site comprometido

4

Portanto, tenho um site comprometido duas vezes em duas semanas. cada arquivo index.php e .js recebe um script injetando no código-fonte do arquivo. O problema é que não tenho ideia de como estão fazendo isso. Eu vi isso feito via injeção SQL antes, mas eu não sei como eles estão realmente escrevendo para o arquivo. Eu examinei os logs do Apache, mas não achei nada interessante. O site é construído usando a estrutura cakephp em um servidor compartilhado godaddy.

Alguém sabe quais configurações de secturidade ou arquivos de log verificar para ver como eles estão fazendo isso?

    
por pinniger 14.06.2010 / 14:19

3 respostas

6

Com base nos arquivos injetados e hospedados no GoDaddy, eu daria uma olhada nos posts do blog da Sucuri.net sobre a infecção contínua de sites nos servidores compartilhados da GoDaddy no último mês.

Eu começaria aqui: link

-Josh

    
por 14.06.2010 / 17:45
2

Isso não é injeção de sql. Este é um worm, e obter esse nível de acesso com um worm em um site personalizado não é realista. Eu sei disso porque eu escrevo exploit que os worms usam para se espalhar, e estou lhe dizendo que não é uma injeção SQL no MySQL (MS-SQL é uma história diferente, o atacante tem xp_cmdshell ()).

Nunca a menos que você deve verificar o seu site para vulnerabilidades usando w3af (livre) e Wapiti (livre), ou Acunetix ($), ou a melhor ferramenta NTOSpider ($$$).

Antes de mais nada, garanto que todas as suas bibliotecas estejam atualizadas. Qualquer máquina com acesso FTP deve ser verificada com um antivírus. Eu sei que o GoDaddy só tem acesso ao FTP, porque eles obviamente não se importam com a segurança. Existem worms que farejam para logins de FTP e então infectam o site, estes são worm bem sucedidos por causa de idiotas como GoDaddy. Se você não quer ganhar dinheiro, execute o AVG no seu sistema local, que é melhor que nada.

Normalmente, quando você está infectado, o Google envia um aviso ao navegador e ele informa o nome do worm. Se você procurar pelo nome muitas vezes alguém fez uma análise e isso lhe dirá como está se espalhando.

    
por 14.06.2010 / 16:38
0

Altere as credenciais do seu banco de dados, faça logins de ftp e atualize o salt de segurança, etc., em seu app / config / core.php.

Embora, como disse Fabian, se você estiver em um servidor compartilhado, também estará à mercê do código de todos. Faça o máximo que puder e deixe GoDaddy saber sobre isso também.

Você também pode codificar um ajudante que procure especificamente por esse código e retire-o de seus arquivos quando eles forem executados.

    
por 14.06.2010 / 14:40