Problema con sito - HACKER

[calliostro]

Ciao ragazzi,
purtroppo oggi mi hanno hackato un sito, ma sono riuscito a ripristinarlo e a sistemare tutto semplicemente ricaricando il vecchio file dal database di mysql di aruba.
A rivendicare l'azione è un gruppo di hacker provenienti da un sito arabo conosciuto come saudihack
Adesso, lasciando perdere qualsiasi commento, ho visto, grazie a google analytics, che hanno addirittura aperto un intero topic su questo argomento qua, e ho visto persino che ci "lavorano" da settembre a studiare su come hackare il sito al meglio.

Il forum in cui si discute di questa "impresa" è tutto in arabo, ma ho tradotto con il traduttore di google anche se non si capisce ugualmente una mazza.

Ecco a voi il link:

[eliminato dal moderatore]

Adesso, premetto che io non capisco nulla di programmazione e che il sito in questione non l'ho fatto io ma un programmatore, purtroppo non tanto bravo a quanto pare, almeno non bravo ad "immunizzare" i siti da attacchi esterni...

Comunque vorrei sapere se per caso dagli screenshots che sti arabi qui hanno fatto se riuscite a capire di cosa si tratta, cioè, vorrei sapere se mi hanno preso nome utente e password del Mysql, che cosa significa quel "fc719a145311dda8bf72e39ba13d9be3"

Io ho un pannello CMS costruito appositamente e non si tratta di un precompilato tipo joomla o mambo etc... quando il sito appariva hackato, c'erano bandiere arabe dappertutto e cose del genere e un certo Mujahidin che rivendicava l'attacco al sito.

Comunque, mi sareste di grande aiuto se potesse dirmi se per caso loro possono avere le mie password di mysql o altro e cosa significano quei numeri.
Vi ringrazio e vi prego di spostare questa discussione altrove sempre all'interno del vostro forum se per caso non dovesse essere questo il posto giusto in cui chiedere.
Aspetto vostre risposte e grazie in anticipo!

[calliostro]

PS: ho capito adess, guardando dal pannello di mysql di aruba, che quella serie di numeri e lettere lunghe dovrebbe essere la mia password "criptata" se non sbaglio... E da quella sono risuciti ad accedere al pannello di controllo del sito (il CMS).
Ma allora mi viene naturale pensare che per arrivare a sta benedetta password siano riusciti ad arrivare a quella del Mysql...no?

[calliostro]

Bene, cercando un po' su google ho capito che hanno fatto una SQL Injection, adesso chiedo a voi se c'è un modo per ripararsi da queste injection...
ho capito che il punto debole del sito è proprio il semplice fatto che esso ha stringhe troppo semplificate, forse. Così:

[eliminato dal moderatore]

a cui poi dopo loro hanno aggiunto la stringa +union+select+password+from+xxxxxx--


Adesso, posto che la mia tabella di mysql relativa al sito e al pannello si chiama proprio redazione, e dunque questa stringa restituisce la password relativa alla tabella redazione, come hanno fatto, mi domando, a sapere che la tabella si chiama redazione?
Grazie.

[emmebì]

Esattamente, hanno usato un qualche metodo di SQL injection.

Originariamente inviato da calliostro
Bene, cercando un po' su google ho capito che hanno fatto una SQL Injection, adesso chiedo a voi se c'è un modo per ripararsi da queste injection...

Sì e sono metodi molto semplici in fondo.
Guarda la guida sulla Sicurezza PHP qui su HTML.it / sezione PHP.

[Habanero]

un consiglio...
tutta la sicurezza del sito è da rivedere... praticamente tutte le pagine sono vulnerabili a sql injection... il modulo di ricerca a cross site scripting... solo per dirne alcune

Cambiare la password (come mi sembra sia stato fatto) serve a poco se poi la vulnerabilità resta... allo stesso modo è possibile recuperare il nuovo hash...

Per tua sicurezza oscuro i link da te postati che potrebbero aiutare qualcuno a violare nuovamente il sito.

[calliostro]

Mmm...si riconosco che il sito è proprio bucato in tal senso, e anche per il motore di ricerca ho avuto modo di constatare questo errore.
Dunque, cosa mi consigliate di farE?
Ci vuole per forza un programmatore con i controfiocchi per risolvere il tutto?

[Habanero]

coi controfiocchi.... ne basta uno che conosca le problematiche di sicurezza relative alla progettazione di siti web. A meno che tu non abbia voglia e tempo di informarti a riguardo. Ti suggerisco di leggere la guida indicata da emmebì. Se qualcosa non ti è chiaro puoi sempre chiedere qui.

[emmebì]

E' solamente necessario modificare i dati che l'applicazione server passa al database nelle chiamate SQL.

- se passi numeri interi (id univoci di dati oggetti, per la maggior parte), assicurati che siano numeri, ad esempio con (int)$myId;

- se passi stringhe fanne l'escape con mysql_real_escape_string se usi MySQL.

- ricordati di non visualizzare nelle pagine i dati come li passano gli utenti (rischio XSS): usa funzioni di strip_tags o htmlentities su ognuno dei dati in output (o direttamente quando li inserisci nel db).
In questo caso, se stringa, inserirai: mysql_real_escape_string(htmlentities($myString));

[calliostro]

Eh eh..per me parlate una lignua incomprensibile, ma vi ringrazio molto lo stesso.
Vi chiedo, siccome ho deciso di passare a un sito su joomla 1.5.8, che dite, me lo ocnsigliate dal punto di vista della sicurezza?

comunque, visto che per adesso siamo offline proprio per manutenzione, ho tolto i file dal server (ovviamente prima li ho salvati) e mi ha trovato, nella cartella dove venivano salvate le immagini uppate sul sito, un file che AVG mi ha rilevato come nocivo:

Trojan Horse PHP BackDoor.R57Shell

sottoforma di pagina .php

Che dire...che danni puo' aver fatto/fare un file del genere?
Ora l'ho eliminato, ma nn credo che non riesca a rigenerarsi...

PS: potreste cancellare il nome del sito in questione dal primo post da me lasciato?
Non vorrei venisse indicizzatoancora di più un sito così
Grazie

[Habanero]

R57 è uno script php che agisce come file manager ed è usato allo scopo di defacciare siti. Chi è riuscito a fare l'upload di quel file, richiamandolo sul proprio browser, poteva listare interamente i file del tuo sito, cancellarli, modificarli, caricarne di nuovi etc...

Per quanto riguarda i CMS più diffui come joomla è importante tenersi informati sulle vulnerabilità che nel tempo vengono scoperte. Essendo questi CMS molto diffusi, non appena vengono scoperte vulnerabilità gravi partono anche tentativi di sfruttarle su vasta scala. E' quindi essenziale mantenere aggiornati tutti gli script.