[Ajutor Securitate] Script PHP Custom - Cineva imi injecteaza site-urile

[Hakuna Matata]

Sper ca am postat unde trebuie ...

Astazi am observat cineva imi injecteaza linkuri in sursa pe diferite site-uri, toate hostate pe un shered la hostgator.

Sunt convins ca acestia nu au spart serverul ci au gasit o vulnerabilitate la unul dintre ele dupa care a injectat in toate.

Problema: Cum imi pot da eu seama care-i slabiciunea scriptului pe unde a intrat si ce setari de siguranta trebuiesc luate.

Este prima oara cand ma confrunt cu asa ceva si nu stiu nimic despre acest lucru. Sunt anumite setari de script sau de server care trebuiesc facute? Aici ma refer la cele uzuale pe care oricine se pricepe la asa ceva le face atunci cand isi pune un site custo php online.

As aprecia daca mi-ar raspunde persoane avizate cu solutii concrete nu cu supozitii.

Multumesc anticipat pentru raspunsuri.

[sapioit]

Pai trebuie sa filtrezi fiecare informatie primita prin POST sau GET, deoarece poate contine un cod care sa altereze functionarea acelei linii de cod. Iar de la o simpla eroare in php, pe care o primeste, se poate ajunge la crearea unui fisier prin care sa aiba acces la site-ul tau...

[avram]

ai cumva parolele salvate intr-un client ftp ...filezilla?? ca ele sunt plain text si probabil esti virusata/virusat

[Hakuna Matata]

ai cumva parolele salvate intr-un client ftp ...filezilla?? ca ele sunt plain text si probabil esti virusata/virusat

Multumesc Avram!

NU, nu am parolele salvate intr-un client ftp ...filezilla??

Site-urile nu sunt virusate, baietii au gasit o vulnerabilitate la unul dintre ele, a intrat si mi le-a impodobit pe toate cu linkuri gen gucci mucii puci ...

AM ticket deschis la hostgator dat inca nu mi-au spus nimic in concret.

Eu banuies pe unde au intrat si vreau sa-mi confirmi. Pe unul din site-uri am o pagina gen numesite.com/pagina numai ca acea pagina am sters-o dar ea continua sa se afiseze fara continutul pe care il avea initial

In rest daca dau numesite.com/ajkisghdfjiag.html imi da 404

[Hakuna Matata]

Dezvolta te rog deoarece nu am cunostinta de php

La ce informatie te referi? Input de la useri gen contact, search sau adaugare de content?

Cum sa o filtrez, ce sa-i fac ...concret

Ce fel de erori sunt cele mai uzuale pe care se poate intra?

Te rog, daca ai amabilitatea, sa-mi explici ca la prosti ...

Pai trebuie sa filtrezi fiecare informatie primita prin POST sau GET, deoarece poate contine un cod care sa altereze functionarea acelei linii de cod. Iar de la o simpla eroare in php, pe care o primeste, se poate ajunge la crearea unui fisier prin care sa aiba acces la site-ul tau...

[Bogdan Ungureanu]

Dezvolta te rog deoarece nu am cunostinta de php

La ce informatie te referi? Input de la useri gen contact, search sau adaugare de content?

Cum sa o filtrez, ce sa-i fac ...concret

Ce fel de erori sunt cele mai uzuale pe care se poate intra?

Te rog, daca ai amabilitatea, sa-mi explici ca la prosti ...

Sunt câteva tipuri de vulnerabilități pe care scriptul tău poate să aibe, cum ar fi SQL injection și XSS. Pentru a rezolva aceste vulnerabilități, trebuie ca toate variabilele primite de la utilizator (POST, GET, COOKIE) să fie sanitizate cu funcții din php (bănuiesc că e vorba de php) - mysql_real_escape_string (SQL injection) și htmlspecialchars(). Dacă folosești un framework php (deși mă îndoiesc), e posibil să aibe clase care se ocupă de sanitizare (plus alte verificări) ce pot fi folosite in locul celor 2 funcții.

Sunt multe lucruri de zis despre acest domeniu, poți să vezi și threadul ăsta pe stackoverflow.

[Hakuna Matata]

Multumesc de raspuns, am sa ma uit pe acolo sa vad ce inteleg. Urmatoarele site-uri care urmeaza sa le fac vor fi in framework.

Sunt câteva tipuri de vulnerabilități pe care scriptul tău poate să aibe, cum ar fi SQL injection și XSS. Pentru a rezolva aceste vulnerabilități, trebuie ca toate variabilele primite de la utilizator (POST, GET, COOKIE) să fie sanitizate cu funcții din php (bănuiesc că e vorba de php) - mysql_real_escape_string (SQL injection) și htmlspecialchars(). Dacă folosești un framework php (deși mă îndoiesc), e posibil să aibe clase care se ocupă de sanitizare (plus alte verificări) ce pot fi folosite in locul celor 2 funcții.

Sunt multe lucruri de zis despre acest domeniu, poți să vezi și threadul ăsta pe stackoverflow.

[neo]

Dezvolta te rog deoarece nu am cunostinta de php

La ce informatie te referi? Input de la useri gen contact, search sau adaugare de content?

Cum sa o filtrez, ce sa-i fac ...concret

Ce fel de erori sunt cele mai uzuale pe care se poate intra?

Te rog, daca ai amabilitatea, sa-mi explici ca la prosti ...

Utilizează această funcție, dacă website-urile sunt custom și poți edita direct în codul sursă

Cod:

function verificaInput($input)
{
	$input = trim($input);
	if (get_magic_quotes_gpc()) {$input = stripslashes($input);	}
        $input = strtr($input,array_flip(get_html_translation_table(HTML_ENTITIES)));
        $input = strip_tags($input);
	$input = mysql_real_escape_string($input);
	return $input;
}

Pentru utilizare, exemple

Cod:

//dacă utilizezi jquery
$email = verificaInput($_REQUEST['email']); 

//dacă utilizezi post
$utilizator = verificaInput($_POST['utilizator']); 

//dacă utilizezi get
$adresa = verificaInput($_GET['adresa']);

[Hakuna Matata]

@neo - multumesc mult - eu nu stiu o boaba php ... dar am sa-i arat programatorului

[inSecure]

Hakuna,

Da-mi site-urile prin PM si ma uit eu putin.