No estás registrado (Registrarse)
Vanilla 1.1.10 es un producto de Lussumo. Para más información: Documentación, Soporte.
-
-
CommentAuthorHamabielle
- CommentTimeAug 6th 2008
Buenas a tod@s,
Pues ese es mi problema, que hay alguien que no tiene otra cosa que hacer en su miserable vida que ponerse a petar mi base de datos una y otra vez. Cambié el codigo php para darse de alta y para añadir información, y parece que le ha costado un poco más pero sigue entrando y me borra la información y cambia cosas. En fin un asco.
Alguien tiene alguna idea de qué hacer con esto?
Gracias a tod@s por adelantado.Cria dominios... -
-
es probable que tengas que actualizar el software php. Cuál es la web?
Saludos,Blog de Finanzas Personales -
Que scripts usas..? podria ser si es un script que no has desarrollado tu, sino bajado de internet, que el script este enviando la clave por email a alguien.. que podria ser el desarrollador del script (en caso que sea un warezcillo).
Revisate el script busca por algun comando mail() a ver. -
-
CommentAuthorHamabielle
- CommentTimeAug 6th 2008
La web es http://www.theindex.es
La verdad es que no me voy a hacer rica con ella,pero es mi primer proyecto en php y bbdd y le he dedicado muchas horas como para que alguien sin faena esté agobiando...
Solo tiene dos scripts que son de desactivacion del boton derecho y la seleccion. No tiene mas.
El software php es el que tiene el server, ni idea....Cria dominios... -
-
-
CommentAuthorHamabielle
- CommentTimeAug 6th 2008
Vaya consuelo...
Cria dominios...
-
-
-
CommentAuthorHispaOnline
- CommentTimeAug 6th 2008
Mira, si me das acceso a tu cuenta de hosting yo te lo reviso. Soy experto en seguridad en PHP.
-
-
Que sea leve Hama
HispaOnline al rescate !Shut Up !! Shut the hell up ! There's an Artist on stage !! UuUhh, yakalkiu kutulu, yakatomi pakatu, yakatoshi palaka, miu miuli miu yakatoshi kalaka ! -
-
CommentAuthorHispaOnline
- CommentTimeAug 7th 2008
-
-
Consejos:
Que alguien te ayude a depurar el codigo
Denuncialo a la policia de delitos informaticosDominiosOn -
Hola Hamabielle,
En los ultimos años trabaje en Gobierno en el sector de seguridad informatica y dejame decirte que esto es algo ya muy usual por los lammers ("aprendices de hackers") que buscan sitios para poner a prueba sus seudoconocimientos.
El problema esta en estas dos paginas http://www.theindex.es/usuarios.php y en esta otra http://www.theindex.es/recupPwdForm.php
En ambos casos manejas formularios post los cuales seguramente consultan a tu base de datos y son vulnerables a inyeccion de codigo mysql. Es lo mismo que les ha estado sucediendo a otros compañeros en el foro con sus paginas de juegos. Los ataques consisten en insertar comandos mysql maliciosos los cuales pueden revelar informacion importante acerca de tu base de datos, como contraseñas, nombre de administradores, etc. (no te pongo ejemplos para evitar que alguno intente hacerlos).
Estos ataques suelen ser muy faciles de realizar y ultimamente hay comunidades turcas o arabes que se dedican a scanear los buscadores y encontrar paginas con estas vulnerabilidades y asi poder experimentar.
La solucion:
Seguramente el script de tu pagina esta sacado de algun ejemplo en alguna pagina o en algun libro, generalmente esos ejemplos son muy simples y/o sencillos y aun que resultan funcionales, estan hechos solo con caracter educativo, por lo que tienen validaciones de error muy basicas y es lo que permite a los seudohackers encontrar las vulnerabilidades. Te recomiendo que si piensas seguir usandolo, se revise el codigo y se corrija o preferentemente instales un CMS conocido y seguro como son postnuke, mambo o joomla, los cuales fueron escritos y testeados por cientos de programadores y constantemente van corrigiendo errores o vulnerabilidades haciendolos cada dia mas seguros, todos los que te he puesto son totalmente gratuitos y faciles de instalar.
Recomendacion:
Primero que nada cambia tus contraseñas.
Usa passwords diferentes dentro de tus sitios, es decir, jamas uses el mismo password en tu admin del programa php y en tu ftp, cpanel, cuenta de hosting, correos, etc... por si descubren el primero, no tengan acceso a las demas cosas.
En lo que pueda ayudarte cuenta conmigo.
Saludos
Hola!
-
f-x no es mi tema pero gracias!
Considero una respuesta útil, como desarrollador seguiré este tema muy interesado. -
-
CommentAuthorHamabielle
- CommentTimeAug 7th 2008
Muchísimas gracias a todos!!!
La verdad que ayer me estuve hasta las 3 de la mañana restaurando la BBDD y revisando justamente esas dos webs. Al principio inyectaba código pero modifiqué la comprobación de símbolos al registrarse, entrar y recuperar el pwd. Pero aún así, el tío entra y hace de la suyas, encima para colmo me conoce porque va dejandome "mensajitos"....
Despues de revisarlas una y otra vez, no entiendo como narices entra, yo he intentado piratearme y no lo consigo.Cria dominios...
-
-
Posted By: Hamabielleencima para colmo me conoce porque va dejandome "mensajitos"...
¿En donde te deja los mensajitos, en tu base de datos?
Mira independientemente del problema, miralo de esta forma, te esta ayudando a mejorar
Si te ha gustado el mundo de la programacion, este tipo de situaciones te ayudaran a ser cada vez mejor. Asi que no te desanimes y a demostrale que puedes 
Por lo que dices seguiras usando el codigo actual, asi que ahi te van otras recomendaciones:
Comprueba siempre en tus formularios, que no se pueda intruducir sentencias SQL ("DROP", "SELECT", "DELETE", "INSERT", "OR", etc...) y valida que no se puedan usar caracteres especiales como: "$", "%", "/", etc.
Dale a tus usuarios el mínimo de permisos. No manejes nombres habituales tanto en tu carpeta de aministracion (generalmente dominio.com/admin) ni en tu usuario (generalmente Admin o Administrador), preferentemente maneja cualquier otro nombre.
No manejes el usuario "root", "sa" o "system" en cualquier SQL que manejes.
Maneja tu base de datos en una ubicacion diferente a localhost.
Utiliza procedimientos almacenados para que los usuarios no tengan acceso a las tablas y maneja parámetros en vez concatenaciones.
Las comprobaciones (conocidas como condiciones) son vitales para evitar estos ataques, verifica que los tipos de datos sean los que realmente deba intruducir el usuario. Si es numerico asi tendra que ser, si es boleano, cadena... etc.
Trata de usar una classe para accesar a tus bases de datos, es decir evita usar el clasico: mysql_connect(host,usuario,password) dentro de tu codigo. (Te dejo un link a una classe reconocida para conexion a bases de datos sql ADOdb Lite Version 1.42)
Y lo mas importante, (que se que no es tu caso) pero va para todos, EVITEN USAR SCRIPTS Y/O PLANTILLAS PIRATAS. Todos esos scripts llevan doble intencion, robar datos, dominios y hasta dinero.
SaludosHola! -
Posted By: MrDominiof-x no es mi tema pero gracias!
Considero una respuesta útil, como desarrollador seguiré este tema muy interesado.
Gracias, lo poco que se, siempre sera un placer aportarlo.
SaludosHola! -
Muy buena información BRO
Oye pero si te conoce, me atrevo a sonar tonto pero si tiene algún tipo de Trojano ejecutandose en tu equipo que envia las capturas de tu teclado? podría ser la opcion....
En su tiempo hubo troyanos muy poderosos, me alejé de ese mundo hace algunos años pero no dudo que aún existen nuevas versiones poderosas de Troyanos y Keylogers o como se escribaAguilar.ws - SucompaÑÍa.com - Naucalpan.ORG
-
-
CommentAuthorHispaOnline
- CommentTimeAug 7th 2008 editado
.
-
-
Un recordatorio: por favor, no se pasen a través del foro ningún dato comprometido.:: el roce hace el dominio ::
-
-
CommentAuthorHispaOnline
- CommentTimeAug 7th 2008
Cierto, Corso. Voy a pedirle a dicho compañero que edite su susurro.
-
-
Sobre el tema de php y mysql, yo hasta ahora en mis webs hago la conexion a mano y todas las consultas a mano. ¿Donde puede existir el problema ahí?
No tengo formularios ni nada donde haya acceso de la gente a la BD, el unico problema no sería que entraran a mi ftp y vieran ahí las claves? que por cierto, necesitarian para acceder a él. -
-
CommentAuthorHispaOnline
- CommentTimeAug 7th 2008
Este fragmento de código puede ayudar mucho en muchos casos. Simplemente sanitiza la variable de entrada para que sólo contenga carácteres internacionales y números.$VARIABLE_SANITIZADA = preg_replace('/[^a-zA-Z0-9_]/', '', $VARIABLE_ENTRADA);
Para usuarios y contraseñas va de lujo.
-
-
Posted By: paguilarOye pero si te conoce, me atrevo a sonar tonto pero si tiene algún tipo de Trojano ejecutandose en tu equipo que envia las capturas de tu teclado? podría ser la opcion....
Bueno eso ya seria otra historia
Aun que para ser honesto bro, la mayoria de los antivirus originales, detectan a la mayoria de troyanos, keyloggers, etc... En ese caso la recomendacion seria comprar un antivirus con licencia original, bajar actualizaciones y escanear la pc por completo y obviamente evitar abrir o bajar cualquier .jpg, .exe, .pps y etc... que no sea de una fuente fiable.
P.d. Quien no uso el Nuke para desconectar en chats en la epoca de win95 o el netbus para entrar a espiar a la cibernovia Hola!
-
-
CommentAuthorHispaOnline
- CommentTimeAug 7th 2008
Posted By: MrDominioSobre el tema de php y mysql, yo hasta ahora en mis webs hago la conexion a mano y todas las consultas a mano. ¿Donde puede existir el problema ahí?
No tengo formularios ni nada donde haya acceso de la gente a la BD, el unico problema no sería que entraran a mi ftp y vieran ahí las claves? que por cierto, necesitarian para acceder a él.
¿No usas los valores de $_GET['XXX'] en ningún momento?
-
-
-
CommentAuthorHamabielle
- CommentTimeAug 7th 2008 editado
Posted By: f-x
Posted By: Hamabielleencima para colmo me conoce porque va dejandome "mensajitos"...
¿En donde te deja los mensajitos, en tu base de datos?
-Sí, me pone mensajes en la base de datos y en enlaces basura.
-Los usuarios ya tienen el mínimo de permisos: pueden añadir enlace, modificarlo y borrarlo.
-"Maneja tu base de datos en una ubicacion diferente a localhost", a qué te refieres exactamente?
-"Utiliza procedimientos almacenados para que los usuarios no tengan acceso a las tablas y maneja parámetros en vez concatenaciones", los usuarios (en principio) no tienen acceso directo a tablas pero lo revisaré.
-Las comprobaciones de tipo de variables no se hasta qué punto pueden ser importantes en este caso concreto, ya que si añaden un enlace este puede llevar numeros, o lo puede llevar tambien su login, su pwd o su correo...
De todas formas iré revisandolo todo y si encuentro algo nuevo os lo pondré aquí.
Muchas gracias !!!Cria dominios... -
-
Posted By: MrDominioSobre el tema de php y mysql, yo hasta ahora en mis webs hago la conexion a mano y todas las consultas a mano. ¿Donde puede existir el problema ahí?
No tienen nada de malo, pero obviamente es mas facil para un lammer intentar accesar, ademas usar un classe tiene sus ventajas, como poder usar otro tipo de base de datos (postgree, oracle, etc...) sin tener que cambiar tus conexiones a mano, ademas de que escribes menos codigo al solo tener que llamar a la clase, de alguna manera es mas correctoPosted By: MrDominioNo tengo formularios ni nada donde haya acceso de la gente a la BD, el unico problema no sería que entraran a mi ftp y vieran ahí las claves? que por cierto, necesitarian para acceder a él.
¡Ojo!... para hacer una inyeccion de codigo no necesariamente tiene que ser un formulario... tambien puede ser un link usando metodo get, ejemplo:
http://www.dominio.com/miscript.php?variable1=dato&variable2=INYECCION_DE_CODIGOHola!
-
Posted By: f-x
P.d. Quien no use el Nuke para desconectar en chats en la epoca de win95
HAHAHA yo usaba SUB-Seven era muy bueno pa eso del espionaje, además me sirvió para controlar algunas PC's de manera muy buena, esa era diversion, "Besa el teclado!!!" con la pantalla Mátrix
"HAMABIELLE ojalá tengas suerte y todo salga mejor, bueno tu proyecto, no descartes lo que te comenté por más absurdo que suene.":komete4:Aguilar.ws - SucompaÑÍa.com - Naucalpan.ORG -
Si que uso algun get en algunas páginas, en otras con el mod_rewrite está oculto todo.
Para comprobar si tengo problemas de sql injection, si en algún "&variable2=INYECCION_DE_CODIGO" pongo $nombre=pepito;delete * from users
Eso debería fastidiar la DB, no? -
Posted By: Hamabielle-"Maneja tu base de datos en una ubicacion diferente a localhost", a qué te refieres exactamente?
A lo que me referia es que en vez de usar, ejemplo:
$database_host = 'localhost';
Usar mejor:
$database_host = 'mysql5.dominio.com';
Pero ese es un punto dificil de realizar, si estas hospedada en un hosting compartido, ya que "localhost" siempre sera el nombre por default y solo podrias cambiarlo como root del servidor.
Pero por lo menos asegurate que tu provedor de hosting tenga instaladas las protecciones minimas de seguridad.
SuerteHola!
-
-
CommentAuthorHispaOnline
- CommentTimeAug 7th 2008
Posted By: MrDominioSi que uso algun get en algunas páginas, en otras con el mod_rewrite está oculto todo.
Para comprobar si tengo problemas de sql injection, si en algún "&variable2=INYECCION_DE_CODIGO" pongo $nombre=pepito;delete * from users
Eso debería fastidiar la DB, no?
No tiene por qué. Depende de cómo realices las queries.DATOREAL"; CODIGOINJECT;
o algo similar, con algunos cambios (no los voy a publicar) puede hacer cosas.
-
-
Posted By: MrDominioSi que uso algun get en algunas páginas, en otras con el mod_rewrite está oculto todo.
Para comprobar si tengo problemas de sql injection, si en algún "&variable2=INYECCION_DE_CODIGO" pongo $nombre=pepito;delete * from users
Eso debería fastidiar la DB, no?
Para hacer la inyeccion de codigo generalmente se usa codigo de escape (%20 en lugar de espacios, etc...). Por lo que el codigo que colocas simplemente marcara error.
Mira bro, si tu codigo es 100% hecho por ti, dificilmente un lammer intentara hackearte, ¿por que?... por que un lammer siempre buscara el modo "facil" de hacer las cosas, y por lo mismo generalmente van a buscar codigos conocidos al cual puedan tener acceso para ver como esta programado (como en el caso de los compañeros y sus paginas de juegos, que son scripts que cualquiera puede leerlos), sin embargo una manera de verificar tu codigo es comprando un programa que te haga esa funcion (buscar vulnerabilidades), en el mercado hay varios disponibles, te dejo un link: PHP Security - esa es una version gratuita, nunca he tenido necesidad de usarlo, pero he visto la publicidad y ofrecen garantias.
SaludosHola!
1 a 29 de 29