Me hackean mis sitios extrañamente

mafima · #1 (**permalink**) 28/12/2009, 16:57

Dos de mis webs han sufridos hackeadas extrañas.

Ambas son paginas que muestran contenidos distribuidos en categorias.

La base de datos tiene una tabla para categorias y otra para los articulos que se relaciona con la anterior.

Ambas fueron desarralladas por mi en momentos diferentes asi es que su codigo es diferente (siempre uso DW ) pero modifico siempre el codigo para obtener lo que necesito.

Lo que hacen es poner en la tabla de categorias una nueva entrada con un codigo HTML que hace un redirect con javascript o abre un layer con promociones o publicidad.

quería saber si a alguien más le ha pasado. yu también como puedo saber que es lo que está fallando.

es decir quiero saber como debo proceder en estos casos ya que nunca lme habia pasado.

debo decir también que al parecer han sido dos episodios aislados. Puesto que las cosas que ponen parecen ser de personas diferentes y además no han sido al mismo tiempo.

Espero toda y su mas sincera ayuda.

Muchas gracias de antemano

Osdiwe · #2 (**permalink**) 28/12/2009, 18:05

¿Validas los valores que utilizas para realizar las consultas a la base de datos? ¿Los usuarios pueden ingresar algun tipo de contenido con un formulario? ¿Administras el contenido des de una parte privada?

McBlink · #3 (**permalink**) 28/12/2009, 18:11

tal como te dice Osdiwe, te estan haciendo inyecciones sql. Tienes que comprobar los datos antes de hacer las consultas.

Saludos.

zaetoner · #4 (**permalink**) 28/12/2009, 18:32

tienes que tener cuidado, por que de la misma forma que se hacen inyecciones sql, se pueden hacer envio masivo de correos,mysql-real-escape-string con esta funcion te puedes evitar algunos dolores de cabeza

Vun · #5 (**permalink**) 28/12/2009, 18:38

Añade este codigo con un include al inicio de las paginas que hagan cualquier consulta:

Código PHP:

  //Evitar SQL Injection (Seguridad) 
foreach ($_POST as $key => $value) { $_POST[$key] = mysql_real_escape_string($value); $_POST[$key]=str_ireplace("concat_","concat-",$_POST[$key]); $_POST[$key]=str_ireplace("_concat","-concat",$_POST[$key]);}  
foreach ($_GET as $key => $value) { $_GET[$key] = mysql_real_escape_string($value); $_GET[$key]=str_ireplace("concat_","concat-",$_GET[$key]); $_GET[$key]=str_ireplace("_concat","-concat",$_GET[$key]); }

Escapa cualquier variable pasada por post o get, y ademas evita otro tipo de inyeccion con la funcion concat de mysql

mhax · #6 (**permalink**) 28/12/2009, 19:00

cual es la web?

Triby · #7 (**permalink**) 28/12/2009, 20:08

Cita:

Iniciado por mhax

cual es la web?

Es mejor que no se mencione la web donde esta el problema hasta que se arreglen los problemas de seguridad.

MLK · #8 (**permalink**) 28/12/2009, 20:24

Te diria que subas un backup entero y limpio del sitio, modificar todas las claves mysql, ftp y cpanel (o el que sea) por las dudas y aplicar la funcion que Vun te paso para escapar las variables. Quiza la mitad de esto no es necesario, pero asi no te queda margen de error... preferible tardar 15 minutos mas que hacerlo 2 veces. Suerte con eso.

mafima · #9 (**permalink**) 31/12/2009, 18:13

Hola la web creo que no es conveniente ponerla aqui porque quizas se vuelva objeto de practicas hackers de gente mal intencionada ( estoy seguro que ustedes no lo son )

Habia contemplado inyección SQL pero como puedo verificar yo que están haciendo inyección SQL?

Porque solamente están modificando las categorias?

Como puedo hacer yo para detectar los formulario que están siendo vulnerables?

Esck21 · #10 (**permalink**) 31/12/2009, 18:33

Existe un libro que se llama: 'Apress Pro PHP Security' es en ingles pero bueno...