FAQ
Buenos días:





Quisiera saber si algunos de uds ha sufrido algún ataque a sus sitios el fin
de semana recién pasada, en archivos PHP y JS





Saludos



julio

Search Discussions

  • Jairo Sánchez at Mar 16, 2010 at 3:02 pm
    Hola a todos,

    2010/3/16 Julio Herrera - Chilered.com <jherrera@chilered.com>:
    Buenos días:





    Quisiera saber si algunos de uds ha sufrido algún ataque a sus sitios el fin
    de semana recién pasada, en archivos PHP y JS
    Un poco confusa tu pregunta para mi,
    si tienes un ataque sobre PHP o JS, lo mas probable es que sea por
    algún descuido en la programación, sin embargo, los ataques sobre php
    son a las sesiones o la forma en que se transmiten estos datos de una
    página a otra y cosas por el estilo, así que esto es muy personal a
    cada sitio, para esto revisa el log del apache donde puedes revisar
    las peticiones a tu sitio y los errores que entrega el Apache y el
    PHP. en cuanto al JS es muy difícil ya que esto es del lado del
    cliente.
    lo otro son los ataques a los servidores web, apache o IIS, y para
    estos si no estas al días con las actualizaciones, si te pueden dar
    duro, revisa los logs del servidor para ver que accessos o algún
    comportamiento inusual en horas donde no has estado conectado.
    y por último están los ataques al los SO, para esto están los papeles
    de Hardening del SO, para esto seria lo mismo que de antes, revisar
    los logs filtrar por horas no normales a las tuyas y revisar que han
    hecho
    Con respecto a que halla sido el fin de semana, es muy probable por
    que todos los días la bitácoras del snord de nuestro sitio me dice que
    nos hacen entre de 2 a 15 escaneos de puertos. así que si nos
    descuidamos nos revientan, y los fines de semana hay mas gente
    desocupada con acesso y ganas de joder a otros, por lo que esos días
    los ataques se multiplican.



    Saludos



    julio
    Suerte con tu sitio y siempre ten a mano tu copia de seguridad, habrá
    un lunes en que la amaras.

    JSLL
  • Julio Herrera - Chilered.com at Mar 16, 2010 at 3:40 pm
    Jairo:

    Gracias por tu respuesta, preguntaba por que el fin de semana fuimos
    victimas de ataque y YO CREO que la via pudo ser a travez de archivos JS
    almacenados en el servidor ya que fueron los que fueron afectados, como
    fueron afectados, se le grabo una línea de código al final del archivo, esta
    línea era un código malicioso en Javascript que los antivirus detectaban,
    ahora los archivos index.php también fueron afectados, también se le agrego
    una línea de código al final, ahora al llamar a nuestro hosting nos
    comentaron que ellos NO HABIEN SIDO AFECTADO pero muchos de sus clientes si,
    todos los sitios estaban con algún código libre (oscommerce, drupal,
    wordpress ETC), ahora un amigo tiene un sitio en otro hosting y le ocurrió
    lo mismo.

    Luego pensé que pude ser yo, peeeero al visitar una sección económica de
    terra.cl el navegador me dijo que el sitio era peligroso, osea también tenia
    algún tipo de intervención con código.

    Toncs la pregunta del millón, creo que a mas de alguno le pudo pasar este
    fin de semana, no creo yo ser el único, ojala

    Julio

    -----Mensaje original-----
    De: Jairo Sánchez
    Enviado el: martes, 16 de marzo de 2010 11:03
    Para: Julio Herrera - Chilered.com; php-list
    Asunto: Re: [PHP-ES] Ataque a Sitios en PHP

    Hola a todos,

    2010/3/16 Julio Herrera - Chilered.com <jherrera@chilered.com>:
    Buenos días:





    Quisiera saber si algunos de uds ha sufrido algún ataque a sus sitios el fin
    de semana recién pasada, en archivos PHP y JS
    Un poco confusa tu pregunta para mi,
    si tienes un ataque sobre PHP o JS, lo mas probable es que sea por
    algún descuido en la programación, sin embargo, los ataques sobre php
    son a las sesiones o la forma en que se transmiten estos datos de una
    página a otra y cosas por el estilo, así que esto es muy personal a
    cada sitio, para esto revisa el log del apache donde puedes revisar
    las peticiones a tu sitio y los errores que entrega el Apache y el
    PHP. en cuanto al JS es muy difícil ya que esto es del lado del
    cliente.
    lo otro son los ataques a los servidores web, apache o IIS, y para
    estos si no estas al días con las actualizaciones, si te pueden dar
    duro, revisa los logs del servidor para ver que accessos o algún
    comportamiento inusual en horas donde no has estado conectado.
    y por último están los ataques al los SO, para esto están los papeles
    de Hardening del SO, para esto seria lo mismo que de antes, revisar
    los logs filtrar por horas no normales a las tuyas y revisar que han
    hecho
    Con respecto a que halla sido el fin de semana, es muy probable por
    que todos los días la bitácoras del snord de nuestro sitio me dice que
    nos hacen entre de 2 a 15 escaneos de puertos. así que si nos
    descuidamos nos revientan, y los fines de semana hay mas gente
    desocupada con acesso y ganas de joder a otros, por lo que esos días
    los ataques se multiplican.



    Saludos



    julio
    Suerte con tu sitio y siempre ten a mano tu copia de seguridad, habrá
    un lunes en que la amaras.

    JSLL
  • Caco Patane at Mar 16, 2010 at 3:53 pm
    Hay una serie de virus que buscan credenciales de autenticacion de FTP
    (tambien sniffean trafico de la red en busqueda de credenciales), se
    conectan y modifican tanto archivos HTML como archivos PHP insertando
    codigo ofuscado JS e IFRAMES para explotar vulnerabilidades del
    navegador en los visitantes de los sites.

    Uno de los mas conocidos es el Gumblar
    (http://en.wikipedia.org/wiki/Gumblar), tambien conocido como Nine
    Ball o Martuz.

    Si no queres volver a ser victima de estas amenazas te recomiendo
    utilices, al menos para trabajar/desarrollar, un sistema operativo
    seguro tanto en tu estacion de trabajo como en las estaciones de
    trabajo de tu red (ya que estos virus capturan trafico de red).

    Saludos,
    CP <!>
  • Josue Hernández Pérez at Oct 5, 2010 at 9:13 pm
    Hola amigos.
    Ok, tengo este problema: Desarrolle una aplicacion de administracion de
    almacen para un cliente, el sistema funciona perfectamente bien en mi
    servidor (XAMPP).

    Pero tengo este problema, cuando lo subo para su servidor no funciona,
    ni en el suyo ni en ningun otro. El error que me lanza es este: [ SELECT
    command denied to user '30515_root'@'192.168.1.1' for table 'styles' ]
    Pero hemos verificado cientos de veces que el usuario tiene de hecho los
    permisos ALL GRANTED.

    El usuario inserta como credenciales el usuario y contraseña de la BD y
    utilizando esos datos se establece la conexion. Durante la sesion estos
    datos son almacenados en una variable de sesion. El codigo se ve mas o
    menos asi:

    en index.php
    -------------------------------------------------------------------------
    session_start();
    if (($_POST['uname'] && $_POST['upass']) || $_SESSION['in']) {
    if ($_POST['uname'] && $_POST['upass']) {
    $_SESSION['user'] = $_POST['uname'];
    $_SESSION['pass'] = $_POST['upass'];
    }
    include 'dbase.php';
    }
    if ($_SESSION['in'] && $_REQUEST['item'] == 'logout'){
    session_destroy();
    $_SESSION = array();
    }

    ...
    -------------------------------------------------------------------------


    en dbase.php
    -------------------------------------------------------------------------
    include 'config.php';

    $conn = mysql_connect($HOST, $_SESSION['user'], $_SESSION['pass']);
    $n = mysql_errno();
    if ($n == 1045)
    $ERROR = 'Wrong username or password. Try again';
    elseif($n != 0)
    $ERROR = "Can't connect. Try again later.";
    if (!$ERROR) {
    mysql_select_db($DB, $conn);
    if (mysql_errno() === 0) {
    $_SESSION['in'] = 1; $_SESSION['conn'] = $conn;
    } else
    $ERROR = "Can't connect. Try again later.";
    }

    ...
    -------------------------------------------------------------------------


    $HOST y $DB son definidas en config.php. Mas abajo en dbase.php estan
    las funciones que son las que me estan dando el problema. Ésta por
    ejemplo:

    -------------------------------------------------------------------------

    function get_styles() {
    if ($ERROR) return false;
    $sql = "SELECT * FROM `warehouse`.`styles`";
    return @mysql_query($sql);
    }

    -------------------------------------------------------------------------

    Espero me puedan ayudar, cuanto antes mejor. Si alguno tiene alguna idea
    por favor la mas loca enviela!! Porque por mi parte he agotado mis
    recursos en esto.

    Gracias de antemano!
    Josue Hernandez.


    Universidad Central "Marta Abreu" de Las Villas. http://www.uclv.edu.cu
  • Ariel Camino at Oct 5, 2010 at 9:33 pm
    Estás usando el usuario con el que se logea a tu sistema como usuario
    de mysql? Que cosa rara... y si el sistema pasa a tener cientos de
    usuarios? yo utilizaría un usuario genérico, y antes de probar la
    aplicación, me conectaría con un cliente mysql (en linux mysql -u
    30515_root -p blablabla), e intentaría hacer un select genérico a la
    tabla styles. Una vez que verifiques que eso funciona para el usuario
    que usa tu sistema, recién ahí pasá a mirar que pasa con tu aplicación
    en php.

    --
    Ariel Camino
  • Juan Villa at Oct 5, 2010 at 9:39 pm
    [ SELECT command denied to user '30515_root'@'192.168.1.1' for table
    'styles' ]

    Pregunta, 192.168.1.1 es la direccion de tu servidor MySQL?
  • Jaime Reyes at Oct 5, 2010 at 9:43 pm
    Hola :
    1. verifica que realmente el usr 30515_root tenga los permisos
    necesarios a la tabla styles en la bd y host correcto (ip 192.168.1.1)
    normalmente uno puede olvidar modifcar el ip o la bd al pasarlo de
    pruebas a produccion

    2. si el problema persiste intenta una conexion a la bd y luego la misma
    consulta usando un cliente mysql en el mismo servidor donde corre la app
    y con el usr 30515_root


    saludos


    On 05/10/2010 04:12 p.m., Josue Hernández Pérez wrote:
    Hola amigos.
    Ok, tengo este problema: Desarrolle una aplicacion de administracion de
    almacen para un cliente, el sistema funciona perfectamente bien en mi
    servidor (XAMPP).

    Pero tengo este problema, cuando lo subo para su servidor no funciona,
    ni en el suyo ni en ningun otro. El error que me lanza es este: [ SELECT
    command denied to user '30515_root'@'192.168.1.1' for table 'styles' ]
    Pero hemos verificado cientos de veces que el usuario tiene de hecho los
    permisos ALL GRANTED.

    El usuario inserta como credenciales el usuario y contraseña de la BD y
    utilizando esos datos se establece la conexion. Durante la sesion estos
    datos son almacenados en una variable de sesion. El codigo se ve mas o
    menos asi:

    en index.php
    -------------------------------------------------------------------------
    session_start();
    if (($_POST['uname']&& $_POST['upass']) || $_SESSION['in']) {
    if ($_POST['uname']&& $_POST['upass']) {
    $_SESSION['user'] = $_POST['uname'];
    $_SESSION['pass'] = $_POST['upass'];
    }
    include 'dbase.php';
    }
    if ($_SESSION['in']&& $_REQUEST['item'] == 'logout'){
    session_destroy();
    $_SESSION = array();
    }

    ...
    -------------------------------------------------------------------------


    en dbase.php
    -------------------------------------------------------------------------
    include 'config.php';

    $conn = mysql_connect($HOST, $_SESSION['user'], $_SESSION['pass']);
    $n = mysql_errno();
    if ($n == 1045)
    $ERROR = 'Wrong username or password. Try again';
    elseif($n != 0)
    $ERROR = "Can't connect. Try again later.";
    if (!$ERROR) {
    mysql_select_db($DB, $conn);
    if (mysql_errno() === 0) {
    $_SESSION['in'] = 1; $_SESSION['conn'] = $conn;
    } else
    $ERROR = "Can't connect. Try again later.";
    }

    ...
    -------------------------------------------------------------------------


    $HOST y $DB son definidas en config.php. Mas abajo en dbase.php estan
    las funciones que son las que me estan dando el problema. Ésta por
    ejemplo:

    -------------------------------------------------------------------------

    function get_styles() {
    if ($ERROR) return false;
    $sql = "SELECT * FROM `warehouse`.`styles`";
    return @mysql_query($sql);
    }

    -------------------------------------------------------------------------

    Espero me puedan ayudar, cuanto antes mejor. Si alguno tiene alguna idea
    por favor la mas loca enviela!! Porque por mi parte he agotado mis
    recursos en esto.

    Gracias de antemano!
    Josue Hernandez.


    Universidad Central "Marta Abreu" de Las Villas. http://www.uclv.edu.cu
  • Josue Hernández Pérez at Oct 5, 2010 at 9:55 pm
    Muchas Gracias a Todos por sus respuestas amigos!
    Gracias a Dios pude encontrar el error, se acuerdan de esto:

    function get_styles() {
    if ($ERROR) return false;
    $sql = "SELECT * FROM `warehouse`.`styles`";
    return @mysql_query($sql);
    }

    Bueno, ahi cometi el error --garrafal! de cablear el nombre de la base
    de datos de desarrollo (warehouse). Por supuesto que al mover el sistema
    de servidor (y cambiar el nombre de la nueva bd) el script no podia
    funcionar.

    Gracias a Rudi, Ricardo, Ariel, Juan y Jaime. Sus comentarios fueron de
    gran ayuda. Espero poder ayudarles yo alguna vez, perdonen la
    tonteria :P

    Saludos, Josue.


    Universidad Central "Marta Abreu" de Las Villas. http://www.uclv.edu.cu
  • OLCESE, Marcelo Oscar at Mar 16, 2010 at 3:59 pm
    Esto me arrojó el logwatch que tengo en servidores Debian 5.0, corriendo
    Apache2.

    --------------------- httpd Begin ------------------------

    Requests with error response codes
    401 Unauthorized
    /htm/oculto/frame9.htm: 2 Time(s)
    404 Not Found
    //PHPMYADMIN/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //admin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //dbadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //myadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //mysql/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //p/m/a/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //php-my-admin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //phpMyAdmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //phpmyadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //pma/config/config.inc.php?p=phpinfo();: 1 Time(s)
    /favicon.ico: 7 Time(s)
    /robots.txt: 22 Time(s)

    ---------------------- httpd End -------------------------

    A esto te referías?

    Sldos,
    Marcelo Olcese.-

    ----- Original Message -----
    From: "Julio Herrera - Chilered.com" <jherrera@chilered.com>
    To: <php-es@lists.php.net>
    Sent: Tuesday, March 16, 2010 11:46 AM
    Subject: [PHP-ES] Ataque a Sitios en PHP


    Buenos días:





    Quisiera saber si algunos de uds ha sufrido algún ataque a sus sitios el fin
    de semana recién pasada, en archivos PHP y JS





    Saludos



    julio
  • Jairo Sánchez at Mar 16, 2010 at 4:15 pm

    2010/3/16 OLCESE, Marcelo Oscar <molcese@ancal.com.ar>:
    Esto me arrojó el logwatch que tengo en servidores Debian 5.0, corriendo
    Apache2.

    --------------------- httpd Begin ------------------------
    Requests with error response codes
    401 Unauthorized
    /htm/oculto/frame9.htm: 2 Time(s)
    404 Not Found
    //PHPMYADMIN/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //admin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //dbadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //myadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //mysql/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //p/m/a/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //php-my-admin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //phpMyAdmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //phpmyadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //pma/config/config.inc.php?p=phpinfo();: 1 Time(s)
    /favicon.ico: 7 Time(s)
    /robots.txt: 22 Time(s)

    ---------------------- httpd End -------------------------
    A esto te referías?
    jejeje, sip, a algo así,
    fijate que te intentaron ejecutar un phpinfo(); en todos los
    subdirectorios config de tu sitio, menos mal que no lograron nada, lo
    mas probable es que en google hicieron esta busqueda para sacar los
    directorios.
    te recomiendo que coloques un index.html vacio en cada uno de esos directorios.
    y otra cosa es que corran algún comprobador de vulnerabilidades de
    sitios web, a su sitio.

    Mirar estos errores no es común entre nosotros pero debes procurar
    hacerlo para que las cosas no pases algún día a mayores.
    Sldos,
    Marcelo Olcese.-

    ----- Original Message ----- From: "Julio Herrera - Chilered.com"
    <jherrera@chilered.com>
    To: <php-es@lists.php.net>
    Sent: Tuesday, March 16, 2010 11:46 AM
    Subject: [PHP-ES] Ataque a Sitios en PHP


    Buenos días:





    Quisiera saber si algunos de uds ha sufrido algún ataque a sus sitios el fin
    de semana recién pasada, en archivos PHP y JS





    Saludos



    julio



    --
    PHP Spanish Localization Talk Mailing List (http://www.php.net/)
    To unsubscribe, visit: http://www.php.net/unsub.php
  • OLCESE, Marcelo Oscar at Mar 16, 2010 at 4:59 pm
    Estos errores, al menos 1 vez x mes aparecen.
    Por eso chequeo diariamente actualizaciones en los servidores y estoy en
    varias listas de seguridad de linux.

    Ahora, que fin tiene agregar un index.html vacio en/los subdirectorios del
    Apache?

    Sldos,
    Marcelo Olcese.-

    ----- Original Message -----
    From: "Jairo Sánchez" <jairosll@gmail.com>
    To: "OLCESE, Marcelo Oscar" <molcese@ancal.com.ar>; "php-list"
    <php-es@lists.php.net>
    Sent: Tuesday, March 16, 2010 1:14 PM
    Subject: Re: [PHP-ES] Ataque a Sitios en PHP


    2010/3/16 OLCESE, Marcelo Oscar <molcese@ancal.com.ar>:
    Esto me arrojó el logwatch que tengo en servidores Debian 5.0, corriendo
    Apache2.

    --------------------- httpd Begin ------------------------
    Requests with error response codes
    401 Unauthorized
    /htm/oculto/frame9.htm: 2 Time(s)
    404 Not Found
    //PHPMYADMIN/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //admin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //dbadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //myadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //mysql/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //p/m/a/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //php-my-admin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //phpMyAdmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //phpmyadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
    //pma/config/config.inc.php?p=phpinfo();: 1 Time(s)
    /favicon.ico: 7 Time(s)
    /robots.txt: 22 Time(s)

    ---------------------- httpd End -------------------------
    A esto te referías?
    jejeje, sip, a algo así,
    fijate que te intentaron ejecutar un phpinfo(); en todos los
    subdirectorios config de tu sitio, menos mal que no lograron nada, lo
    mas probable es que en google hicieron esta busqueda para sacar los
    directorios.
    te recomiendo que coloques un index.html vacio en cada uno de esos
    directorios.
    y otra cosa es que corran algún comprobador de vulnerabilidades de
    sitios web, a su sitio.

    Mirar estos errores no es común entre nosotros pero debes procurar
    hacerlo para que las cosas no pases algún día a mayores.
    Sldos,
    Marcelo Olcese.-

    ----- Original Message ----- From: "Julio Herrera - Chilered.com"
    <jherrera@chilered.com>
    To: <php-es@lists.php.net>
    Sent: Tuesday, March 16, 2010 11:46 AM
    Subject: [PHP-ES] Ataque a Sitios en PHP


    Buenos días:





    Quisiera saber si algunos de uds ha sufrido algún ataque a sus sitios el
    fin
    de semana recién pasada, en archivos PHP y JS





    Saludos



    julio



    --
    PHP Spanish Localization Talk Mailing List (http://www.php.net/)
    To unsubscribe, visit: http://www.php.net/unsub.php
    --
    PHP Spanish Localization Talk Mailing List (http://www.php.net/)
    To unsubscribe, visit: http://www.php.net/unsub.php

Related Discussions

Discussion Navigation
viewthread | post
Discussion Overview
groupphp-general-es @
categoriesphp
postedMar 16, '10 at 1:46p
activeOct 5, '10 at 9:55p
posts12
users8
websitephp.net

People

Translate

site design / logo © 2022 Grokbase