Ir para o conteúdo
optus

Site hackeado, como evitar ?

Mensagens Recomendadas

optus

Boas pessoal.

Ultimamente tenho sofrido N ataques de hackers, designados como anonymous tugas. Varios dos ataques deles ja foram resolvidos... como por exemplo, conseguirem injectar um index html para o servidor.

Neste momento preciso da vossa ajuda para algo diferente.

O site esta construido com php, e segundo o ataque deles, faz com que nós, ao entrarmos no site, seja-mos redireccionados para outra página, por norma á escolha deles.

Isto acontece com uma meta tag '' <META HTTP-EQUIV="refresh" CONTENT="0;URL=http://site que eles querem"> " que eles conseguem injectar. Ja repus os ficheiros no servidor, mas continua o mesmo.

Esta tag, por norma encontra-se sempre dentro de um ciclo FOR, que gera ID's para serem passados por $_GET para outra pagina..

Ha alguma forma de conseguir remover isto do codigo ? ou seja, no que eu fiz, o codigo esta bem, e em localhost ele funciona perfeitamente, so que quando vai online, ele cria esta meta... ou seja, carrega o site, e com o refresh desta meta, ele mandanos para o outro site deles..

Alguem ja teve algum problema identico, ou alguem sabe como retificar isto ?

Obrigado pessoal

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
mikelll

Simples: muda a password do ftp, porque se eles te "injectam" ficheiros é porque o fazem com uma conta de ftp

Depois verifica se não tens módulos no teu site que sejam inseguros e permitam SQL injection.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
pmg

Verifica se tens problemas de XSS.

Desactiva o JavaScript no teu browser e vê se o redireccionamento continua.


What have you tried?

Não respondo a dúvidas por PM

A minha bola de cristal está para compor; deve ficar pronta para a semana.

Torna os teus tópicos mais atractivos e legíveis usando a tag CODE para colorir o código!

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
optus

Ja testei desactivar o Java-script, e continua a redireccionar.

Nao inserira mais nenhum ficheiro no servidor, porque as passwords ja foram alteradas.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
anolsi

De certeza que estás as tratar os $_GETs (por exemplo problemas de xss como o pmg referiu)? Eles são guardados permanentemente em algum lado? É que sem vermos o código em concreto é sempre difícil conseguir saber o que está mal.


"Nós somos o que fazemos repetidamente, a excelência não é um feito, e sim, um hábito."
Não respondo a questões por PM que possam ser colocadas no fórum!

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
fil79

não sei se estou a perceber bem..se vires o código fonte nesta altura da tua página aparece esta tag:

<META HTTP-EQUIV="refresh" CONTENT="0;URL=http://site que eles querem">?


MCITP-MCTS-MCP

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
optus

Nao, nada disso. è assim, na programação que tenho feita está da seguinte forma:

<tr>
            <td><img src="gfx/noticia_destaque.gif" width="275" height="21" />
           <div style="height:10px"></div>
              <?php if(noticias){	for($i=0;$i<1;$i++){ ?>
              <span class="title-home-news">
              <?=$noticiasn[$i][titulo]?>
              </span><br />
              <span class="default-text-small">Por 
              <?=$noticiasn[$i][autor_nome]?>
               | 
              <?=substr($noticiasn[$i][data],0,10);?>
               | </span> <span class="link-news"><a href="/noticias/detalhe.php?id=<?=$noticiasn[$i][id]?>">Ler Mais...</a></span>
              <p> <span class="default-text">
                <?=$noticiasn[$i][resumo]?>
              </span></p>
              <?php } } ?></td>
          </tr>

agora, online, antes da pagina ser redireccionada, fazendo ESC para parar o load da pagina, e fazendo o atalho ctrl + u, neste mesmo sitio é-me dado o seguinte:

         

<tr>
            <td><img src="gfx/noticia_destaque.gif" width="275" height="21" />
           <div style="height:10px"></div>
                            <span class="title-home-news">
              <META HTTP-EQUIV="refresh" CONTENT="0;URL=http://localhost.nl/stuff/flash/idiot.swf">              </span><br />
              <span class="default-text-small">Por 
              optus| 
              2011-11-28               | </span> <span class="link-news"><a href="/noticias/detalhe.php?id=118">Ler Mais...</a></span>
              <p> <span class="default-text">
                <img width="275" height="386" src="/ficheiros/conteudos/imagem.jpg" alt="" />

<div id="cookieInjectorDiv" style="display: none; position: fixed; opacity: 0.9; top: 40%; background: none repeat scroll 0% 0% rgb(221, 221, 221); left: 40%; width: 20%;">

<div align="center">Wireshark Cookie Dump:<br />

<input type="text" id="cookieInjectorCookie" /><br />

<button onclick="cookieInjector.writeCookie();">OK</button><button onclick="cookieInjector.hide();">Cancel</button></div>

</div>              </span></p>
              </td>
          </tr>

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
anolsi

Pois, penso que vais buscar as noticias à BD, certo? Se sim, vai lá procurar a ver se não está o meta no campo do titulo das noticias... Deveria ter sido tratado antes de ser inserido. Apesar de na minha opinião nem todos poderem inserir notícias, certo? Logo ainda deve haver outro problema de segurança em que alguém anda a introduzir noticias sem permissões provavelmente.


"Nós somos o que fazemos repetidamente, a excelência não é um feito, e sim, um hábito."
Não respondo a questões por PM que possam ser colocadas no fórum!

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
fil79

Pois, penso que vais buscar as noticias à BD, certo? Se sim, vai lá procurar a ver se não está o meta no campo do titulo das noticias... Deveria ter sido tratado antes de ser inserido. Apesar de na minha opinião nem todos poderem inserir notícias, certo? Logo ainda deve haver outro problema de segurança em que alguém anda a introduzir noticias sem permissões provavelmente.

exacto. No website que é dado acima tem lá na parte dos destaques a tag <meta HTTP-EQUIV="REFRESH" content="0; url=http://pastehtml.com/view/bi6zkii08.html">

Isto deve ter sido inserido no backoffice. É alterar as senhas de acesso ao backoffice, encontrar este registo na bd e por fim editá-lo.


MCITP-MCTS-MCP

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
optus

Sim, tudo isto funciona por backoffice. Bem pessoal, terei de verificar entao todas as passes, e alterar as definições do campo  :dontgetit:

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
scorch

E não deves usar as short tags do PHP, uma vez que o uso delas é desaconselhado e elas muito provavelmente deixarão de funcionar em futuras versões do PHP. ;)

EDIT: Não é política do fórum remover os tópicos depois de resolvidos. Assim se alguém tiver uma dúvida semelhante, pode encontrar o tópico e resolver a sua dúvida. Para além do mais, a segurança de um site não é obtida através do desconhecimento do código fonte, mas sim da robustez do mesmo. :D


scorch_pp.png

PS: Não respondo a perguntas por mensagem que podem ser respondidas no fórum.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
brunoais

regra nº x dos formlários web para disposição direta para o utilizador:

Nunca permitir que um utilizador escreva HTML diretamente para a DB. Todo o HTML precisa de 1 das seguintes coisas:

[*]Alterar todos os carateres <, & e > para o correspondente <, & e >

[*]Apagar todas as tags HTML. Procurar por < e > e apagar tudo entre cada um desses carateres.

[*]Analizar todas as tags HTML e verificar se aceitas essa tag no teu site, se acitas, tudo bem, senão aplicar o 1. ou o 2.

E não deves usar as short tags do PHP, uma vez que o uso delas é desaconselhado e elas muito provavelmente deixarão de funcionar em futuras versões do PHP. ;)

Exceto a short tag "<?=". Esta tag, está previsto a partir do php 5.4, estar disponível sempre e para sempre. Agora só a shorttag "<?" é que está previsto ser removida algures no futuro.

Editado por brunoais

"[Os jovens da actual geração]não lêem porque não envolve um telecomando que dê para mirar e atirar, não falam porque a trapalhice é rainha e o calão é rei" autor: thoga31

Life is a genetically transmitted disease, induced by sex, with death rate of 100%.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
Convidado
Este tópico está fechado a novas respostas.

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.