come impedire l'inserimento di script sul mio sito [chiuso]

Naviga le tue risposte
1

Ho un server API su Digitalocean. Ieri mi hanno detto che ho "un grande flusso di traffico da uno o più server che sta interrompendo il normale flusso di traffico per altri utenti".

Ho controllato i miei processi in esecuzione e sembra che qualcuno abbia iniettato uno script ed eseguito con l'autorizzazione root . L'immagine è la seguente:

il fatto è che non riesco nemmeno a trovare questo file udp_flood.txt . e non so nemmeno come si possa ottenere con root così facilmente ..

La mia ipotesi è nel mio backend Ho un'API che consente all'utente di caricare le proprie immagini sul sito. E poi ritaglia / ridimensiono l'immagine e carica su AWS. Ma non potrei essere sicuro che questa sia la causa del problema, quindi non so come prevenire le future iniezioni.

Quindi le mie domande sono:

  1. come l'ha fatto per iniettare script ed eseguire come root?
  2. come prevenirlo? è sicuro che la causa derivi dalla funzionalità di caricamento?
  3. come registrarlo per cui in futuro so di essere stato attaccato? (invece del mio fornitore di servizi che mi dice)
posta Shih-Min Lee 16.11.2015 - 05:43
fonte

1 risposta

4

how he did it to inject scripts and run as root?

Questo non è noto sulla base dei pochi dettagli che hai fornito. Potrebbe tramite gli accessi SSH brute-forcing. Potrebbe anche attraverso la combinazione di diversi problemi. Un semplice caricamento non è sufficiente perché l'autore dell'attacco deve anche trovare i modi per eseguire il codice e deve anche aver trovato un problema di sicurezza che consente di ottenere l'accesso di root per un utente normale (ci sono vari exploit per questo su sistemi Linux senza patch). p>

how to prevent it? ...how to log it so in the future I know I am being attacked? (instead of my service provider telling me)

Utilizza un sistema completamente aggiornato, trova e risolvi i problemi di sicurezza nell'applicazione, utilizza password complesse per l'accesso remoto (o tasti migliori) ... Ci sono molte domande simili su questo argomento già.

Sulla base delle attuali conoscenze disponibili, cerco invece un sistema gestito per mantenere il sistema sicuro e cercare esperienza nella sicurezza delle applicazioni Web per rendere sicura l'applicazione. C'è molto da cercare e non può essere mostrato in dettaglio solo in una singola risposta (troppo ampia).

is it safe to say the cause is coming from upload functionality?

Non senza fare una corretta analisi forense del sistema.

Vedi anche Sono stato violato, ma Non so perché .

    
risposta data 16.11.2015 - 07:01
fonte

Leggi altre domande sui tag

La scansione della porta nmap restituisce le porte corrette per i siti Web che non consentono l'accesso diretto IP Windows 7 Sfrutta