Hola,
Buenas Noches
Soy Nuevo en este foro de seguridad
El tema de hoy es que necesitó ayuda ya que están atacando el sitio web que administro y me dedico a todo su mantenimiento el tema no es un DDos ni nada por el estilo el tema es que alguien está accediendo a la base de datos y me gustaría saber cómo accede si he puesto de todo y aparte detecto la ip cuanto dumpean la base de datos la bloqueo y la cambian como si nada.
Lo agradecería mucho!!
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Hola,
Buenas Noches
Soy Nuevo en este foro de seguridad
El tema de hoy es que necesitó ayuda ya que están atacando el sitio web que administro y me dedico a todo su mantenimiento el tema no es un DDos ni nada por el estilo el tema es que alguien está accediendo a la base de datos y me gustaría saber cómo accede si he puesto de todo y aparte detecto la ip cuanto dumpean la base de datos la bloqueo y la cambian como si nada.
Lo agradecería mucho!!
Lo que tienes que hacer es arreglar el codigo para que no haya SQLi y te dumpeen la bbdd,deberas validar los inputs de entrada que tengas.
Hola,
Gracias por responder
Ya he arreglado los inputs pero aún así lo hacen no entiendo
Podrías mandarme un mensaje privado y te mando la WEB que administro así me comentas
Sería un favor que te agradecería bastante
Saludos
Yo a lo desconfiado haría un scan por si te metieron alguna shell, no dejaría de lado esa opción ::)
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Hola,
Gracias por responder
Ya he arreglado los inputs pero aún así lo hacen no entiendo
Podrías mandarme un mensaje privado y te mando la WEB que administro así me comentas
Sería un favor que te agradecería bastante
Saludos
Vale amigo anoche te envie un MP
Mira a ver los logs y por ahí podras ver cual es el fallo que están explotando.
También es posible que hayan subido una shell, o directamente tengan la contraseña de la base de datos.
De una forma tan genérica es muy dificil ayudar.
Saludos.
Lo que yo haría sería revisar el código de la web, después miraría si el servidor y su software esta actualizado, después revisaría la configuración de los servicios, miraría todos los logs del sistema tanto de servicios como los generados por el mismo, y si después de todo esto das con la trama, perfecto, si no usa Rkhunter para cazar rootkits o algunas vulnerabilidades en general. Ya si le quieres meter más cañá, puedes usar OpenVas o Nessus para auditar el servidor en busca de posibles vulnerabilidades. Saludos.
Hola, aquí algo que recomendaria:
1. Inactiva la conexión remota a la db.
2. Realiza un scan de shell (esto es lo más común).
3. Si usas un CMS actualiza los plugins o addons que puedas tener.
4. Verifica los permisos que tienen tus archivos, si estás en linux 644 para archivos y 755 directorios.
5. Si sigues en linux y tienes acceso ssh recomendaria corre maldetec, aquí una info del como: https://www.woktron.com/secure/knowledgebase/145/Installation-Linux-Malware-Detect-Maldet-On-CentOS.html (https://www.woktron.com/secure/knowledgebase/145/Installation-Linux-Malware-Detect-Maldet-On-CentOS.html)
6. Revisa tu código, valida que no puedan inyectar sqli, ejecuta un sqlmap tu mismo.
Suerte!
Gracias por leer,
DUDA
Realiza una pequeña auditoria a tu web a lo mejor ya tienen un backdoor en tu code que les permite tomar el control o pasame el link por interno te ayudo a verificar que tenemos ;D
Tal y como han dicho seguramente hayan instalado algún tipo de backdoor, puedes utilizar algún buscador de shells para encontrarla (https://underc0de.org/foro/seguridad-en-servidores/(python)(php)-shell-finder/) aunque si está ofuscada seguramente no la encontrarás de forma automática.
Te recomiendo también que revises bien el código porque seguramente tenga alguna vulnerabilidad (Sobre todo RCE, SQLi, LFI o RFI), ya que con estas podrían obtener la contraseña de la DB (quizás no la estén modificando vía SQLi).
Doy el tema por solucionando pues has tenido muchas respuestas válidas.
Un saludo.