Meu site foi invadido. O que posso fazer para evitar que isso aconteça novamente?

• Verifique seu log de acesso e banco de dados logs de consulta (se você registrá-los)
• Verifique com seu provedor de hospedagem para veja se talvez o servidor de banco de dados caiu e eles perderam a restauração do seu.
• Pesquise por vulnerabilidades afetadas pela sua versão do pligg.
• Use uma senha de banco de dados mais strong e isole os privilégios ao mínimo possível.

Se você não puder alternar para a versão mais recente do pligg, precisará retroceder todas as atualizações de segurança feitas nos últimos três anos para a versão que você possui. Eu sugeriria que atualizar suas personalizações para trabalhar com a versão mais recente seria muito menos complicado.

Para impedir que isso aconteça novamente (ou pelo menos minimizar o risco o máximo possível), você precisa garantir que tudo esteja atualizado com as atualizações de segurança. Você realmente não pode cortar isso se precisar que o site esteja disponível publicamente.

Além disso, para atenuar os danos causados se isso acontecer novamente, você precisa configurar um regime de backup automatizado decente.

I cannot switch to a new version of pligg as I made many customizations to the original version.

Eu não sou um gênio de servidor, então não posso ajudá-lo a rastrear como ele foi invadido, mas posso oferecer alguns conselhos. Você deve corrigir manualmente sua instalação com as novas correções de segurança que são lançadas.

Eu daria uma olhada nos exploits para pligg se você realmente não pode atualizar eu ainda olhe para correções integradas para essas vulnerabilidades específicas. Como todos eles são bastante desagradáveis e envolvem injeção SQL e execução remota de código. Pode ser um caso de apenas adicionar alguma validação adicional em alguns lugares.

Existe algum arquivo de log que você possa ler? Talvez você possa ver alguma querystring errante que resultou em um ataque de injeção SQL?

Arquivos de log, supondo que eles não tenham sido alterados

Você simplesmente não pode ter certeza de nada que eu tenha medo

Meu palpite seria que, se você estiver usando algum software mais antigo, algum script kiddie tenha executado alguma ferramenta para explorar. O que eles exploraram, você pode nunca saber

Você pode entrar em contato com a Dreamhost para ver se eles podem oferecer algum insight, mas eu acho que eles não podem

Eu começaria preenchendo um ticket com o portal Dreamhost e veria o que eles podem descobrir para você. Embora se o ponto de entrada não fosse seu através do aplicativo da web, eles podem não ser tão próximos (não um julgamento sobre eles em particular, apenas uma visão cínica das pessoas em geral).

Se você não conseguir atualizá-lo, poderá limitar quem tem acesso a ele? Talvez mude para um vps para que você possa usar o iptables para restringir o acesso a certos endereços IP.

Explorações de pligg . Às vezes, é útil verificar sites de script-kiddy para explorações. A maioria deles tem comentários, como eles foram possíveis, para que você possa:

a) Fonte de correção

b) Use o mod_security para filtrar solicitações ( link ).

Assumindo que você descubra que o problema é com o pligg (parece provável, como você disse, é uma versão antiga, e eu nunca ouvi falar disso, então provavelmente não tem muitos olhos procurando por bugs código) ...

Você será muito limitado. Como controle de danos:

• Examine os registros, descubra o que aconteceu (converse com especialistas, se necessário) e corrija pelo menos esse buraco. Proibir os IPs do hacker usando firewalls ou regras de controle de acesso do servidor da web. Como outros disseram, tente backport qualquer coisa que corrija o vetor de ataque, se você puder rastrear seu ponto de entrada, e encontrar uma correção de bug para ele nas versões pligg mais novas. Tudo o que você puder razoavelmente (ou mesmo com trabalho duro) faz para evitar que a mesma coisa aconteça novamente. MAS, eu realmente não tentaria "atualizar" sua versão retrocedendo todas as correções de segurança. Isso seria um pesadelo.

• Você pode executar analisadores de registro / sistemas IDS ativos para identificar e banir ativamente hackers. O Fail2ban, por exemplo, faz esse tipo de coisa.

A médio prazo:

• Obtenha uma cópia original da versão pligg antiga que você instalou (uma cópia sem suas alterações)
• Use um sistema de controle de versão como o git para aplicar suas alterações na parte superior e git um diff de tudo que você alterou desde a versão original
• Obtenha a versão mais recente do pligg e aplique seu diff nela. Provavelmente não funcionará, mas você só precisará alterar o mínimo para que funcione. Consulte os changelogs e particularmente as notas de upgrade para pligg, que devem ajudá-lo a portar seu código.

Uma solução melhor e mais a longo prazo:

Afaste-se do pligg, já que parece que você falhou. Ter que personalizar o software tanto que não seja mais atualizável para novas versões significa que ele foi mal projetado. Obtenha um software melhor para basear seu código, certificando-se de escrever código limpo e portátil nele que não altere o código do produto. Os upgrades devem então ser limpos e compatíveis, salvo quaisquer pequenas e infrequentes alterações necessárias explicadas pelas notas de lançamento do produto.