Resultados 1 al 14 de 14

Ataque Web

  1. #1 Ataque Web 
    Iniciado
    Fecha de ingreso
    Jun 2009
    Mensajes
    2
    Descargas
    0
    Uploads
    0
    Hola a todos, me ha sucedido algo con un par de sitios que tengo hosteados en mi servidor y quisiera saber si alguien sabe la pregunta del millon: "Como cuernos hicieron!".
    En todos los archivos index.php y home.php le agregaron una cadena al comienzo del archivo, "<iframe source='...' [...]". El usuario que realizo la modificación es el mismo yo utilicé para loguearme el dia anterior desde una computadora de un cliente (por todos lados insegura) para mostrarle como funciona el sistema de back end de un sistema OSCommerce.
    O sea, ingrese a un sistema back-end con un internet explorer desde una computadora con SO Windows XP, el sitio está hosteado en un servidor Linux y la cuenta con la que ingrese figura como la realizadora de los cambios.
    Pregunta: ¿Cómo hizo un proceso corriendo en Windows para capturar mi usuario y contraseña y realizar modificaciones en un servidor Linux?
    Saludos, y gracias.
    Citar  
     

  2. #2  
    Medio
    Fecha de ingreso
    Apr 2007
    Mensajes
    133
    Descargas
    6
    Uploads
    0
    Buenas vicdel,
    Por lo que comentas, seguramente en la máquina donde te logueaste para enseñarle a ese usuario el tema del OSCommerce, podría tener instalado un Keylogger.

    De esta forma es facil quedarse con el usuario y contraseña escritas cuando te logueaste a tu sistema.

    Una vez obtenido esto, lo siguiente que haría yo es:
    Averiguar la ip de tu maquina servidora, e intentar entrar por ssh con el usuario y contraseñas recogidos. Si hubiera habido suerte... pues ya sabes si ese usuario tenía permisos sobre las carpetas donde están los ficheros, se modifican y ya está.

    Que me corrijan los expertos si voy errado.

    Un saludo.
    Citar  
     

  3. #3  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Tiene pinta de haber sido un código y no alguien manualmente. Yo más que por un keylogger me inclino por un sniffer que, junto con la clave y el usuario, ha capturado la url a la que te conectaste. Ingresando luego por su cuenta para buscar y modificar los archivos de un tipo dado.

    Yo haría lo que dice Danilo51, accedería a través de un protocolo seguro y cambiaría cuanto antes las credenciales. Es probable que quien modificó los archivos haya subido también algún medio de asegurarse el posterior acceso, por lo que otra de las cosas que haría sería una restauración completa de los sitios, junto con un seguimiento exhaustivo de cada movimiento que se haga con permisos de administración.

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  4. #4  
    Iniciado
    Fecha de ingreso
    Sep 2009
    Ubicación
    Santa Fe (Argentina)
    Mensajes
    12
    Descargas
    8
    Uploads
    0
    por las dudas ... y capaz suena un poco lamme ... pero ... te fijaste de no ser que hallan entrado o sacado los pass ... por sql inj ???
    Ubuntu is an African word meaning "i do know how to install gentoo"
    Citar  
     

  5. #5 Solución parcial 
    Iniciado
    Fecha de ingreso
    Jun 2009
    Mensajes
    2
    Descargas
    0
    Uploads
    0
    Buenas a todos, y gracias por los posts.
    Luego de esas cadenas llegaron otras, cambié las claves, actualicé el php del servidor y no sirvió de nada. El ataque tiene toda la pinta de ser por injection,sql y javascript. No entiendo muy bien como funciona esto, sobre todo el javascscript injection, si alguien tiene algún texto esclarecedor se lo agradezco.
    Para solucionar el problema solo puse como solo lectura y ejecucion a todos los archivos chmod -R 555 *

    Saludos
    Citar  
     

  6. #6  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    chmod -R 555 * no es nada recomendable, sobre todo cuando tienes claves en texto plano en los archivos (como por desgracia suele pasar con php y la conexión a la BD)

    Mejor un 550.

    Efectivamente, si el sistema de archivos impide la escritura, no se podrá escribir en los archivos. Es una buena solución. Pero mucho me temo que la vulnerabilidad sigue estando ahí. Quizá se trate de un 0day para oscommerce (que tiene un largo historial de vulnerabilidades).

    Para que entiendas cómo funciona la inyección de sql te pongo un ejemplo.

    Supongamos que una web te reenvía la contraseña al especificar un usuario válido en un formulario.

    Una vez recogido el nombre de usuario que ha introducido éste, el php hace una consulta a la base de datos para decidir si reenviar la contraseña o no.

    Podría ser algo como:

    Código:
    $sqlquery = 'SELECT usuario FROM table WHERE usuario = ' . $usuariointroducido . ';'
    if( ! $result = mysql_query ( $sqlquery, $dblink ) ) {
      echo mysql_error();
      return;
    } else {
      echo "ok, enviamos la contraseña";
    }
    Al no validar la entrada, se puede meter un trozo de código SQL directamente, y el PHP se lo traga. Por ejemplo, supongamos que en el formulario introducimos esto:
    Código:
    'esteusuarionoexiste' OR 'x'='x'
    El código php que he escrito más arriba, ejecutaría esto:

    Código:
    $sqlquery = 'SELECT usuario FROM table WHERE usuario = 'esteusuarionoexiste' OR 'x'='x'';'
    if( ! $result = mysql_query ( $sqlquery, $dblink ) ) {
      echo mysql_error();
      return;
    } else {
      echo "ok, enviamos la contraseña";
    }
    Es decir, que la consulta sería válida y se reenviaría la contraseña.

    Bueno, hay muchas "imprecisiones" en el código que te he puesto Pero la base es ésa.

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  7. #7  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    No manejo bien el SQL injenction, pero lo que se mete en el formulario no debería ser así?:

    esteusuarionoexiste' OR 'x'='x'
    (Sin la primera comilla)

    Un saludo
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  8. #8  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    No, porque la última comilla provocaría un error de sintaxis, ya que el php es quien cierra. Es decir, en caso de comprobar la columna user, y siendo ésta una cadena de texto, en el formulario iría algo como:

    Código:
    noexisto' OR 'lam0' = 'lam0
    El código comprobaría algo así:

    Código:
    SELECT usuario FROM usuarios WHERE usuario = 'noexisto' OR 'lam0' = 'lam0';
    Las comillas azules las pone el PHP. Con ese input se crearía una segunda condición ('lam0' = 'lam0') que sí devolvería verdadero y devolvería todos los usuarios de la tabla usuarios.


    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  9. #9  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Eso es, entonces es sin la primera comilla no? :s
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  10. #10  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Cita Iniciado por hystd Ver mensaje
    Eso es, entonces es sin la primera comilla no? :s
    Y sin la última.

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  11. #11  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Entonces lo que has dicho que se introduce en el formulario:

    'esteusuarionoexiste' OR 'x'='x'
    Lo correcto para explotar la vulnerabilidad sería así:

    esteusuarionoexiste' OR 'x'='x
    En la última comilla no me había fijado.

    Un saludo.
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  12. #12  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Cita Iniciado por j8k6f4v9j Ver mensaje
    Código:
    noexisto' OR 'lam0' = 'lam0
    Eso puse

    Se me ocurre uno más bonito:
    Código:
    ' OR (true) OR 'pez' = 'pescado


    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  13. #13  
    Iniciado
    Fecha de ingreso
    Jan 2010
    Mensajes
    1
    Descargas
    0
    Uploads
    0
    Hola!! Necesito que alguien me ayude en inyeccion de datos SQL... lo que sucede es que necesito modificar unos datos (numeros) en un sistema, pero no se como hacerlo bien, y no quiero meter la pata o cometer errores... si hay alguien que pueda ayudarme o prestarme sus servicios (pagaos) se los agradeceria muchisimo!!
    escribeme a

    nomails@hotmail.com
    Última edición por clarinetista; 03-01-2010 a las 00:09
    Citar  
     

  14. #14  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.773
    Descargas
    31
    Uploads
    8
    cochinita, leete las normas del foro
    Citar  
     

Temas similares

  1. Ataque Dos
    Por Carolin20 en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 1
    Último mensaje: 02-02-2017, 20:57
  2. Ataque DoS
    Por Router812 en el foro GENERAL
    Respuestas: 3
    Último mensaje: 04-11-2009, 14:59
  3. Ataque IP
    Por hyperion en el foro INTRUSION
    Respuestas: 0
    Último mensaje: 03-03-2009, 03:55
  4. Ataque DoS
    Por biyonder en el foro GENERAL
    Respuestas: 3
    Último mensaje: 27-09-2008, 02:36
  5. Ataque a DOT.TK
    Por Lazaro en el foro NOTICIAS
    Respuestas: 1
    Último mensaje: 08-04-2003, 23:20

Etiquetas para este tema

Marcadores

Marcadores