Web Hackeada - ¿Añadir seguridad?

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

Inicio

Ayuda

Ingresar

Registrarse

28 Mayo 2012, 04:58

Tema destacado: [Overclocking] Récords de overclock del foro

Foro de elhacker.net

Programación

Desarrollo Web

PHP

Web Hackeada - ¿Añadir seguridad?

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Ir Abajo

Respuesta

Imprimir

Autor

Tema: Web Hackeada - ¿Añadir seguridad? (Leído 1,446 veces)

ihton

Desconectado

Desconectado

Mensajes: 52

Ver Perfil

Web Hackeada - ¿Añadir seguridad?

« en: 23 Abril 2011, 17:13 »

Bueno, os comento el problema...

Tengo contratado un servidor dedicado al cual le puse la siguiente web:
http://www.megaupload.com/?d=Z88VZJIF
Son todos los archivos, con las correspondientes modificaciones hechas por mi.

Pues ayer mismo me la hackearon, según parece entró al dedicado desde un exploit en la web...

El código que dejó fue el siguiente (más que nada como curiosidad):

Código:

<html>

<head>

<title>Hacked by Mica</title>

<head>

<body onLoad="type_text()" ; bgColor=#000000 text=#00FFFF>

<style type="text/css">
BODY {
SCROLLBAR-FACE-COLOR: #000000; SCROLLBAR-HIGHLIGHT-COLOR: #000000; SCROLLBAR-SHADOW-COLOR: #000000; SCROLLBAR-3DLIGHT-COLOR: #ffffff; SCROLLBAR-ARROW-COLOR: #ffffff; SCROLLBAR-TRACK-COLOR: #000000; SCROLLBAR-DARKSHADOW-COLOR: #ffffff
}
BODY {
CURSOR: crosshair
}
</style>

<div align="center"><img src="http://4.bp.blogspot.com/_4MuJZNRInCM/TM1qMpZcZCI/AAAAAAAABL0/X3b4Qu5Jh7M/s1600/website-hacked.jpg" width="350" height="250"><br>

<script language="javascript">



</script>

<p align="center">

<form><textarea style="background-color:#000000;color:#00FFFF;" name="about" readonly="readonly" rows="12" cols="37"

wrap="soft"></textarea></form></p>

<div align="center"> THIS SITE WAS HACKED BY Mica <br>

<div align="center"> Contact: mica_iflyff@live.com<br>

<div align="center"> -------------------------------- <br>

<div align="center"> Your chat is still available. <br>

<div align="center"> flyforfenix.net/chat.php Buh bye. <br>

<embed src="http://www.youtube.com/v/70DYc511Ek8&autoplay=1" type="application/x-shockwave-flash" wmode="transparent" width="1" height="1"></embed>

</body>

</html>

Para más detalles:

Usamos Xampp para controlar Apache y MySQL en su vesrión 1.6.8 y nos encargamos de borrar la carpeta webdav para que no se puedece acceder al servidor desde ahí...

¿Alguna idea de cómo ha podido entrar y cómo evitar nuevas entradas?

Gracias de antemano.


« Última modificación: 23 Abril 2011, 17:19 por ihton »	En línea

merolhack

Desconectado

Desconectado

Mensajes: 277

Me encanta Joomla y lo que puedo hacer con el

Ver Perfil

WWW

Re: Web Hackeada - ¿Añadir seguridad?

« Respuesta #1 en: 23 Abril 2011, 17:28 »

1.- ¿El servidor dedicado que características tiene?
2.- ¿XAMPP lo usas en local no? ¿que tiene que ver con el servidor dedicado?
3.- Los permisos son muy importantes en la web, directorios 755 y archivos 644
4.- Usa .htaccess para limitar el acceso a zonas que no quieres que ingresen a tu sitio.
5.- Investiga en internet lo que es: html inyection
6.- Si usas base de datos investiga lo que es: sql inyection


	En línea

PHP Web Developer
Joomla, jQuery, MySQL, CSS, etc...

Android APP Developer http://android-dev.tumblr.com/

ihton

Desconectado

Desconectado

Mensajes: 52

Ver Perfil

Re: Web Hackeada - ¿Añadir seguridad?

« Respuesta #2 en: 23 Abril 2011, 17:36 »

Detalles del Dedicado:
OS: Windows 2003 Web Edition
CPU: Intel® Pentium 4 - 3.0 GHz
RAM: 2 GB
Storage: 2 x 120 GB hard drives
Bandwidth: 500 GB per month

El XAMPP lo que está es instalado en el servidor dedicado para manejar Apache, MySQL, FTP... etc.

Respecto a los permisos estaban todos correctamente puestos.

El .htaccess es ya otro cantar, no sé por dónde limitar el acceso.

En cuanto a inyecciónes HTML y SQL en un principio se suponía que no podían hacerse, pero mi conocimiento para evitar las inyecciones no es muy bueno, la verdad.


	En línea

madpitbull_99

Moderador Global

Desconectado

Desconectado

Mensajes: 1.898

Ver Perfil

WWW

Re: Web Hackeada - ¿Añadir seguridad?

« Respuesta #3 en: 23 Abril 2011, 17:47 »

Te hackearon la web por medio de un fallo de la misma aplicación o de otra existente en tu servidor.

Intenta cambiar el nombre de la carpeta del panel de administración, algo que no sea admin.

Si se trata de un CMS, trata de actualizarlo.


	En línea

«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red

merolhack

Desconectado

Desconectado

Mensajes: 277

Me encanta Joomla y lo que puedo hacer con el

Ver Perfil

WWW

Re: Web Hackeada - ¿Añadir seguridad?

« Respuesta #4 en: 23 Abril 2011, 18:02 »

Yo te recomiendo que cambies el servidor por un GNU/Linux, tipo CentOs o Debian. No son los mismos permisos en Windows que en Unix.

Este es tu sitio? http://www.flyforfenix.net/

Vi que usas algo de damned-flyff.com que es? es para administrar un juego o algo asi?


	En línea

PHP Web Developer
Joomla, jQuery, MySQL, CSS, etc...

Android APP Developer http://android-dev.tumblr.com/

ihton

Desconectado

Desconectado

Mensajes: 52

Ver Perfil

Re: Web Hackeada - ¿Añadir seguridad?

« Respuesta #5 en: 23 Abril 2011, 18:05 »

Sí, ese es el site, Damned-FlyFF es de donde proviene el CMS original, yo sólo me he encargado de editarlo (lo que viene a decir que si el mío es exploiteable el suyo también... debería mandarle un correo

)

Respecto a usar GNU/Linux, lo habríamos hecho de no ser porque es necesario Windows para correr el emulador del servidor del juego


	En línea

Shell Root

Desconectado

Desconectado

Mensajes: 2.456

Alex Jurado

Ver Perfil

WWW

Re: Web Hackeada - ¿Añadir seguridad?

« Respuesta #6 en: 23 Abril 2011, 18:13 »

Pues deberías de postear los fuentes o subirla de nuevo para hacerle pruebas y mirar que tan vulnerable es.


	En línea

---

ihton

Desconectado

Desconectado

Mensajes: 52

Ver Perfil

Re: Web Hackeada - ¿Añadir seguridad?

« Respuesta #7 en: 23 Abril 2011, 18:14 »

Un segundo y la resubo ^^


	En línea

Edu

Desconectado

Desconectado

Mensajes: 1.082

Ex XXX-ZERO-XXX

Ver Perfil

Re: Web Hackeada - ¿Añadir seguridad?

« Respuesta #8 en: 23 Abril 2011, 20:55 »

Arreglala bien y la miran si tiene alguna vulnerabilidad q puede ser eso


	En línea

ihton

Desconectado

Desconectado

Mensajes: 52

Ver Perfil

Re: Web Hackeada - ¿Añadir seguridad?

« Respuesta #9 en: 23 Abril 2011, 22:03 »

Ya está 100% funcional, integrada tanto al MySQL como al MSSQL.

Gracias ^^


	En línea

Feedeex

Desconectado

Desconectado

Mensajes: 172

Ver Perfil

Re: Web Hackeada - ¿Añadir seguridad?

« Respuesta #10 en: 24 Abril 2011, 00:29 »

Lo más probable es que, al ser basada en CMS, haya sido defaceada por medio de un explot. Ya que en webs "pre-programadas" es dificil (no imposible) encontrar SQLi, RFI, XSS y otros tipos de inyecciones.


	En línea

Páginas: [1]

Ir Arriba

Respuesta

Imprimir

Ir a:

Mensajes similares
		Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
		Añadir seguridad a mi web Desarrollo Web	bautistasbr	3	1,061	8 Septiembre 2006, 13:55 por Ertai
		¿PS3 hackeada? Noticias	wolfbcn	1	393	31 Marzo 2008, 23:23 por Burnhack
		PSP-3000 hackeada completamente, copias de seguridad y PSX incluidas Noticias	wolfbcn	0	275	7 Junio 2009, 22:22 por wolfbcn
		PSP Go hackeada Noticias	wolfbcn	0	283	5 Octubre 2009, 15:43 por wolfbcn
		¿Cómo puedo añadir seguridad extra a mi red wifi? Redes	49sdflkjff	5	2,098	26 Enero 2011, 14:16 por T0rete

elotrolado	lawebdegoku	MundoDivx	Hispabyte	Truzone
ZonaPhotoshop	Yashira.org	Videojuegos	indetectables.net	Seguridad Colombia
Indejuegos	Seguridad Informática	Juegos de Mario	Internet móvil	Noticias Informatica
ADSL	eNYe Sec	Seguridad Wireless	Underground México	Biblioteca de Seguridad
InSecurity.Ro - ISR	Soluciones Web	ejemplos de	El Lado del Mal	Blog Administrador Sistemas
Blog Uxio	thehackerway	Tienda Wifi

Todas las webs afiliadas están libres de publicidad engañosa.

Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines