sito crackato

il sito ha iniziato a non funzionare più, poi sono sparite le cartelle dal mio spazio web. tutte le cartelle che avevo creato ora sono sul server come File di dimensione 0.
tutti i contenuti sembravano persi. poi sul piu bello accedo tramite FTP e mi ritrovo tra i file un file CRACK che reindirizza chi accede al mio sito su siti porno.

che cosa è successo, perchè il sito è stato craccato e come hanno fatto a beccare le password?
gia mi era successo un po di tempo fa la stessa cosa. avevo cambiato password e per un po il tutto è funzionato. ora non funziona piu niente e la cosa è successa di nuovo...

[gve]

Sei sicuro?
La tua home si vede; ok, non è una cartella ma un file, però anche my_admin esiste (mi chiede la password), quindi presumo anche il resto delle cartelle.

Che programma ftp usi?

Cambia password...

sicuro si! per la seconda volta mi sono trovato il file CRACK e tutto il sito non funziona più.
la password l'ho gia cambiata una volta che mi era successa la stessa cosa.
come FTP uso gFTP. Sono sicuro di non aver sovrascritto che non fossero file .html o .php.
Solo che mi sono trovato per la seconda volta il file CRACK nel mio spazio web. Ho cancellato poco fa con lui alcune cartelle (che quel bastardo che è entrato non ne abbia messi altri nelle sottocartelle) e ho lasciato la my_admin.
la cosa che mi rompe di piu è che la CRACK gira i visitatori su siti porno... ora l'ho cancellata, speriamo che non succeda piu.

cambierò la password di sicuro.

usa password di almeno 6 caratteri magari con numeri o caratteri strani in mezzo..

se sono andati giù di bruteforce nei log dei server ci saranno una quantità incredibile di log e potresti chiedere all'admin di darci un'occhiata

direi che la password era difficile da beccare.
ecco quello che mi ha scritto quel simpaticone del cracker

Ciao Teo (o come cazzo ti chiami)! Questo sito è stato crackato con successo per la seconda volta a causa di una vulnerabilità nascosta nel codice php.. (sql injection) Ciao TeoGay by Frank **** Lascia questo messaggio se non vuoi subire ulteriori attacchi ****

può essere che io abbia fatto cazzate nel codice php, perchè certi script li h messi giu in fretta e senza tanto debug.
il problema è che essendo la password del database uguale a quella del FTP, si vede che con un errore nel codice php in qualche modo salta fuori la password per l'accesso al database e cosi uno che la becca ha accesso a tutto quanto. [/quote]

Per Sql-Injection si intendono, di solito, gli attacchi ad una applicazione in cui vengono eseguite query su database SQL con variabili "maliziose" e nn controllate.

Un esempio di variabili maliziose sono gli apici ' , sono infatti utilizzati per definire la fine di una variabile all'interno del database, che succede se al posto di MarioRossi inserisco Mario'Rossi ( con l'apice al centro ) ? Semplice, se nn controlli l'input la tua applicazione produrra' un errore..

Ora come puoi inserire l'apice puoi inserire anche comandi propri delle query, es AND, OR ..
Se ad esempio inserisci lun user esistente ( supponiamo "admin" ) e come password “ xxx' OR ‘'=' ” dove xxx e' qualsiasi cosa la query sara'

SELECT * FROM users WHERE username='admin' AND password='xxx' OR ‘'=''

quindi qualsiasi sia la password di "admin" ti permettera' di entrare in quanto l'OR e' sempre valido.

Ora per proteggersi ci sono varie soluzioni, dipende dal grado di conoscenza del cracker :)

- la piu' semplice e' cambiare il nick dell'admin con qualcosa di sconosciuto agli altri, es. "seiunpirla" :D e se il cracker nn ha particolari esperienze e conoscenze di database nn te lo trova e quindi nn diventera' mai admin..

Inutile dire pero' che il cracker potrebbe costruire una richiesta che visualizza tutti i valori del tuo database e li son dolori.. ( ti assicuro che si puo' fare )

Secondo me il modo migliore e' controllare gli input prima di fare la query, es controllando che nn ci siano apici all'interno o parole chiave come AND e OR, una funzione che modifica gli input tenendo conto degli apici e' addslashes() . Occhio che se nel database nn utilizzi gli apici basta un OR 1=1 per entrare...

Anche le virgolette " possono portare problemi, una funziona che controlla cio' e' mysql_escape_string() che oltre a controllare le virgolette controlla anche gli apici e tutti gli input maliziosi.. ( quindi usa questa )

Secondo me la cosa piu' sicura e' controllare di volta in volta OGNI input con funzioni regular expression() che controllano la validita' dell'input a seconda delle esigenze, e' piu' complessa ma la piu' sicura.

ps. Mi sono scrodato che possono essere formate anche richieste di DELETE .. e altre cose molto cattive..

Spero di essere stato abbastanza chiaro e utile a tutti quelli che utilizzano un database SQL

Ciao, Marco

Ottima spiegazione malamessomal :D

Cmq medan,

Usi forse il PHPnuke? perché è soggetto a queste cose!!!

Ottima spiegazione malamessomal :D

tnx :D

grazie mille della risposta!!!

non usavo php nuke, solo script fatti da me. Controllerò meglio gli script e le query e vedrò di evitare altre intrusioni.
se uno utilizza una SQL injection ha comunque accesso al database, avrei avuto in ogni caso backup e il ripristino del sito non sarebbe stato un problema. il fatto che quel maledetto mi ha cancellato tutto il sito è stato dovuto al fatto che la password di accesso al database è la stessa dell'accesso via FTP e quindi mi ha cancellato tutto quanto e ha caricato pagine sue con culi e cazzate del genere...

grazie ancora per la spiegazione

di niente, spesso la mancata sicurezza di sistemi "secondari" pregiudica la sicurezza di sistemi "critici" il consiglio è di usare password diverse per ogni sistema, ti consiglio un contatore nel tuo sito che salva gli ip ( guarda sulla mia home che ne trovi uno che va abb bene ;) ) così se il tipo entra ci pensa 2 volte prima di provare cavolate, oppure meglio ancora, fai finta di niente, rimetti su come prima e sugli script controlli se arrivano richieste di tipo SQL Inj.. in questo caso il prog spara a video qualcosa tipo:

"Tentato attacco SQL.. con stringa "xxx" da ip "xxx.yyy.zzz.vvv". Il tuo tentativo è stato loggato e sarà segnalato alle autorità competenti ( NOPT ). Buona giornata"

allora, io ho un sistema di log ma il furbacchione ha mascherato il suo IP, è uno che ci sa fare, l'IP una volta era di microsoft.com, una volta di un altro sito, e quindi non si puo risalire a chi fosse o da dove venisse. ho controllato gli apici, protetto tutto quello che mi sembrava da proteggere e a testarlo in locale non sono riuscito io a inkiodarlo o trovare problemi. Poi per un po di settimane di pace, ieri ritorna l'hacker e mi ritrovo un file .crack nella root del sito, è il codice che ha usato per entrare, ancora adesso non so come abbia fatto... ho cambiato 50 volte password, ma sto qua ha sempre l'accesso. magari ho pensato che abbia nascosto qualche file di crack in una cartella nascosta che ha creato nel sito, nel myadmin, ero andato a vedere ma non ho trovato niente. resta il fatto che questo qui quando vuole entra e se gli gira quel giorno mi cancella tutto...

Se ti ha scritto al codice con cui entrava significa che non è tanto cattivo come sembra... prendi spunto da quello che ha scritto per correggere tutti i bug

Anche se non è molto carino cancellare un intero sito

Ciao.

; Frank Crack Program
; - tree.c at Wed Aug 13 13:14:07 2003
; struct node {
; struct node *left,*right;
; int val;
; };
; struct node *tree;
; int sortlist[ 5000 +1],
; biggest, littlest,
; top;
; void
; tInitarr()
.segment tree_code,memtype=0,locinc=1,rom
.global _tInitarr
_tInitarr:
addi_l R31,0x4,R31
strri_l R30,R31,-0x4
mov_l R31,R30
addi_l R31,0x4,R31
strri_l R0,R30,0x0
; ENTRY
; i in reg size 2
; temp in reg size 2
; {
; int i, temp;
; Initrand();
call _Initrand
; biggest = 0; littlest = 0;
movi_w 0x0,R24
stizi_w 0x0,_biggest
stizi_w 0x0,_littlest
; for ( i = 1; i <= 5000 ; i++ )
movi_w 0x1,R0
tInitarr_L1:
; {
; temp = Rand();
call _Rand
; sortlist[i] = temp - (temp/100000)*100000 - 50000;
cvtswl R24,R24
ldzi_l __lcons1,R25
div_l R24,R25,R25
ldzi_l __lcons1,R26
mul_l R25,R26,R25
sub_l R24,R25,R25
ldzi_l __lcons2,R24................
................
,..............ecc ecc ecc

... eccetera eccetera eccetera...