 Problem z zabezpieczeniami - ciągłe włamania do bazy danych |
| Problem z zabezpieczeniami - ciągłe włamania do bazy danych |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 68 Pomógł: 0 Dołączył: 8.08.2010 Skąd: Warszawa Ostrzeżenie: (0%) 
 |
Witam.
Posiadam dość dużą stronę internetową która bardzo często jest atakowana. Użytkownikom bardzo się to nie podoba i zaczęli już odchodzić. Atakujący w jakiś sposób wykrada dane do bazy danych a następnie "na luzie" loguje się do phpmyadmin i robi co chce. Autorem skryptu php/całej strony jestem ja, znam każdą linijkę i wiem jak działa. Stosuję wiele zabezpieczeń przed mysql injection lecz niestety nie pomagają. Dane wejściowe w tym formularze, ciastka, sesje, zmienne get i post są filtrowane funkcjami addslashes oraz mysql_escape_string. Prześledziłem temat SQL Injection/Insertion i również zastosowałem zabezpieczenia poruszane w tym temacie. Niestety jestem bezradny. Ataki wciąż się powtarzają a ja tylko rozkładam ręce i przywracam kopie bazy danych. Plik typu config.php nawiązujący połączenie z bazą znajduje się poza katalogiem public_html a dane takie jak user, hasło baza i host nie są przechowywane w żadnych zmiennych lecz wpisane bezpośrednio w funkcję mysql_connect. Po zakończeniu skryptu używam mysql_close. Logi apache wykazują, że atakujący wchodzi na stronę phpmyadmin i w 1-3 sekundy loguje się już do niego otrzymując własny token. Nieprawdopodobne wydaje się, że loguje się on tak szybko ponieważ loginy i hasła są długie i bezpieczne (tak więc wydaje mi się, że robi to jakiś skrypt/bot odpalany na komputerze hakera). Atakującym zawsze jest ta sama osoba. Logi nie wykazują aby ten adres ip był kiedykolwiek na stronie. Jego pierwsze wejście to już /phpmyadmin. Hasło jest wielokrotnie zmieniane. Raz nawet zdażyło się, że strona została zaatakowana kilka minut po zmianie haseł. Bardzo proszę o pomoc. Podkreślam, że szukam już bardzo długo zarówno na polskich jak i na anglojęzycznych stronach dotyczących zabezpieczeń skryptów php/mysql niestety te które znalazłem nic nie pomagają (IMG:style_emoticons/default/sad.gif) Czekam na pomysły. Pozdrawiam. Ten post edytował denis94 5.04.2011, 22:43:53 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 471 Pomógł: 89 Dołączył: 29.07.2008 Skąd: Warszawa Ostrzeżenie: (0%)
|
Cytat(denis94 @ 5.04.2011, 23:24:13 )  Atakujący w jakiś sposób wykrada dane do bazy danych a następnie "na luzie" loguje się do phpmyadmin i robi co chce. [...] Stosuję wiele zabezpieczeń przed mysql injection lecz niestety nie pomagają. atak ktory przed chwila opisales, to nie jest sql injection Cytat(denis94 @ 5.04.2011, 23:24:13 ) Plik typu config.php nawiązujący połączenie z bazą znajduje się poza katalogiem public_html a dane takie jak user, hasło baza i host nie są przechowywane w żadnych zmiennych lecz wpisane bezpośrednio w funkcję mysql_connect. moze gdzie wyswietlasz zawartosc jakiegos pliku ? czy gdziekolwiek uzywasz funkcji ktora odwoluje sie do pliku i nie jest phpowym include ? jesli tak to to miejsce jest podejrzane Cytat(denis94 @ 5.04.2011, 23:24:13 ) Nieprawdopodobne wydaje się, że loguje się on tak szybko ponieważ loginy i hasła są długie i bezpieczne (tak więc wydaje mi się, że robi to jakiś skrypt/bot odpalany na komputerze hakera). ctrl+c, ctrl+v Cytat(denis94 @ 5.04.2011, 23:24:13 ) Logi nie wykazują aby ten adres ip był kiedykolwiek na stronie. Jego pierwsze wejście to już /phpmyadmin. jak wspomnial kolega wyzej, zbanuj w phpmyadmin wszystkie adresy poza swoim lub swoja siecia Cytat(denis94 @ 5.04.2011, 23:24:13 ) Hasło jest wielokrotnie zmieniane. Raz nawet zdażyło się, że strona została zaatakowana kilka minut po zmianie haseł. skasuj cala witryne i uploaduj na nowo z wersji co do ktorej masz pewnosc ze jest "czysta" Cytat(denis94 @ 5.04.2011, 23:24:13 ) Na serwerze jest zainstalowany linux jednak nie posiadam dostępu do plików systemowych ponieważ posiadam serwer wirtualny. problemem moze byc zle zabezpieczony serwer wirtualny. Skrypty innych uzytkownikow moga miec dostep do Twoich danych. Zmien hosting Cytat(denis94 @ 5.04.2011, 23:24:13 ) Pisałem również w tej sprawie do administracji hostingu, twierdzą oni, że "podobno" logi ftp nie wykazują logowania z innego adresu ip niż mój. Usługodawca w ogóle nie wykazuje chęci pomocy czy współpracy. tym bardziej zmien hosting Skad pochodzi wspomniane IP atakujacego ? sproboj podrazyc i dobrac sie temu komus do tylka, moze to jakis debil ktory wlamuje sie ze stalego ip z domu:) moze jakis szaleniec wykorzystuje do tego shella na uczelni w ktorej sie uczy ? warto pomacać poza tym warto sie zastanowic kto i w jakim celu sie wlamuje. Czy chce/moze osiagnac z tego powodu jakies korzysci ? Skad wziela sie motywacja do ataku na akurat Twoj serwer ? Moze sie okazac, ze do Twojej sieci wlamuje sie konkurencja, ale moze to byc tez syn sasiada ktory nasluchuje na Twoim wifi, a wlamuje sie bo moze:) Ten post edytował yevaud 6.04.2011, 02:24:04 |
|
|
|
denis94 Problem z zabezpieczeniami - ciągłe włamania do bazy danych 5.04.2011, 22:24:13 
fifi209 A gdzie trzymasz dane do połączenia ftp? są zapami... 5.04.2011, 22:30:19 denis94 Dane do ftp mam zapamiętane w programie filezilla.... 5.04.2011, 22:41:55 fifi209 Był swego czasu (i pewnie nadal jest) wirus, który... 5.04.2011, 22:43:09 denis94 CytatRadzę pozmieniać hasła do FTP i nie zapamięty... 5.04.2011, 22:48:32 Mackos Hej, a ja mam dla Ciebie propozycję, jeśli dasz ra... 5.04.2011, 23:08:09 krowal A może jakiś fajny kolega zainstalował ci keylogge... 6.04.2011, 10:30:25 Wilu88 Jeśli to keylogger lub coś w tym stylu, o czym moż... 6.04.2011, 12:47:27 denis94 CytatHej, a ja mam dla Ciebie propozycję, jeśli da... 6.04.2011, 13:09:31 Mackos CytatChciałem w taki sposób zrobić lecz nie jest t... 6.04.2011, 15:31:36 
denis94 To wiem. Ale będzie mógł wejść do tego samego phpm... 6.04.2011, 17:22:57  |
|
Aktualny czas: 25.09.2025 - 18:27 |
