa se prevenir, recomendo o Fórum Guia do Hacker, lá existem muitas apostilas sobre SQL Injection e XSS, com isso você pode encontrar e corrigir suas falhas. B)

[rohde 3]

tenta validar o weight e height da imagem

[William Phantom 32]

eu faço o upload normal mas na hora de salvar eu verifico o formato e salvo com uma das extensões válidas (.png , jpg e gif)assim mesmo que

o qrquivo seja um arquivo desfaçado ele vai ficar inútil no servidor

[Isabela C. 3]

então, uma imagem php.jpg (que é uma arquivo PHP) em somente uma sessão do site foi aceita e o upload realizado com outro nome (e_201210111545271)

 

nas outras sessão do site que upload é feito a verificação e não aceita.

 

como ele poderia acessar esse arquivo mascarado como imagem se o nome é alterado?

 

como faço pra descobrir se ele tem acesso?

 

p.s. achei no meu pc com spyware terminator SPR/Tool.Keylog.A, será que é isso?

 

valeu a todos

Olhe no log de acessos ao site pelo seu cpanel, se alguém logou além de você, vai dar pra saber.

Se foi injection, ele não pode "estar no seu pc".

Você não tem nenhum backup do sistema antigo? já podemos ver as falhas agora mesmo.

 

Tem o arquivo .php ai?

pode ser um shell script. funciona assim: Ele faz o upload pro seu server, e o programa consegue as permissões 777 pra acessar os arquivos.

 

Edit:

você me inspirou para escrever sobre um código seguro ;)

se não houver nada atual sobre isso no fórum, vou escrever :clap: