¿Cómo detectar un intruso en mi web?

Moleman · #1 (**permalink**) 05/09/2008, 02:35

Recientemente he sufrido un par de ataques en dos de mis páginas web. Reconozco que hasta el momento las medidas de seguridad no eran especialmente importantes, y me he tenido que poner las pilas en esta materia.

Ahora me preocupo de encriptar contraseñas, de prevenir el sql injection, de no utilizar el querystring para pasar información confidencial de una página a otra, etc. En este sentido, hay suficiente información con las faq que habéis creado y leyendo los posts de otros usuarios. Muchas gracias, por que he aprendido mucho de vosotros.

Sin embargo, lo que me gustaría saber ahora es si hay algún modo de detectar el intruso de mi página web. Sé que no voy a poder tener los datos personales ni el teléfono del sujeto, pero quizás sí el nombre de su máquina, por ejemplo, lo cual ya me puede dar una pista. Leí en algún post por aquí (creo que en las faq) que había un sistema por el cual se pueden pedir datos a la máquina del visitante. ¿Realmente existe y funciona ese sistema? ¿Tan facil es? ¿Puedo conseguir datos del visitante de alguna otra manera?

Por otro lado, también me gustaría llevar un control de los usuarios que entran en mi sección privada, y de las páginas que visitan. Una especie de log que me indique quién ha sido el último usuario en entrar, y qué páginas ha tocado. Por que, si algún día vuelven a atacar mi web, y veo que a una determinada hora ha entrado un determinado usuario, y ha modificado los archivos que luego han sido atacados en mi web, entonces sólo me queda suponer que la persona que ha modificado esa página era ése usuario o alguien que ha entrado con sus datos... lo cual me puede dar pistas, también.

En fin, que cualquier otra manera que sepáis de detectar un intruso en mi web, o de seguir los pasos de los usuarios autorizados, será bienvenida.

Muchas gracias y un saludo.

JuanRAPerez · #2 (**permalink**) 05/09/2008, 20:00

ummm así como así de obtener los datos no creo sea tan fácil como se describe en muchos lados

creando activex quizas o no se no se me ocurre

a lo sumo podrias empezar por comentar como afectaron tus paginas

sqlinjection?
o via FTP reemplazaron todo?
o via ¿?

puedes tratar de trazar direcciones ip
y tratar de obtener quienes visitan tus paginas, guardar horas y fechas
pero el log se te volvería increíblemente grande (si es una web muy visitada)
y realmente si te han atacado tendrías que saber la hora y fecha exacta si no tendrías un log con mucha pero mucha información en donde tratar de asociar

si comentas como te han atacado el sitio la gente de el foro podría tratar de ayudarte mas en poder hacer tu protección.

con lo de los usuarios puede idear el log, y podrías guardar donde anduvo y esas cosas
pero has pensado realmente en la cantidad de información que guardaras

mi aporte y espero de algo sirva

suerte

Moleman · #3 (**permalink**) 05/09/2008, 20:47

Gracias por la respuesta.

La verdad es que no tengo ni idea de cómo entraron. En principio creo que "dedujeron" algún nombre de usuario y contraseña, pues algunos eran bastante sencillos, y tenían acceso total. Ahora ya lo he arreglado, y todas las contraseñas exigen tener un mínimo de caracteres, una mayúscula, una minúscula, y un número, por lo menos.

Puede que hayan entrado también con sql injection, pues no había medidas al respecto. Nuevamente, y gracias a este foro, ya las hay.

En cuanto al ftp, yo creo que así no pudieron entrar, pero tampoco puedo asegurarlo... En realidad, no hay ninguna prueba de nada, así que no se sabe.

La idea era poner algún tipo de trampilla para poder seguirle si volvía a entrar. Si se os ocurre algo, me decís.

Gracias.