Problem z zabezpieczeniami - ciągłe włamania do bazy danych Opcje

[denis94]

Witam.

Posiadam dość dużą stronę internetową która bardzo często jest atakowana.
Użytkownikom bardzo się to nie podoba i zaczęli już odchodzić.

Atakujący w jakiś sposób wykrada dane do bazy danych a następnie "na luzie" loguje się do phpmyadmin i robi co chce.
Autorem skryptu php/całej strony jestem ja, znam każdą linijkę i wiem jak działa.

Stosuję wiele zabezpieczeń przed mysql injection lecz niestety nie pomagają.
Dane wejściowe w tym formularze, ciastka, sesje, zmienne get i post są filtrowane funkcjami addslashes oraz mysql_escape_string.
Prześledziłem temat SQL Injection/Insertion i również zastosowałem zabezpieczenia poruszane w tym temacie.
Niestety jestem bezradny. Ataki wciąż się powtarzają a ja tylko rozkładam ręce i przywracam kopie bazy danych.
Plik typu config.php nawiązujący połączenie z bazą znajduje się poza katalogiem public_html a dane takie jak user, hasło baza i host nie są przechowywane w żadnych zmiennych lecz wpisane bezpośrednio w funkcję mysql_connect.
Po zakończeniu skryptu używam mysql_close.

Logi apache wykazują, że atakujący wchodzi na stronę phpmyadmin i w 1-3 sekundy loguje się już do niego otrzymując własny token.
Nieprawdopodobne wydaje się, że loguje się on tak szybko ponieważ loginy i hasła są długie i bezpieczne (tak więc wydaje mi się, że robi to jakiś skrypt/bot odpalany na komputerze hakera).
Atakującym zawsze jest ta sama osoba.
Logi nie wykazują aby ten adres ip był kiedykolwiek na stronie. Jego pierwsze wejście to już /phpmyadmin.
Hasło jest wielokrotnie zmieniane. Raz nawet zdażyło się, że strona została zaatakowana kilka minut po zmianie haseł.

Bardzo proszę o pomoc.
Podkreślam, że szukam już bardzo długo zarówno na polskich jak i na anglojęzycznych stronach dotyczących zabezpieczeń skryptów php/mysql niestety te które znalazłem nic nie pomagają (IMG:style_emoticons/default/sad.gif)
Czekam na pomysły.
Pozdrawiam.

Ten post edytował denis94 5.04.2011, 22:43:53

[denis94]

Hej, a ja mam dla Ciebie propozycję, jeśli dasz radę a twój phpmyadmin znajduje się pod adresem: http://www.twojastronka.pl/phpmyadmin
To ustaw sobie plik htaccess żeby wywalał wszystkie ip poza Twoim które będą chciały się dobrać do tego adresu.
Może pomoże...

Chciałem w taki sposób zrobić lecz nie jest to dobry pomysł ponieważ nie będę wtedy posiadał logów atakujacego a będzie on mógł wejsć do phpmyadmina z innej domeny lub poprostu ip serwera.

moze gdzie wyswietlasz zawartosc jakiegos pliku ? czy gdziekolwiek uzywasz funkcji ktora odwoluje sie do pliku i nie jest phpowym include ? jesli tak to to miejsce jest podejrzane

używam tylko include

skasuj cala witryne i uploaduj na nowo z wersji co do ktorej masz pewnosc ze jest "czysta"

często sprawdzam każde pliki na ftp porównując z czystymi. Tylko raz zdarzyło się, że plik był zmodyfikowany (w pliku był kod który dnia 30 marca miał wyczyścić tabele w bazie)

problemem moze byc zle zabezpieczony serwer wirtualny. Skrypty innych uzytkownikow moga miec dostep do Twoich danych. Zmien hosting

Administracja hostingu twierdzi, że serwer jest bezpieczny i uważa, że to moja wina/wadliwy skrypt.

Skad pochodzi wspomniane IP atakujacego ? sproboj podrazyc i dobrac sie temu komus do tylka, moze to jakis debil ktory wlamuje sie ze stalego ip z domu:) moze jakis szaleniec wykorzystuje do tego shella na uczelni w ktorej sie uczy ? warto pomacać
poza tym warto sie zastanowic kto i w jakim celu sie wlamuje. Czy chce/moze osiagnac z tego powodu jakies korzysci ? Skad wziela sie motywacja do ataku na akurat Twoj serwer ? Moze sie okazac, ze do Twojej sieci wlamuje sie konkurencja, ale moze to byc tez syn sasiada ktory nasluchuje na Twoim wifi, a wlamuje sie bo moze:)

Ip jest z Poznania. Ja jestem z Warszawy. Na 99% jestem pewien kto to robi, posiadam imię i nazwisko delikwenta i jest to strona konkurencyjna o podobnej tematyce która chce pozbyć się konkurencji.
Byłem już raz na policji w podobnej sprawie lecz sprawa trwająca dwa miesiące została umorzona z powodu nie odnalezienia sprawcy.
Dziękuję za pomoc. Teraz najbardziej prawdopodobne wydaje mi się wykradanie hasła ftp i sprawdzanie danych do bazy w pliku config.