Consulta sobre seguridad en mi web.

josico · #1 (**permalink**) 11/08/2011, 04:15

Hola a todos.

Ayer consiguieron cargar un archivo js en mi FTP. Mi antivirus lo detecto y pude eliminarlo. Lo que no se es como consiguieron subirlo.

¿Se pueden cargar archivos maliciosos sin los datos del FTP?

Uso un CMS que en teoría impide transferencias y no es posible transferirlo. Pero no se si se abran colado en algún agujero de seguridad o si es otra cosa.

moeb · #2 (**permalink**) 11/08/2011, 04:51

Actualiza el CMS.

Cambia todas las claves del FTP.

Si tienes acceso, actualiza el servidor web y el servidor FTP.

Verifica que no tienes abierto ningun otro servicio...

Batan · #3 (**permalink**) 11/08/2011, 04:52

Por precausion leete los articulos que hay por internet.

http://dattatecayuda.com/mi-sitio-we...soluciono/7763

josico · #4 (**permalink**) 11/08/2011, 09:45

Pues me han colado otro archivo.

Estoy como me has recomendado actualizando el CMS. Pero aun asi estoy preocupado por otra página que he programado yo. Es más simple que un CMS y no tiene transferencia de ningún tipo y mi temor es que también sea atacada de alguna manera.

Aun no soy muy bueno programando por eso hago esta pregunta aun que os pueda parecer muy básica.

moeb · #5 (**permalink**) 11/08/2011, 09:54

¿Tienes acceso a lo slogs del servidor? (ftp, web, CMS, etc...) Eso podría darte una idea de por dónde te están colando los archivos...

No basta con actualizar el CMS. CAMBIA YA todas las contraseñas (incluidas las de gestión del CMS, el FTP, y cualquier otra contraseña que tengas)... Y si tienes acceso al servidor MATA cualquier conexión activa.

Cita:

Estoy como me has recomendado actualizando el CMS. Pero aun asi estoy preocupado por otra página que he programado yo. Es más simple que un CMS y no tiene transferencia de ningún tipo y mi temor es que también sea atacada de alguna manera.

¿Tu página pide información al usuario? Es decir... ¿Espera que alguien escriba algo en ella?... Es decir... ¿Es UN FORMULARIO de algún tipo? ¿Acepta parámetros? ¿Interactúa con una Base de Datos?

Si NO ES ASÍ, es decir, si es una página "estática" HTML, no debería tener problema... El problema suele estar en la entrada de usuario, que existen multiples formas de intentar explotarla, si no chequeas bien dichas entradas (eliminar caracteres especiales que puedan llevar a cerrar una consulta y volver a abrirla, o a ejecutar un comando de sistema, o a reenviar correo indeseado, etc, etc, etc...). Filtra TODAS las posibles entradas de usuario ANTES de hacer lo que tuvieses pensado hacer con ellas.

josico · #6 (**permalink**) 11/08/2011, 10:12

Pues en el dominio atacado es un alojamiento compartido así que tendré que avisar al hospedador de que sufrí un ataque.

En mi otra Web la tengo en mi propio servidor. Uso php, mysql, html, css y js. Pero tengo desactivado todo el código html ya que lo filtro con esta función

Código PHP:

Ver originalfunction f2($entra_html_off)
{
$traduce_html_off=array( '<br />' => '<br />' , '<code>' => '<code>' , '</code>' => '</code>' , '<' => '&lt;' , '>' => '&gt;');
$sale_html_off=strtr( $entra_html_off , $traduce_html_off );
return $sale_html_off;
}

Todos los comentarios son filtrados y hace que si insertas cualquier etiqueta que no sea br o code se imprima en vez de ejecutarse. Pero no se si con filtrar contenido a la base de datos será suficiente.

moeb · #7 (**permalink**) 11/08/2011, 10:57

No. No basta. Depende lo que hagas con la información...

Por ejemplo. Si pillas un campo de nombre de usuario para consultar la tabla de usuarios, te la pueden meter doblada NO con código HTML, sino cerrando la consulta y abriendo otra:

pepe'; select * from latablaquesea blablabla

Y hay decenas mas de ejemplos... Siempre debes controlar EXACTAMENTE que caracteres deseas permitir, y no permitir ni uno más.

Tambien puedes usar un programa de rastreo de bugs en paginas para probar cada una de tus paginas...

Lo dicho. Respecto al problema actual... Cambia YA todas las contraseñas. Y revisa tu PC no vaya a estar jodido...