Ho costruito un sito web da zero usando PHP e MySQL per la mia comunità residenziale e il nostro budget è un grosso "0".
Cinque giorni fa ho scoperto che c'erano 222 voci in una tabella nel mio database che sembravano sospette. Ho trovato altre 196 voci in un'altra tabella con voci simili. Tutte queste voci sono state fatte entro un intervallo di 11 ore.
Da allora mi sono rotto la testa cercando di farlo 1. trovare modi per evitare che tali cose accadano - in pratica cercando di imparare e convertire il mio PHP in MySQLi (il mio host non supporta PDO) e 2. cercando di scoprire con certezza se si tratta di un attacco di SQL injection. 3. il log di Apache per il giorno rilevante aveva una dimensione di 4976Kb mentre, tutti gli altri giorni è inferiore a 50Kb 4. Ho anche preso una discarica di uno dei tavoli (222 record).
- Quello che vorrei sapere è, quale di questi è il primo posto da visitare?
- Studio innanzitutto i registri per cercare di scoprire cosa hanno ottenuto da questo esercizio?
- Studio le voci della tabella per scoprire come hanno fatto?
- Devo rimuovere il sito?
- Devo svuotare i miei tavoli, cambiare le password esistenti, ecc.? (fortunatamente, dal momento che questo sito non è stato "lanciato", non ci sono dati che devo conservare - posso semplicemente svuotare tutti i tavoli!)
La ricerca su SE mi ha dato molto da pensare in particolare link e la risposta di RobM ha perfettamente senso.
Non conosco le implicazioni di ciò che vedo nei miei tavoli. Alcune delle voci non sono visualizzate nell'anteprima, ovviamente perché contiene caratteri speciali. Mi sarebbe piaciuto poter caricare il dump excel della tabella in questione ma non sembra possibile qui ...
Non voglio rimuovere queste voci prima di poter capire cosa potrebbero voler dire e quanto sono stato compromesso. Allo stesso tempo, non sono sicuro se lasciarli lì possa causarmi ulteriori danni ....