Recentemente uno dei miei siti è stato violato. L'hacker ha utilizzato l'iniezione SQL per compromettere la sicurezza. Dopo aver ottenuto l'accesso SQL, ha inserito il codice in molti punti del database. Ho pulito molti di loro. Ma sono ancora preoccupato che possa contenere una backdoor nascosta.
Come posso trovare questo codice iniettato?
Suggerirei di rivedere le impostazioni di connessione per il DB, nonché di reimpostare qualsiasi password e verificare qualsiasi nome host per gli utenti autorizzati a connettersi al DB. Inoltre, assicurati di aver scaricato la fonte originale dell'intrusione. (Se si dispone di un log di query, cercare le altre query che si sono verificate con le query non autorizzate, poiché SQL injection piggyback su una query valida.)
Il problema più complicato sarebbe se si ospita contenuto HTML fuori dal DB nel qual caso l'autore dell'attacco potrebbe aver introdotto pagine che consentirebbero ulteriori iniezioni, ma tali record sarebbero molto difficili da trovare senza fare un diff come descritto. Questo potrebbe anche essere applicato se hanno fatto qualsiasi elevazione di autorizzazione all'interno del sistema in esecuzione sul DB.
Potrebbero esserci altre cose da verificare, ma quelle sono le cose immediate che vengono in mente per modi generici in cui un DB SQL potrebbe rimanere compromesso.
Non mi fiderei di alcun tipo di revisione automatizzata - un singolo falso negativo e il server verrà nuovamente sottoposto a scansione. Speriamo che tu abbia dei backup ben noti prima dell'attacco, altrimenti sarà difficile sapere di cosa ti puoi fidare.
Leggi altre domande sui tag php sql-injection web-application backdoor