Назад | Перейти на главную страницу

База данных взламывается снова и снова; уже почистил сайт под SQL инъекцию

У меня есть клиент, который попросил меня попробовать проанализировать сайт на уязвимость.

Что происходит каждые выходные или около того, поле одной записи одной таблицы в базе данных каждый раз изменяется на одно и то же. Из Jewelry к Jewelery <a href="http://[**REMOVED-FOR-SF**]/viewPress?press_id=407">[**REMOVED-FOR-SF**]</a><a href="http://[**REMOVED-FOR-SF**]/[**REMOVED-FOR-SF**].html">[**REMOVED-FOR-SF**]</a>. Тот факт, что это всегда одна и та же запись, заставляет меня думать, что это какой-то автоматизированный сценарий, но если это так, я не могу его найти.

Выполнено следующее:

Что дальше?

Злоумышленнику, скорее всего, не нужно знать пароль, чтобы выполнить изменение - вот как я бы с этим справился:

Найдите оболочку функции запроса для своей CMS и обновите ее, чтобы записывать в файл и / или отправлять электронное письмо всякий раз, когда регулярное выражение в строке запроса совпадает со строкой спама - включите любые и все соответствующие переменные сервера и CMS, которые могут помочь идентифицировать источник проблемы.

Обратите внимание, что вы можете позвонить debug_backtrace () на PHP 4.3+, чтобы изолировать включаемые файлы, если это может быть работа вредоносного плагина.

Вероятно, атака оставшейся инъекции - можете ли вы настроить триггер БД, чтобы вы знали, когда запись снова изменится? Затем сопоставил это с журналами вашего веб-сервера - должно немедленно привести к виновнику.

Также убедитесь, что вы регистрируете столько, сколько можете (рефереры и т. Д.)

Вы еще не смотрели SQL-сервер? Возможно, там запущен скрипт или настроена какая-то процедура для обновления, которое было выполнено по законной причине (или даже просто в целях тестирования) и с тех пор было забыто, но все еще запускается. Скорее всего, есть жестко закодированные значения, подобные этой опечатке.

Вы установили генератор ссылок в своей CMS? Некоторые сайты автоматически создают ссылки для создания обратных ссылок на сообщения в блогах. Это похоже на то же самое. Проверьте расширения вашей CMS и посмотрите, есть ли там что-нибудь.

Насколько сильно загружен сайт? Возможно, одним из вариантов может стать захват пакетов, который покажет вам все и вся, что пришло из внешнего мира, когда это изменилось. Это, по крайней мере, даст вам знать, меняет ли что-то внутреннее по отношению к серверу или где находится ваша уязвимость.

Вы можете настроить modsecurity и добавить правило для регистрации данных POST всякий раз, когда он видит версию с ошибкой. Если это кто-то редактирует или вводит SQL, он должен быть зарегистрирован.