PDA

Ver la versión completa : Me han dumpeado la base de datos



pepemartin
16-01-2009, 14:32
Buenas, es la segunda vez que me hackean la web a traves de la base de datos. La primera vez si dejo su ip en plesk, pero esta ultima vez no, ha sido todo por mysql y ha borrado la base de datos, supongo que con un script. ¿Que forma puede haber de que encuentre su ip si ataco de ese modo? y como me puedo proteger para q no vuelva a ocurrir?

clarinetista
16-01-2009, 15:37
La ip quedara registrada en el server, pregunta a los del hosting.
Sobre el acceso a mysql, supongo que estaras corriendo algun script en PHP. ¿Cual es?
En cuanto a la forma de prevenir, pues parcheando siempre, no usar scripts de terceros potencialmente dañinos y extremar las precauciones.

pepemartin
16-01-2009, 15:46
La ip al menos en plesk no ha quedado registrada, ya que no han accedido a el. Asi que preguntare a ver si ellos pueden ver quien ha modificado desde mysql.

Yo de esto no entiendo mucho, a que te refieres con script php?
Mis datos son:
Portal vbadvanced
foro vbulletin
OS: Linux
MySQL-Version: 5.0.22
PHP-Version: 5.1.6
Php en modo seguro

y las backups las hago a traves de mysqldumper


Tampoco se parchear estas cosas, sabes de alguna guia o algo a nivel principiante?

clarinetista
16-01-2009, 16:37
Me jugaria un sugus de mora a que entraron a traves del Vbulletin o a traves del portal.
Comprueba que tengas las ultimas versiones de esos scripts.
Tambien puedes dirigirte al soporte oficial, al menos el de Vbulletin es bastante extenso

pepemartin
16-01-2009, 16:55
tengo la ultima version tanto de vbulletin como de vbadvanced cmps :S

j8k6f4v9j
19-01-2009, 16:45
¿No ha dejado su IP en Plesk? ¿Eso qué significa? Yo hablaría con los administradores del alojamiento, por si las moscas...

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

clarinetista
19-01-2009, 21:08
Ayudaria saber que server web estas corriendo, para saber si el ataque ha sido a nivel de aplicacion o de servidor.
Tambien seria conveniente que informaras con urgencia a los del hosting, como dice j8.
Me temo que haya sido una inyeccion SQL.

pepemartin
20-01-2009, 14:54
seguramente sea una inyeccion sql. El servidor es de ovh. Un linux.
Es un servidor dedicado no administrado, por lo que los de ovh se han lavao las manos y no me pueden decir nada

clarinetista
20-01-2009, 15:08
Joder, que simpaticos :D
Bueno, para irlo mirando un poco entre todos, dejo mas datos de tu server...




Distribución Centos 5.1.
Apache 2
PHP 5
MySQL 5

clarinetista
20-01-2009, 15:17
Mis premisas :) :

¿Pudiera ser que hubieran obtenido las passwords tuyas? Yo probaria a cambiarlas en un entorno seguro (Live CD, sin wifi......)
¿Solo tu tienes acceso a esas contraseñas?
¿Lo administras todo mediante la interfaz web?
¿Usas SSH?

pepemartin
20-01-2009, 18:18
posible es posible todo, pero como dije antes sospecho de la competencia, horas antes que a mi web atacaron a otra de la competencia, y sospechamos ambos dos de otros
Aun asi cambie las pass de admin y no uso wifi ni livecd.
Solo tengo acceso yo
Lo administro todo mediante web y no suelo usar ssh

clarinetista
21-01-2009, 00:47
Bien, analizando lo que comentas, primero de todo, es recomendable el ssh porque es mas seguro que hacerlo sin encriptar.
Segundo, yo usaria un software para buscar vulnerabiliades en tu server como GFI o Retina, y asi verificas que no tengas ningun agujero de seguridad.
Lo de la LIVECD, me referia a que cambies siempre las contraseñas desde un ordenador que sepas ha ciencia cierta que es 100% seguro. No sabes si han sacado las claves a traves de ti o de tu equipo , sin que lo hayas percibido.

pepemartin
21-01-2009, 01:20
Como podria ejecutar y analizar mi servidor con GFI o Retina ?
Recuerdo q soy novatillo :P
Gracias por todo