[SOLUCIONADO] Como securizar mi sitio WEB ?

Hola,

Buenas Noches

Soy Nuevo en este foro de seguridad

El tema de hoy es que necesitó ayuda ya que están atacando el sitio web que administro y me dedico a todo su mantenimiento el tema no es un DDos ni nada por el estilo el tema es que alguien está accediendo a la base de datos y me gustaría saber cómo accede si he puesto de todo y aparte detecto la ip cuanto dumpean la base de datos la bloqueo y la cambian como si nada.

Lo agradecería mucho!!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola,

Buenas Noches

Soy Nuevo en este foro de seguridad

El tema de hoy es que necesitó ayuda ya que están atacando el sitio web que administro y me dedico a todo su mantenimiento el tema no es un DDos ni nada por el estilo el tema es que alguien está accediendo a la base de datos y me gustaría saber cómo accede si he puesto de todo y aparte detecto la ip cuanto dumpean la base de datos la bloqueo y la cambian como si nada.

Lo agradecería mucho!!

Lo que tienes que hacer es arreglar el codigo para que no haya SQLi y te dumpeen la bbdd,deberas validar los inputs de entrada que tengas.

Hola,

Gracias por responder

Ya he arreglado los inputs pero aún así lo hacen no entiendo

Podrías mandarme un mensaje privado y te mando la WEB que administro así me comentas

Sería un favor que te agradecería bastante

Saludos

Yo a lo desconfiado haría un scan por si te metieron alguna shell, no dejaría de lado esa opción 

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola,

Gracias por responder

Ya he arreglado los inputs pero aún así lo hacen no entiendo

Podrías mandarme un mensaje privado y te mando la WEB que administro así me comentas

Sería un favor que te agradecería bastante

Saludos

Vale amigo anoche te envie un MP

Mira a ver los logs y por ahí podras ver cual es el fallo que están explotando.
También es posible que hayan subido una shell, o directamente tengan la contraseña de la base de datos.
De una forma tan genérica es muy dificil ayudar.

Saludos.

Lo que yo haría sería revisar el código de la web, después miraría si el servidor y su software esta actualizado, después revisaría la configuración de los servicios, miraría todos los logs del sistema tanto de servicios como los generados por el mismo, y si después de todo esto das con la trama, perfecto, si no usa Rkhunter para cazar rootkits o algunas vulnerabilidades en general. Ya si le quieres meter más cañá, puedes usar OpenVas o Nessus para auditar el servidor en busca de posibles vulnerabilidades. Saludos.

Hola, aquí algo que recomendaria:

1. Inactiva la conexión remota a la db.
2. Realiza un scan de shell (esto es lo más común).
3. Si usas un CMS actualiza los plugins o addons que puedas tener.
4. Verifica los permisos que tienen tus archivos, si estás en linux 644 para archivos y 755 directorios.
5. Si sigues en linux y tienes acceso ssh recomendaria corre maldetec, aquí una info del como: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
6. Revisa tu código, valida que no puedan inyectar sqli, ejecuta un sqlmap tu mismo.

Suerte!

Gracias por leer,
DUDA

Realiza una pequeña auditoria a tu web a lo mejor ya tienen un backdoor en tu code que les  permite tomar el control o pasame el link por interno te ayudo a verificar que tenemos 

Tal y como han dicho seguramente hayan instalado algún tipo de backdoor, puedes utilizar algún buscador de shells para encontrarla (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) aunque si está ofuscada seguramente no la encontrarás de forma automática.

Te recomiendo también que revises bien el código porque seguramente tenga alguna vulnerabilidad (Sobre todo RCE, SQLi, LFI o RFI), ya que con estas podrían obtener la contraseña de la DB (quizás no la estén modificando vía SQLi).

Doy el tema por solucionando pues has tenido muchas respuestas válidas.

Un saludo.