[SOLUCIONADO] Mi web es atacada con todo y ya no se que hacer

Ivanaruto · #1 (**permalink**) 28/08/2013, 04:59

Hola amigos , Mi web www.fraseparaelmuro.com.ar hace ya mas de 1 mes esta siendo atacada por codigos de publicidades infinitos y me estan cargando el servidor a full...Mi sitio no contabiliza esas visitas y no puedo obtener las ips de donde se estan haciendo esos ataques,ya eh borrado mas de 10.000 frases con el MySql pero dia a dia se suman mas y ahora ultimamente los ataques que estoy recibiendo son masivos,necesito ayuda....como puedo mejorar la seguridad o alguna inyeccion de codigos que me sirvan?

Desde ya muchas gracias.

loncho_rojas · #2 (**permalink**) 28/08/2013, 05:53

Buenas... lamentablemente no podemos adivinar que es aquello que causa tu problema... Cambia los accesos a tu panel, base de datos, administrador etc, etc, no uses herramientas gratuitas como "contadores de visita", "libro de entrada" y demás que sean FREE ya que te llenan de publicidades, mejor usa las herramientas de Google...

El problema no es PHP si no la seguridad de tu servidor...

jokker · #3 (**permalink**) 28/08/2013, 07:12

incorpora un antispammer(CAPTCHA) en tu web...

mira, este es el mas habitual que se suele usar: http://www.google.com/recaptcha

Triby · #4 (**permalink**) 28/08/2013, 11:28

Ese es el resultado normal cuando los usuarios pueden publicar cualquier cosa sin identificarse, ni captcha u otra medida de seguridad.

Podrías aplicar la sugerencia de jokker y, aparte, con expresiones regulares buscar enlaces y/o palabras que se deban bloquear como viagra, cialis, etc. para evitar que se publiquen esas frases.

Ivanaruto · #5 (**permalink**) 28/08/2013, 14:14

Cita:

Iniciado por jokker

incorpora un antispammer(CAPTCHA) en tu web...

mira, este es el mas habitual que se suele usar: http://www.google.com/recaptcha

El re-captcha ya lo probe hace 1 semana,creyendo solucionarlo pero se crean automaticamente porque son inyecciones de robots los que atacan mi web al igual que esta sucediendo en muchos sitios..el problema es que cuando lo implemente el re-captcha las frases esas de spam seguian apareciendo...dejando invalido el anti-spam.Tambien intente usando el htpass para proteger directorios pero no sirve nada,buscando hoy encontre esto http://www.onsoni.com/2011/09/evitar-inyeccion-de-codigo-en.html

pero no tengo idea de como implementarlo en mi textarea, o si hay alguna posibilidad de que funcione.

Alguna otra idea? Gracias por las respuestas.

tquezada · #6 (**permalink**) 28/08/2013, 14:39

puedes usar esta función que sale en la pagina y me pareció buena

Código PHP:

Ver originalfunction limpiar_tags($tags){
$tags = strip_tags($tags);
$tags = stripslashes($tags);
$tags = htmlentities($tags);
return $tags;
}
limpiar_tags($variable);

en $variable recoges lo escrito en el los campos de tu formulario

Ivanaruto · #7 (**permalink**) 28/08/2013, 15:00

Disculpa mi ignorancia,pero como puedo implementarla?

Es un javascript? lo debo colocar en el textarea?

Gracias :)

tquezada · #8 (**permalink**) 28/08/2013, 15:22

Es una funcion de php
la pones en tu codigo luego
la variable donde recojas lo escrito en tu texbox la pones en

limpiar_tags($variable);

donde $variable es el nombre de tu variable del texbox

Ivanaruto · #9 (**permalink**) 28/08/2013, 18:07

Cita:

Iniciado por tquezada

Es una funcion de php
la pones en tu codigo luego
la variable donde recojas lo escrito en tu texbox la pones en

limpiar_tags($variable);

donde $variable es el nombre de tu variable del texbox

Mira mi formulario para frases es asi:

Código:

<form id="form1" name="form1" method="post" action="">
      <table width="100%" border="0" cellspacing="0" cellpadding="2">
        <tbody><tr>
          <td colspan="2">
           <textarea id="textareaNew" name="frase" cols="" rows="1" onfocus="javascript:ampliar()" onblur="javascript:achicar();" onkeyup="LimitInput(this.form.textareaNew,this.form.textcount,2000);" style="height: 41px; color: rgb(0, 0, 0);">Escribe tu frase aquí...</textarea>
</td>
        </tr>

        <tr>
          <td>
          <input name="token" type="hidden" id="token" value="">
          <input name="enviar" type="submit" class="btn btn-blue" value="Publicar" title="Enviar Frase" id="enviar"></td>
        </tr>
       
      </tbody></table>
    </form>

Donde debo implementarlo y la funcion? No entiendo mucho de funciones php...

Erick_MD9 · #10 (**permalink**) 28/08/2013, 18:28

Cita:

Iniciado por Ivanaruto

Donde debo implementarlo y la funcion? No entiendo mucho de funciones php...

Si no entienes lo que te dicen, como ayudarte?

A estudiar, o a pagarle a alguien para que lo haga por ti.

xSkArx · #11 (**permalink**) 28/08/2013, 19:39

pon el codigo completo del fichero, asi podriamos decirte donde ponerlo, pero puede ser algo asi

Código PHP:

Ver originalfunction limpiar_tags($tags){
$tags = strip_tags($tags);
$tags = stripslashes($tags);
$tags = htmlentities($tags);
return $tags;
}
limpiar_tags($_POST['frase']);

tquezada · #12 (**permalink**) 29/08/2013, 07:44

Como pone SkAr88 lo puedes poner dentro de los tags de php
<?php ?>
antes del evento submit

Ivanaruto · #13 (**permalink**) 31/08/2013, 11:40

Cita:

Iniciado por tquezada

Como pone SkAr88 lo puedes poner dentro de los tags de php
<?php ?>
antes del evento submit

Lo eh añadido de la siguiente manera

Pero aun asi siguen los ataques,lei un poco y ya entendi como son las funciones php

Código:

<input name="token" type="hidden" id="token" value="<?=$_SESSION['token']?>" />
<?php
function limpiar_tags($tags){
$tags = strip_tags($tags);
$tags = stripslashes($tags);
$tags = htmlentities($tags);
return $tags;
}
limpiar_tags($_POST['textareaNew']);
limpiar_tags($_POST['frase']);
?>
          <input name="enviar" type="submit" class="btn btn-blue" value="Publicar" title="Enviar Frase" id="enviar" /></td></div>

#14 (**permalink**) 31/08/2013, 11:50

Tienes que ponerlo en la pagina donde recibes los datos no en la pagina del formulario , de esa forma no sirve de nada.

formulario -> envia datos Post -> recibes datos -> validas y saneas los datos -> guardamos datos database

el codigo que te han dado entraria en validacion y saneamiento

Erick_MD9 · #15 (**permalink**) 31/08/2013, 11:54

Tienes un serio problema friend.

Y tu CAPTCHA??

No tienes absolutamente nada de validacion.

#16 (**permalink**) 31/08/2013, 11:58

El unico codigo que has dado es el del formulario , pero el que interesa ver es el de donde insertas los comentarios hay es donde estan tus problemas

aaaa vi que validas en la misma paginas ok , entonces debes de poner la funcion mas o menos deberia de ser asi

Código PHP:

Ver original<?php
 
// funcion
 
 
// validas datos 
 
 
// guardas data
 
?>
<form id="form1" name="form1" method="post" action="">
      <table width="100%" border="0" cellspacing="0" cellpadding="2">
        <tbody><tr>
          <td colspan="2">
           <textarea id="textareaNew" name="frase" cols="" rows="1" onfocus="javascript:ampliar()" onblur="javascript:achicar();" onkeyup="LimitInput(this.form.textareaNew,this.form.textcount,2000);" style="height: 41px; color: rgb(0, 0, 0);">Escribe tu frase aquí...</textarea>
</td>
        </tr>
 
        <tr>
          <td>
          <input name="token" type="hidden" id="token" value="">
          <input name="enviar" type="submit" class="btn btn-blue" value="Publicar" title="Enviar Frase" id="enviar"></td>
        </tr>
       
      </tbody></table>
    </form>

xSkArx · #17 (**permalink**) 31/08/2013, 13:18

Si el captcha y limpiar las variables ya no funciknan, lo que puedes hacer es, agreagar un login con la api de facebook o agregar un campo booleano en tu tabla con valor por defecto 0 y despues tu vas validando las frases con un panel de admin cambiando el valor del ultimo campo a 1

Ivanaruto · #18 (**permalink**) 31/08/2013, 16:00

Cita:

Iniciado por webankenovi

El unico codigo que has dado es el del formulario , pero el que interesa ver es el de donde insertas los comentarios hay es donde estan tus problemas

aaaa vi que validas en la misma paginas ok , entonces debes de poner la funcion mas o menos deberia de ser asi

Código PHP:

Ver original<?php
 
// funcion
 
 
// validas datos 
 
 
// guardas data
 
?>
<form id="form1" name="form1" method="post" action="">
      <table width="100%" border="0" cellspacing="0" cellpadding="2">
        <tbody><tr>
          <td colspan="2">
           <textarea id="textareaNew" name="frase" cols="" rows="1" onfocus="javascript:ampliar()" onblur="javascript:achicar();" onkeyup="LimitInput(this.form.textareaNew,this.form.textcount,2000);" style="height: 41px; color: rgb(0, 0, 0);">Escribe tu frase aquí...</textarea>
</td>
        </tr>
 
        <tr>
          <td>
          <input name="token" type="hidden" id="token" value="">
          <input name="enviar" type="submit" class="btn btn-blue" value="Publicar" title="Enviar Frase" id="enviar"></td>
        </tr>
       
      </tbody></table>
    </form>

GENIO! Muchisimas gracias por ahora han pasado 2 horas y no hay ataques,espero que ya este solucionado,si es asi mañana coloco solucionado.

Gracias a todos por el soporte.

#19 (**permalink**) 31/08/2013, 16:21

Pero una cosita esta funcion

function limpiar_tags($tags){
$tags = strip_tags($tags);
$tags = stripslashes($tags);
$tags = htmlentities($tags);
return $tags;
}

es mas para prevenir que inyecten codigo malicioso etiquetas javascript etc .. . retira etiquetas , convierte caracteres etc... pero no te salva de publicidad
si te insertan publicidad sin ningun tipo de codigo este se te guardara igualmente para eso tienes que poner un filtro antispam por ejemplo algo sencillo

Código PHP:

Ver originalfunction limpiar_tags($tags){
 
$tags = strip_tags($tags);
$tags = stripslashes($tags);
$tags = htmlentities($tags);
return $tags;
 
}
 
 
function antispam($var){
     
     
            $palabras = array(
         
            '1' => 'Gratis',
            '2' => 'Gane' ,
            '3' => 'dinero',
            '4' => 'Ahorre',
            '5' => 'ventas',
            '6' => 'Sexo',
            '7' => 'Promocion',
            '8' => 'cobro',
            '9' => 'Compre',
            '10' => 'llame',
            '11' => 'Viagra'
         
        );
         
        foreach ($palabras as $val )
        {
     
        if(stristr(strtolower($var), $val) !== false)
        {
            return true;
        }
         
        }
         
        return false;
         
        }
         
     
         // buscaremos en cualquier variable que queramos si existe alguna palabra de la lista
     
         // verificamos usando la funcion y limpiamos los datos $_POST, todos.
 
        $mensaje = limpiar_tags($_POST['mensaje']);
 
        $author= limpiar_tags($_POST['author']); 
     
        if( antispam($mensaje) !== true and antispam($author) !== true)
        {
 
        // el comentario paso el flitro procedemos a guardarlo en la bd con la variable $mensaje, $author etc...... no uses los datos $_POST 
 
        }
        else
        {
 
        // se detecto spam por lo cual no guardamos el mensaje
        // redireccionamos por ejemplo 
        // header('location:index.php');
 
        exit('comentario calificado como spam');
 
        }

segun vayas detectando anuncios que pasen el filtro , añades palabras de dicho anuncio a la lista y asi detectas mas spam aun.

espero que te sirva.

Ivanaruto · #20 (**permalink**) 01/09/2013, 22:00

Ahora si ya ha pasado bastante y nada,gracias por esta excelente funcion webankenovi,muchisimas gracias me ha servido mucho!

Solucionado.

tquezada · #21 (**permalink**) 02/09/2013, 08:56

Cita:

Iniciado por webankenovi

Pero una cosita esta funcion

function limpiar_tags($tags){
$tags = strip_tags($tags);
$tags = stripslashes($tags);
$tags = htmlentities($tags);
return $tags;
}

es mas para prevenir que inyecten codigo malicioso etiquetas javascript etc .. . retira etiquetas , convierte caracteres etc... pero no te salva de publicidad
si te insertan publicidad sin ningun tipo de codigo este se te guardara igualmente para eso tienes que poner un filtro antispam por ejemplo algo sencillo

Código PHP:

Ver originalfunction limpiar_tags($tags){
 
$tags = strip_tags($tags);
$tags = stripslashes($tags);
$tags = htmlentities($tags);
return $tags;
 
}
 
 
function antispam($var){
     
     
            $palabras = array(
         
            '1' => 'Gratis',
            '2' => 'Gane' ,
            '3' => 'dinero',
            '4' => 'Ahorre',
            '5' => 'ventas',
            '6' => 'Sexo',
            '7' => 'Promocion',
            '8' => 'cobro',
            '9' => 'Compre',
            '10' => 'llame',
            '11' => 'Viagra'
         
        );
         
        foreach ($palabras as $val )
        {
     
        if(stristr(strtolower($var), $val) !== false)
        {
            return true;
        }
         
        }
         
        return false;
         
        }
         
     
         // buscaremos en cualquier variable que queramos si existe alguna palabra de la lista
     
         // verificamos usando la funcion y limpiamos los datos $_POST, todos.
 
        $mensaje = limpiar_tags($_POST['mensaje']);
 
        $author= limpiar_tags($_POST['author']); 
     
        if( antispam($mensaje) !== true and antispam($author) !== true)
        {
 
        // el comentario paso el flitro procedemos a guardarlo en la bd con la variable $mensaje, $author etc...... no uses los datos $_POST 
 
        }
        else
        {
 
        // se detecto spam por lo cual no guardamos el mensaje
        // redireccionamos por ejemplo 
        // header('location:index.php');
 
        exit('comentario calificado como spam');
 
        }

segun vayas detectando anuncios que pasen el filtro , añades palabras de dicho anuncio a la lista y asi detectas mas spam aun.

espero que te sirva.

excelente la función +1
Pero revise tu pagina y creo que tu mismo deberías agregar palabras y en ingles ya que veo que la mayoría de la publicidad esta en ingles
Saludos y suerte

#22 (**permalink**) 02/09/2013, 13:23

Hola de nuevo solo decir que la funcion tiene un pequeño error es mejor ponerlo asi , que verifica si la funcion retorna false que seria lo correcto , antes verificaba que si no es igual a true entraba en el if pero no es correcto hacerlo de esa manera lo correcto es verificar que retorna false que eso si es lo correcto .

Código PHP:

Ver originalif( antispam($mensaje) === false and antispam($author) === false)
        {
 
        // el comentario paso el flitro procedemos a guardarlo en la bd con la variable $mensaje, $author etc...... no uses los datos $_POST
 
        }
        else
        {
 
        // se detecto spam por lo cual no guardamos el mensaje
        // redireccionamos por ejemplo
        // header('location:index.php');
 
        exit('comentario calificado como spam');
 
        }

lo que ha cambiado es que ahora se verifica si la funciona retorna false que quiere decir que no contiene ningun palabra de la lista y si esto es asi proseguimos, no es que hubiera un error de la otra manera tambien funciona perfecto , pero correctamente deberia de ser asi.

Tambien podria ponerse de esta otra manera

Código PHP:

Ver originalif( antispam($mensaje) !== false || antispam($author) !== false)
        {
 
        // se detecto spam por lo cual no guardamos el mensaje
        // redireccionamos por ejemplo
        // header('location:index.php');
 
        exit('comentario calificado como spam');
 
        }
 
         // proseguimos con el script

saludos y me alegro que lo hayas resuelto de momento.