← PHP

Como proteger um site de exploids?

Lida 4956 vezes

Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Olá colegas,

Recentemente o site do meu local de trabalho e do qual sou responsável foi alvo de um ataque exploid.
Portanto tudo o que é index.php levou uma iframe no final...

Já retirei esse código mas o problema continua. Retirei os formulários do site e inclusivé alterei as permissões.

Sendo queo mesmo tem um backoffice, não programado por mim, e cheio de erros, retirei-o do site e o problema ao que parece ficou resolvido.

Como proteger então a pasta admin? Fazer com que seja aberta de forma protegida... penso que me expliquei bem.

Li qualquer coisa sobre .htacess, fico a aguardar opiniões :)
Offline

anjo2 
Membro
Mensagens 3020 Gostos 0
Troféus totais: 31
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2

Não tem login o backoffice? não está protegido?
Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Não tem login o backoffice? não está protegido?

O backoffice está protegido por login. Antes tinha uma falha que conseguias entrar na admin com ' or '1, na altura foi corrigida essa falha... mas acredito que tem mais alguma falha de segurança.
Offline

anjo2 
Membro
Mensagens 3020 Gostos 0
Troféus totais: 31
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2

realmente, essa prática nem devia passar pelo servidor, estranho se passa... magic_quotes off?

http://www.tizag.com/mysqlTutorial/mysql-php-sql-injection.php
http://phpsec.org/articles/2005/password-hashing.html

lê, pode ser que te ajude.
O que te posso ajudar é obrigar a que tenha um ip nacional, interessa-te?
Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

realmente, essa prática nem devia passar pelo servidor, estranho se passa... magic_quotes off?

Onde vejo essa informação sff?
Offline

anjo2 
Membro
Mensagens 3020 Gostos 0
Troféus totais: 31
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2

realmente, essa prática nem devia passar pelo servidor, estranho se passa... magic_quotes off?

Onde vejo essa informação sff?
echo get_magic_quotes_gpc();
Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

realmente, essa prática nem devia passar pelo servidor, estranho se passa... magic_quotes off?

Onde vejo essa informação sff?
echo get_magic_quotes_gpc();

Ok, amanha no emprego vou fazer isso que agora não tenho meios. Obrigado
Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

realmente, essa prática nem devia passar pelo servidor, estranho se passa... magic_quotes off?

http://www.tizag.com/mysqlTutorial/mysql-php-sql-injection.php
http://phpsec.org/articles/2005/password-hashing.html

lê, pode ser que te ajude.
O que te posso ajudar é obrigar a que tenha um ip nacional, interessa-te?

Interessa-me sim, tendo em conta que quem acede à administração é sempre via IP nacional. Tens MSN? Gostava de trocar algumas palavras contigo.
Offline

Santo 
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Olá colegas,

Recentemente o site do meu local de trabalho e do qual sou responsável foi alvo de um ataque exploid.
Portanto tudo o que é index.php levou uma iframe no final...

Já retirei esse código mas o problema continua. Retirei os formulários do site e inclusivé alterei as permissões.

Sendo queo mesmo tem um backoffice, não programado por mim, e cheio de erros, retirei-o do site e o problema ao que parece ficou resolvido.

Como proteger então a pasta admin? Fazer com que seja aberta de forma protegida... penso que me expliquei bem.

Li qualquer coisa sobre .htacess, fico a aguardar opiniões :)

Normalmente exploits iframe são efectuadas através de acesso ao servidor conseguindo executar um script com o teu id ou o de outro cliente. Em alguns casos afecta todos os sites num servidor.

Se conseguiste encontrar o ponto de entrada, então protege o directorio com password.

Se for um problema do servidor, básicamente torna-se numa falha de segurança perigosa. Este tipo de falhas podem ser protegidas com regras especificas no mod_security e com as devidas protecções no servidor. Correr o php com o ID do user (suphp) é muito aconselhavel também.

Caso tenhas um painel de controle de conta a protecção do directorio é simples. Caso não tenhas usa o link em baixo:

http://www.yellowpipe.com/yis/tools/htaccess_generator/index.php

Saudações
Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

O servidor foi contactado e apenas o nosso site teve problemas.. Vou ver isso, obrigado Santo
Offline

anjo2 
Membro
Mensagens 3020 Gostos 0
Troféus totais: 31
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2

realmente, essa prática nem devia passar pelo servidor, estranho se passa... magic_quotes off?

http://www.tizag.com/mysqlTutorial/mysql-php-sql-injection.php
http://phpsec.org/articles/2005/password-hashing.html

lê, pode ser que te ajude.
O que te posso ajudar é obrigar a que tenha um ip nacional, interessa-te?

Interessa-me sim, tendo em conta que quem acede à administração é sempre via IP nacional. Tens MSN? Gostava de trocar algumas palavras contigo.
O meu msn está no perfil.

A solução do Santo também é boa, mas obriga-te a 2 logins.
Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Problema resolvido.
Através do Plesk protegi o directório admin e criei vários utilizadores.

Obrigado ao anjo2 e ao Santo (via msn) pela ajuda ;)

Cumps