Foros del Web » Programando para Internet » PHP »

hack php

Estas en el tema de hack php en el foro de PHP en Foros del Web. Hoy me han comentado que una accion comun para hacking de servidores reside en sobrecargar un fichero php de tu web, de tal forma que ...
  #1 (permalink)  
Antiguo 03/07/2010, 13:27
 
Fecha de Ingreso: junio-2009
Mensajes: 309
Antigüedad: 15 años, 5 meses
Puntos: 5
hack php

Hoy me han comentado que una accion comun para hacking de servidores reside en sobrecargar un fichero php de tu web, de tal forma que se ve el php, y ven la ruta del archivo donde tienes el fichero con el nombre de usuario y contraseña de la base de datos para conectar el mysql.
Esto al parecer lo consiguen haciendo miles de llamadas a la vez a esa pagina, hasta que en una de las veces el servidor no puede y directamente muestra como resultado el php sin procesar.

Esto lo repiten en el fichero de la conexion y ven tu user y pass. De tal forma que podrian entrar el mysql, borrar todo, o incluso si guardas en el fichero el user y pass de administracion de la web y es el mismo que tu ftp (por coincidencia) entrar a tu ftp.....


¿Hasta que punto todo esto es verdad?
  #2 (permalink)  
Antiguo 03/07/2010, 14:33
Avatar de abimaelrc
Colaborador
 
Fecha de Ingreso: mayo-2009
Ubicación: En el planeta de Puerto Rico
Mensajes: 14.734
Antigüedad: 15 años, 6 meses
Puntos: 1517
Respuesta: hack php

Lo que puedes hacer es guardar la información importante fuera del directorio donde se publica la página web de esa forma no hay posibilidad de que puedan copiar el código. También te recomiendo que no muestres los errores para que entonces no puedan ver información sobre donde falló y que código tiene.
__________________
Verifica antes de preguntar.
Los verdaderos amigos se hieren con la verdad, para no perderlos con la mentira. - Eugenio Maria de Hostos
  #3 (permalink)  
Antiguo 05/07/2010, 10:41
 
Fecha de Ingreso: junio-2009
Mensajes: 309
Antigüedad: 15 años, 5 meses
Puntos: 5
Respuesta: hack php

Bueno no me refiero a los errores, y lo que dices... aunque estén fuera de las carpetas da exactamente igual, como he comentado arriba, tienes que poner los includes de los ficheros, y cuando vean el codigo php veran la linea de include y verán donde está.... con lo que estamos en las mismas...
  #4 (permalink)  
Antiguo 05/07/2010, 11:45
Avatar de abimaelrc
Colaborador
 
Fecha de Ingreso: mayo-2009
Ubicación: En el planeta de Puerto Rico
Mensajes: 14.734
Antigüedad: 15 años, 6 meses
Puntos: 1517
Respuesta: hack php

No es así. Vamos a suponer que vieron la línea del include ¿cómo van a poder ver la información del include si no pueden acceder a ella ya que no está en el directorio que se usa para publicar información a la web?
__________________
Verifica antes de preguntar.
Los verdaderos amigos se hieren con la verdad, para no perderlos con la mentira. - Eugenio Maria de Hostos
  #5 (permalink)  
Antiguo 05/07/2010, 13:05
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 3 meses
Puntos: 2237
Respuesta: hack php

Lo mejor es proteger el servidor de ese tipo de ataques DDoS
__________________
- León, Guanajuato
- GV-Foto
  #6 (permalink)  
Antiguo 05/07/2010, 18:29
 
Fecha de Ingreso: junio-2009
Mensajes: 309
Antigüedad: 15 años, 5 meses
Puntos: 5
Respuesta: hack php

Abimaelrc ¿dices que la ruta que usas para hacer el include en el script realmente no existe?
Como puedes hacer un include de un fichero que realmente no está en esa carpeta? No creo que esto sea posible :S

La información del fichero que incluyes la ven haciendo el ataque que comentaba al abrir el mensaje y que al parecer segun responde Triby si que es posible hacer.
  #7 (permalink)  
Antiguo 05/07/2010, 18:32
 
Fecha de Ingreso: junio-2009
Mensajes: 309
Antigüedad: 15 años, 5 meses
Puntos: 5
Respuesta: hack php

Triby, ¿cual de los ataques DOS es el necesario para esta acción? He leido el articulo de wikipedia, pero realmente sobre esto no explica nada.

Cuales serian las medidas para proteger el servidor? o almenos donde puedo encontrar info sobre esto en concreto? o como se llama este tipo de accion para informarme mas?
  #8 (permalink)  
Antiguo 05/07/2010, 19:07
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 3 meses
Puntos: 2237
Respuesta: hack php

La mayoria de servidores actuales tienen instalados sistemas de seguridad para prevenir este tipo de ataques donde normalmente se bloquea durante cierto tiempo las direcciones IP que envian multiples y repetidas peticiones (mail, http, etc.), por lo que no deberias preocuparte demasiado, a menos que el servidor donde tienes tu sitio sea vulnerable.

En cuanto a lo que te sugeria Abimael, en tu servicio de hosting tienes una ruta raiz en el disco del servidor que, generalmente no es accesible por http, solo por ftp o lectura de directorios por script, de manera que lo que este un nivel por detras de la raiz de la web, no sera visible desde un navegador.

Ejemplo: Cuando te conectas por FTP es posible que la ruta de acceso sea (raiz del servicio):
/var/www/tusitio

Pero, la carpeta donde se almacenan los scripts, imagenes, paginas, etc. del sitio es (raiz de la web):
/var/www/tusitio/public_html
__________________
- León, Guanajuato
- GV-Foto
  #9 (permalink)  
Antiguo 05/07/2010, 20:05
 
Fecha de Ingreso: junio-2009
Mensajes: 309
Antigüedad: 15 años, 5 meses
Puntos: 5
Respuesta: hack php

La verdad es que no acabo de entender esta forma de dar seguridad que comentais.
Realmente los ficheros se guardan en vez de en
/var/www/tusitio/funciones/
en
/var/www/funciones/

??


No se si en mi servidor esto es posible... aunque supongo que si es una cosa comun si que podrá por que es un dedicado linux

Como se llama esto? para leerme un tutorial.

Saludos.
  #10 (permalink)  
Antiguo 06/07/2010, 11:02
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 3 meses
Puntos: 2237
Respuesta: hack php

A ver, cuando contratas hosting se te asigna espacio de disco, para tener acceso a ese espacio, te crean una carpeta donde se almacenara todo, estadisticas, correos, paginas, imagenes, etc.

En servidores Linux con Apache, por lo general la ruta para ese espacio es del tipo:
/var/www/dominio.com

Cuando ingresas por FTP esta es la carpeta a la que tienes acceso, donde podras ver el contenido (logicamente solo los nombres, no la ruta completa) que puede ser mas o menos:
/var/www/dominio.com/mail -- Aqui se almacenan todos los correos
/var/www/dominio.com/logs -- Aqui se guardan registros de acceso y errores
/var/www/dominio.com/htdocs -- Esta es la carpeta donde estan las paginas de tu sitio, en este nivel, es la unica visible para navegadores

Si tu creas la carpeta:
/var/www/dominio.com/seguridad

Ahi guardas tu config.php, despues, en tus scripts (que estan dentro de htdocs) incluyes el archivo, ya sea con ruta absoluta o relativa:

include '/var/www/dominio.com/seguridad/config.php
include '../seguridad/config.php';

Asi puedes guardar archivos criticos que son accesibles para tus scripts, pero no para cualquier usuario.
__________________
- León, Guanajuato
- GV-Foto
  #11 (permalink)  
Antiguo 07/07/2010, 13:49
 
Fecha de Ingreso: junio-2009
Mensajes: 309
Antigüedad: 15 años, 5 meses
Puntos: 5
Respuesta: hack php

Valla!!!! no tenia ni idea que esto fuese tecnicamente posible. Pensé que la navegación interna de scripts empezaba en public_html siempre, y que era imposible a acceder a las carpetas anteriores.

Tendré en cuenta esto para el proyecto actual.

En el localhost tb se podria seguir está regla, o es mejor simplemente cambiar las rutas de los uincludes cuando suba todo online?

Gracias!!
  #12 (permalink)  
Antiguo 07/07/2010, 14:51
Avatar de shakaran  
Fecha de Ingreso: agosto-2005
Ubicación: España - Ciudad Real
Mensajes: 374
Antigüedad: 19 años, 3 meses
Puntos: 7
Respuesta: hack php

No creo que puedan llegar a ver la contraseña nunca de la manera que dices haciendo peticiones para que muestre errores. Como mucho verían alguna ruta, y el usuario de mysql, pero nunca la contraseña.

Lo que puedes hacer es poner las funciones error_reporting(0) y display_errors(0) y te evitas esos problemas. (Quitalo cuando programes)
__________________
Quijost Backend Engineer - www.quijost.com - Hosting rápido, eficiente y profesional
Blog: www.shakaran.net
  #13 (permalink)  
Antiguo 07/07/2010, 14:57
 
Fecha de Ingreso: mayo-2010
Mensajes: 104
Antigüedad: 14 años, 6 meses
Puntos: 0
Respuesta: hack php

Dudo mucho que apache permita la visualización del código...

El servidor para poder devolverte lo que está entre <php ?> tiene que procesarlo, sino no lo puede mostrar... es lo que me parece... por parte del servidor apache...
  #14 (permalink)  
Antiguo 07/07/2010, 17:29
 
Fecha de Ingreso: septiembre-2009
Ubicación: Neuquén
Mensajes: 142
Antigüedad: 15 años, 2 meses
Puntos: 12
Respuesta: hack php

Yo no creo que sea posible, pero una vez me paso, que buscando imagenes en Google, me mostro por al menos 0.8 segundos, un codigo larguísimo... A pesar de que Google no está programado en PHP, según lo que me informaron, pero fue por tan poco tiempo que no tuve tiempo de tomar una Screenshot para ver si era código JavaScript... Aunque igual no debería ser mostrado :S Talvez aún halla inseguridad en los lenguajes...
  #15 (permalink)  
Antiguo 07/07/2010, 17:34
Avatar de shakaran  
Fecha de Ingreso: agosto-2005
Ubicación: España - Ciudad Real
Mensajes: 374
Antigüedad: 19 años, 3 meses
Puntos: 7
Respuesta: hack php

Yo una vez... me digo un amigo de un amigo... señores no creemos mitos, que luego leen esto usuarios que lleguen de google o poco experimentados y les entra un tembleque por que su big code puede ser vulnerado.

No es posible que apache siendo "doseado" con un DOS o DDOS te muestre el código php. Apache cascaria antes por no tener memoria que mostrar una salida medio buferizadas en un script compilado a medias, aun asi el código seria binario o una chorrillera de bits sin sentido para un humano.

Pero bueno si quieren seguir creyendo en big foots, cada cual con sus creencias ;)
__________________
Quijost Backend Engineer - www.quijost.com - Hosting rápido, eficiente y profesional
Blog: www.shakaran.net
  #16 (permalink)  
Antiguo 07/07/2010, 23:04
Avatar de Nemutagk
Colaborador
 
Fecha de Ingreso: marzo-2004
Ubicación: México
Mensajes: 2.633
Antigüedad: 20 años, 8 meses
Puntos: 406
Respuesta: hack php

Cuando un servidor es atacado vía DDoS lo que sucede es tal cual el nombre, se crea una negación de servicio, lo cual es que el servidor web no puede procesar ni mucho menos responder las peticiones que están llegando, cuando el ataque llega a su punto máximo el servidor de plano no responde y el navegador envía un error de página no disponible o error de conexión, así que, olvida que tus archivos PHP se muestren sin procesar, ya que el servidor ni si quiera podría procesar la solicitud, así que mucho menos responder y enviar el archivo sin procesar
__________________
Listo?, tendría que tener 60 puntos menos de IQ para considerarme listo!!!
-- Sheldon Cooper
http://twitter.com/nemutagk
PD: No contestaré temas vía mensaje personal =)
  #17 (permalink)  
Antiguo 12/07/2010, 18:12
 
Fecha de Ingreso: junio-2009
Mensajes: 309
Antigüedad: 15 años, 5 meses
Puntos: 5
Respuesta: hack php

Valla! me alegra saber que esto no es posible segun vuestra experiencia. SIempre he tenido esta duda sobre la posibilidad de atacar un script o snifearlo.

Es cierto que la forma logica de pensar es que si el servidor no puede procesar un script ni siquiera podrá mostrar nada por pantalla por que el server está totalmente bloqueado, casi OFF, y ni tan siquiera lanzará el codigo como si de un txt se tratase o un html sin ejecutar el codigo php..... Pero claro, tenia que confirmarlo.

De todas formas si alguien cree que esto es posible que postee.
  #18 (permalink)  
Antiguo 12/07/2010, 18:38
 
Fecha de Ingreso: septiembre-2009
Mensajes: 230
Antigüedad: 15 años, 2 meses
Puntos: 2
Respuesta: hack php

Si no, proteges todas las carpetas con un .htpdocs y listo, bloqueas las entradas de ucalqueri manera y no te tendrian que poder hacer algo
  #19 (permalink)  
Antiguo 12/07/2010, 19:42
Avatar de Nemutagk
Colaborador
 
Fecha de Ingreso: marzo-2004
Ubicación: México
Mensajes: 2.633
Antigüedad: 20 años, 8 meses
Puntos: 406
Respuesta: hack php

mmm creo que en estos casos eso no tiene nada de utilidad, lo que normalmente se hace es filtrar las peticiones y denegar el acceso a las IP's atacantes, aunque en un ataque a gran escala es muy difícil detener un ataque de este tipo por completo, las empresas de hosting normalmente lo que hacen aparte de filtrar peticiones es distribuirlas y así intentar no saturar los servidores para que en cierta medida los servidores sigan trabajando y respondiendo peticiones reales sin que estos mueran en el intento >.<
__________________
Listo?, tendría que tener 60 puntos menos de IQ para considerarme listo!!!
-- Sheldon Cooper
http://twitter.com/nemutagk
PD: No contestaré temas vía mensaje personal =)
  #20 (permalink)  
Antiguo 12/07/2010, 20:07
 
Fecha de Ingreso: junio-2010
Ubicación: Venezuela, Zulia
Mensajes: 686
Antigüedad: 14 años, 5 meses
Puntos: 55
Respuesta: hack php

bueno yo puedo decir que probe lo que comentaron aqui y no me funciono

cree una carpeta justo donde esta el htdocs

la llame include

entonces tengo un archivo que llama un include en la siguiente ruta htdocs/alumnos/pagina.php

dentro de esta pagina llamo el include asi

Código PHP:
<? include('../../include/conexion.php');  ?>
y me da un error como que no encuentra el archivo a directorio, alguien sabe porque pasa esto
  #21 (permalink)  
Antiguo 13/07/2010, 02:21
Avatar de abimaelrc
Colaborador
 
Fecha de Ingreso: mayo-2009
Ubicación: En el planeta de Puerto Rico
Mensajes: 14.734
Antigüedad: 15 años, 6 meses
Puntos: 1517
Respuesta: hack php

¿Cómo creaste los directorios? Visualiza lo que está haciendo el código que indicaste. Se va dos directorios anteriores y desde ahí llama un directorio llamado include y un archivo llamado conexion.php.
__________________
Verifica antes de preguntar.
Los verdaderos amigos se hieren con la verdad, para no perderlos con la mentira. - Eugenio Maria de Hostos
  #22 (permalink)  
Antiguo 20/07/2010, 03:53
 
Fecha de Ingreso: junio-2009
Mensajes: 309
Antigüedad: 15 años, 5 meses
Puntos: 5
Respuesta: hack php

Valla! claro!! esta otra opcion no se me habia ocurrido, crear un .htaccess con redirecciones en los ficheros susceptibles.

Bueno vosotros hablais de un httdocs que será casi lo mismo supongo...

Johhan creo que lo haces mal. Imaginate que tienes en el directorio inicial (el public_html) la carpeta includes y la carpeta alumnos. Pues en la carpeta includes es donde hay que colocar el fichero de conexion y el httdocs que vosotros hablais, en mi caso el htaccess. Luego en el fichero alumnos/pagina.php tienes que poner el include("../includes/conexion.php").

De esta forma en el htdocs que está en la carpeta de includes hay que decir que ahi no tengan acceso.

Yo normalmente pongo el htaccess en el directorio principal directamente (en el public_html) pero bueno esto es a gustos, ya que desde el principal puedes gestionar todos lis directorios al completo en sus redirecciones y demas cosas que se le quieran poner.

Buena aportacion el tema del htaccess!

Entre eso y los includes en directorios inferiores al public_html las opciones para protegerse de algo (que podria no pasar al parecer xD) mejoran!
  #23 (permalink)  
Antiguo 20/07/2010, 06:07
 
Fecha de Ingreso: junio-2010
Ubicación: Venezuela, Zulia
Mensajes: 686
Antigüedad: 14 años, 5 meses
Puntos: 55
Respuesta: hack php

Cita:
Iniciado por leif_sk8er Ver Mensaje
Valla! claro!! esta otra opcion no se me habia ocurrido, crear un .htaccess con redirecciones en los ficheros susceptibles.

Bueno vosotros hablais de un httdocs que será casi lo mismo supongo...

Johhan creo que lo haces mal. Imaginate que tienes en el directorio inicial (el public_html) la carpeta includes y la carpeta alumnos. Pues en la carpeta includes es donde hay que colocar el fichero de conexion y el httdocs que vosotros hablais, en mi caso el htaccess. Luego en el fichero alumnos/pagina.php tienes que poner el include("../includes/conexion.php").

De esta forma en el htdocs que está en la carpeta de includes hay que decir que ahi no tengan acceso.

Yo normalmente pongo el htaccess en el directorio principal directamente (en el public_html) pero bueno esto es a gustos, ya que desde el principal puedes gestionar todos lis directorios al completo en sus redirecciones y demas cosas que se le quieran poner.

Buena aportacion el tema del htaccess!

Entre eso y los includes en directorios inferiores al public_html las opciones para protegerse de algo (que podria no pasar al parecer xD) mejoran!

lo que pasa que lo que en tu servidor se llama public_html en el mio se llama htdocs

entonces segun mi servidor yo debo subir todos mis archivos a htdocs para que se puedan visualizar, yo intentando hacer lo que aqui dijeron realizace lo siguiente:



y me da el error que mencione anteriormente
  #24 (permalink)  
Antiguo 25/07/2010, 14:39
 
Fecha de Ingreso: junio-2009
Mensajes: 309
Antigüedad: 15 años, 5 meses
Puntos: 5
Respuesta: hack php

pues en el tema de los subniveles para el include parece entonces que lo haces bien, que lo haces como explicaban que se debia hacer.

El htaccess no entiendo por ke lo pusistes junto a la carpeta htdocs si supuestamente via navegador web ahi es imposible acceder.
  #25 (permalink)  
Antiguo 25/07/2010, 17:02
 
Fecha de Ingreso: junio-2010
Ubicación: Venezuela, Zulia
Mensajes: 686
Antigüedad: 14 años, 5 meses
Puntos: 55
Respuesta: hack php

ese .htaccess esta alli por defecto, ya que el servidor es gratuito, y los dueños lo tienen alli

Etiquetas: hacks
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 13:27.