O banco de dados é hackeado repetidas vezes; já limpou o site para injeção de SQL

Navegue suas respostas
6

Eu tenho um cliente que me pediu para tentar analisar um site em busca de vulnerabilidade.

O que está acontecendo é que, a cada fim de semana, no campo, um registro de uma tabela no banco de dados é alterado para a mesma coisa toda vez. De Jewelry a Jewelery <a href="http://[**REMOVED-FOR-SF**]/viewPress?press_id=407">[**REMOVED-FOR-SF**]</a><a href="http://[**REMOVED-FOR-SF**]/[**REMOVED-FOR-SF**].html">[**REMOVED-FOR-SF**]</a> . O fato de ser sempre o mesmo registro me faz pensar que é algum tipo de script automatizado, mas se for, não consigo encontrá-lo.

O seguinte foi realizado:

  • Vulnerabilidades fixas de injeção de SQL
  • Execução de PHP impedida em 777 diretórios
  • Alterou a senha do banco de dados após cada correção
  • Alterou a senha do CMS após cada correção

Qual é o próximo passo?

    
por Matt Alexander 14.09.2010 / 01:04

6 respostas

5

O invasor provavelmente não precisa saber a senha para executar a alteração. Veja como eu lidaria com isso:

Localize o wrapper de função de consulta do seu CMS e atualize-o para registrar em um arquivo e / ou enviar um email sempre que um regexp na string de consulta corresponder à sua cadeia de spam - inclua todo e qualquer servidor relevante e variáveis CMS que possam ajudar a identificar a origem do problema.

Note que você pode chamar debug_backtrace () no PHP 4.3+ para isolar arquivos de inclusão se isso pode ser o trabalho de um plug-in malicioso.

    
por 14.09.2010 / 02:15
2

Provavelmente um ataque de injeção de sobra - você pode configurar um gatilho de banco de dados para informar quando o registro for alterado novamente? Em seguida, correlacionar isso com os registros do seu servidor web - deve levar ao culpado imediatamente.

Assegure-se também de que está registrando o máximo possível (referrers, etc)

    
por 14.09.2010 / 06:34
0

Já olhou para o servidor SQL? Talvez exista um script sendo executado ou algum procedimento esteja configurado para fazer uma atualização que tenha sido feita por um motivo legítimo (ou mesmo apenas para fins de teste) e, desde então, foi esquecida, mas ainda está sendo acionada. Provavelmente tem alguns valores codificados como esse erro de digitação.

    
por 14.09.2010 / 18:47
0

Você instalou um gerador de links no seu CMS? Alguns sites ligam automaticamente para gerar backlinks para posts. Isso parece o mesmo tipo de coisa. Verifique as extensões do seu CMS e veja se há algo lá.

    
por 30.09.2010 / 02:13
0

Quão strongmente carregado é o site? Talvez uma captura de pacotes possa ser uma opção, mostrando tudo o que veio do mundo exterior quando isso mudou. Isso, pelo menos, permitirá que você saiba se algo interno ao servidor está alterando as coisas ou onde está sua vulnerabilidade.

    
por 30.09.2010 / 02:59
0

Você pode configurar o modsecurity e adicionar uma regra para registrar os dados POST sempre que vir a versão com erros ortográficos. Se alguém o estiver editando, ou uma injeção SQL, ele deve ser logado.

    
por 30.09.2010 / 03:28

Tags

Os melhores painéis de patch cat6? O preço é realmente um fator? compara o conteúdo tar com a pasta local