Gravissimo problema di sicurezza

[Destructor3]

Salve a tutti, sono l'amministratore del sito MEME GRANDI CHAT FACEBOOK, che ora ha raggiunto la 22esima posizione in classifica combinata di altervista in meno di un mese, quindi ho un alto flusso di visitatori per il buon contenuto che offro sul mio sito.

Oltre al fatto che il contenuto del mio sito viene costantemente RUBATO da altri siti di altervista (a volte mi hanno rubato l'INTERO SITO, per esempio guardate questo sito clone http://facerandom.altervista.org/Meme/ - rispetto al mio http://destructor3.altervista.org/Meme/ )

Vorrei sapere, se possibile, come fare per far chiudere il sito clone al mio (ha rubato il mio intero codice, solo adesso ha cambiato qualcosina di minimo) oppure come proteggere meglio il mio codice in php.

----

Comunque non è questo il grave problema di cui soffro.

ADMIN di altri siti rivali (come ***, ***, ***), di quali conosco gli amministratori tramite ricerca su facebook (e se volete rivelo i loro nomi, le loro abitazioni, e tutto) stanno BOICOTTANDO il mio sito tramite hackeraggio.

In pratica il mio sito offre dei codici per la chat di facebook, e costantemente trovo nella mia lunga lista dei "buchi". All'inizio pensavo fosse un problema interno di facebook, invece mi sono accorto che c'è qualcuno che modifica il mio file (memecode.php), cambiando molti codici in modo casuale (per esempio cambiando tutti gli "1" con dei "2"), e quindi rendendo di fatto INUTILIZZABILE l'intero sito. Ho provveduto a salvare i codici sul mio PC, ma questo mi costringe a re-inviare il mio file molto spesso a causa di questo hacker, e se non sono online il sito è inservibile.

Ho cambiato password all'account ma non credo sia quello il problema.
Non mi pare di avere molte vulnerabilità all'interno del mio sito, dato che l'unico codice complesso è una shoutbox (tra l'altro presa già pronta da ShoutPro, quindi credo sia sufficentemente sicura), e un redirect iniziale per la definizione della risoluzione tramite GET's.


Come posso risolvere questo problema??
E' estremamente urgente

Grazie a tutti
Alessandro Maurizio

Admin dell'unico sito originale per i meme grandi in chat -.-'

[Gianluca]

destructor3:

Il realtà la tua shoutbox permette di eseguire codice php, questo significa praticamente avere il controllo del tuo sito e dei relativi contenuti. È un problema noto (basta fare una ricerca su Google).

[Destructor3]

ecco, me ne sono appena accorto dato che qualcuno ha eliminato il codice della chat per intero!! Tempo di aggornarsi. Quello dovrebbe essere l'unico problema? Ora cerco di risolvere.

Posso mettere un filtro sul messaggio che mi passa i tag <?php e ?> e li neutalizza prima di salvare o devo cambiare qualcos'altro?

mi sa che è proprio da cambiare la shoutbox a quanto vedo online è un problema noto, non avevo pensato alla shoutbox

Prova a dare un'occhiata a questo.

[Destructor3]

Credevo di aver risolto aggiungendo lo strip_quotes() (infatti il mio codice quando lo mettevo non veniva più scritto nel file .php), ma l'hacker è tornato all'attacco.

Ora proverò ad usare il codice di Simpleticket (GRAZIE! :D) e vi farò sapere.
Per il resto, come posso fare, qualche altro suggerimento? per ora è tutto disattivato e i file della shoutbox sono non raggiungibili.

Grazie mille dell'aiuto finora :)
Alessandro

---------

EDIT: ho aggiunto il codice di Simpleticket, più ho passato in tutte le funzioni di pulizia dell'input possibile, questa volta anche nel campo "nome" "password" e "azione" e non solo nello shout. Ho anche cambiato i nomi ai file che ora non sono quindi più facilmente trovabili come prima (shouts.php). Stavo anche pensando di cambiare l'estenzione da .php a .txt, tanto in fondo che bisogno c'è di avere un .php che è eseguibile dal parser quando è solo un contenitore di linee di testo? Un TXT farebbe al caso mio e sarebbe sicuro al 100%. Ora non ho tempo ma lo farò questo pomeriggio.

Qualcuno può testare di nuovo il mio sito? perchè dai miei test ora pare OK... Grazie di tutto :)

---------

PS: Legalmente o tramite altervista posso fare qualcosa sia contro l'hacker sia contro colui che mi ha copiato il sito? E' proprio copiato, altervista non può fare niente per tutelarmi?
Che poi il tipo che ha rubato il sito si chiama *** ***, dopo averlo contattato mi ha detto che lui aveva tutto il diritto di rubarmi il sito perchè non avevo nascosto i codici, e le leggi italiane sono così rovinate che è giusto sfruttarle, e che non lo avrei comunque potuto denunciare. Che gente esiste in Italia?

Ora sono praticamente sicuro che l'hacker sia lui (o un altro amministratore di un altro sito, ***, come ho già detto), cosa posso fare legalmente per tutelarmi oltre a proteggere con codice esatto il sito? :)

Grazie ancora :)

[DS] Ancora una volta, niente accuse in pubblico... AV non può essere chiamata a risponderne qualora si rivelassero infondate

[dementialsite]

Un paio di precisazioni: cambiare l'estensione dei file non ti aiuterebbe, perché in questo modo il codice PHP non verrebbe elaborato (l'engine di AV è regolato perché possa eseguire solo file *.php).

Quanto al tuo sito e ai suoi contenuti copiati, dato che i codici sono in chiaro (e non si può fare altrimenti, visto che così funzionano HTML e JavaScript) potresti provare a cercare in rete qualche script di "minificazione" (minification). Si tratta di script (possono essere interni al tuo sito, o esterni da applicare ai file che lo compongono) che rimuovono commenti, spazi e quant'altro non sia effettivamente necessario all'esecuzione o parsing del codice.

Con un codice compattato del genere (prova a vedere quello del mio sito, se vuoi farti un'idea: in questo caso la minificazione è realizzata dal plugin JCH Optimize per Joomla) non risolverai del tutto il problema, ma farai venire un gran mal di testa a chi volesse tentare di clonarti il sito: così è molto più difficile da modificare. Ah, naturalmente questo vale anche per te: quindi dovrai necessariamente conservare i file originali, sul tuo PC...

Stammi bene...

[Destructor3]

il fatto è che il file dove sono salvati i messaggi non contiene nessun codice PHP, è solo un "contenitore" che viene aperto con FOpen da un altro file in PHP e aggiunge le linee e le legge, quindi il fatto di usare un .txt impedirebbe appunto l'esecuzione di codice PHP da quella pagina "contenitore" e risolverebbe il problema...

Per la compattazione ci avevo pensato ma facendo molte modifiche quotidiane e aggiornamenti un compattamento mi farebbe venire un bel mal di testa tra il moddare file originale, compattarlo e spedirlo ogni volta... e a quello che copia non interessa, perchè non è che sta "copiando" parti di sito, ha proprio SCARICATO l'intera cartella e RICARICATA sul suo sito, senza cambiare nemmeno il titolo!!! Pensa che mi aveva lasciato il codice dei metatag OG:FBAdmin tra gli amministratori di facebook e potevo cambiare e moderare la sua chat in facebook direttamente dal sito -.-

Grazie a tutti comunque :D


EDIT: scusate per le accuse in pubblico non avevo visto l'intervento di moderazione..

[radiodelmomento]

Sarò strano io, ma secondo me tutti questi problemi di sicurezza la chat non li ha.
Ho provato ad hackerarla un po' (sul mio sito, ovviamente) ma non ho riscontrato problemi.
Comunque, cosa dovrei fare per renderla sicura? Potrei progettarne una io ma con la Shoutbox non dovrei creare da 0 l'amministrazione (cosa che mi secca un sacco ).
Grazie.

Beh, ti si potrebbe rispondere mettendoti di fronte all'evidenza che una volta messa in sicurezza la chat il sito non è stato più bucato.

Cmq i problemi ci sono (fidati ), magari non sei stato in grado di utilizzare i bug per accedere ...

[Destructor3]

Nono fidati era la chat che era molto buggata ... ho dovuto correggere almeno 5 bug gravi prima di impedire l'hackeraggio... come dicono sul php... NEVER TRUST USER INPUT ;)

Poi la chat non aveva neanche filtri antispam di nessun tipo a parte il ban dei nomi (comodo) e il ban degli IP (inutile xke cambia)... e gli hater spammavano tanto... ho inserito due filtri anrispam e antidoppiopost che per ora funzionano molto bene :)

Per metterla in sicurezza, la cosa più banale e più grave (corregge il 90% degli altri bug che per sicurezza dovresti correggere ugualmente...) è quello di cambiare nome al file shouts.php in un altro nome (difficile, non identificabile, magari anche lettere e numeri a casaccio così stai tranquillo) con estensione.txt.... che ne so il mio è tipo HsiTdnsbj724!$.txt per intenderci :)

Così gli hacker non lo trovano e soprattutto essendo .txt non possono eseguire codice :)

[radiodelmomento]

Boh io non ci sono riuscito...
Ma non basterebbe aggiungere un mysql_real_escape_string() in entrata e un semplice htmlspecialchars() in uscita?
Inoltre se chiami il file, ad esempio, HsiTdnsbj724!$.txt e poi lo includi in un file PHP non è la stessa cosa? o.O
Comunque adesso dovrei creare un sito COMPLETAMENTE protetto (il mio primo lavoro ufficiale) quindi credo che aprirò un'altra discussione.

[Destructor3]

Aspetta, io sono abbastanza scarso ma mi sa che stai facendo confusione

1) che c'entra mysql se la chat che uso io è textbased e php
2) si anche quello ma non solo
3) il file che lo chiami come ti pare serve a non farlo trovare xke la gente prima injecta codice su quel file (tramite il frame madre) e poi lo esegue a parte per usare il codice.. togliendo il nome non possono eseguirlo

inoltre non è che è incluso nel file php, il php ce l'ha scritto dentro, ci fa un fopen per aprirlo e prendere i messaggi da visualizzare, ma proprio perchè è PHP il CLIENT non vede il sorgente PHP.. è come quando fai l'hardcoding di password o di qualche cosa di segreto all'interno del codice, finchè non conoscono la password FTP non possono ottenere il file php originale e quindi è al sicuro (relativamente)


PS: Ciao lucart, grande avversario ^^
PPS: Te l'avevo detto di ottimizzare il sito, tu non mi credevi, infatti ora il tuo sito è bloccato per il traffico ^^

[radiodelmomento]

Io parlavo di mysql e di tutti quei filtri... avevo un po' cambiato argomento.
[OFF-TOPIC]
Comunque il sito è già ottimizzato, il problema è AJAX. Mannaggia... 3 giorni senza visite!
Ultima cosa: non è che siccome siamo concorrenti non dobbiamo poterci parlare su Facebook.
[/OFF-TOPIC]
Ciao!