Il mio sito è stato violato e l'utente malintenzionato ha ricevuto i dati dal file di configurazione [chiuso]

Naviga le tue risposte
0

Alcuni giorni fa il mio sito Web è stato violato. Ho scoperto che l'hacker eseguiva le query direttamente nel database, quindi in qualche modo ha avuto accesso alle credenziali del mio database.

Sto usando laravel 4 e il file di configurazione è memorizzato fuori dalla cartella public_html in un file .env.production.php e assomiglia a questo: 

<?php 
return array(

'DB_NAME' => 'database_name',
'DB_USER' => 'database_user',
'DB_PASS' => 'my_password',
'DB_SERVER' => 'localhost'); ?>

L'accesso a questo file nel browser non restituisce nulla, quindi come hanno ottenuto i dati gli aggressori? Una teoria potrebbe essere che la società di hosting sia stata hackerata (io sono in hosting condiviso. Lo negano e ho motivi per crederci.

Quali altre possibilità ci sono? Inclusione di file remoti? Inclusione di file locali? Voglio sapere che cosa potrebbe causare il danneggiamento dei dati nel file di configurazione, quindi so cosa controllare nella mia applicazione.

    
posta blue_is_awesome 05.01.2015 - 12:07
fonte

3 risposte

1

La tua domanda non può essere risolta con le informazioni fornite.

Da quello che sappiamo, potresti persino non essere stato hackerato. Potresti iniziare a dirci di più su queste query e cosa intendi per directly into the database . Accesso remoto da un altro indirizzo IP o una query che non è possibile trovare negli script? Quella query potrebbe provenire da Laravel o da un plugin.

In ogni caso è impossibile dire come sei stato hackerato senza conoscere i tuoi registri, gli script PHP e tutto ciò che è su questo server. Anche con l'accesso root, potrebbe non essere possibile stabilire se l'attacco è stato ripulito o che la registrazione non copre il vettore di attacco.

Il primo passo sarebbe trovare l'ora dell'attacco e controllare i file di registro in questo momento. Se non riesci a trovare nulla controlla il registro completo. Se trovi qualcosa che non capisci google o fai una domanda.

Se sei sicuro di essere stato hackerato, potresti voler coinvolgere il tuo hoster. Dovevano sapere lì il server e potrebbero avere accesso a registri e strumenti che non conosci.

    
risposta data 05.01.2015 - 15:01
fonte
0

Sembra che ci siano alcune vulnerabilità note che potrebbero essere state il loro punto di partenza. Ad esempio, V4 ha avuto un problema CSRF a novembre.

Sono d'accordo con il commentatore che ha affermato che il primo passaggio sta cambiando i dettagli dell'autenticazione del database.

link

    
risposta data 05.01.2015 - 13:46
fonte
0

Ho un'ipotesi su come l'hacker ha avuto accesso al tuo file di configurazione. Potresti averlo modificato di recente; e i file temporanei di PHP durante o dopo la modifica sono rimasti nella directory in cui è stato memorizzato il file di configurazione. controlla se puoi accedere a .php ~ php # php.save php.swp php.swo

Questi sono i nomi di file temporanei usati dagli editor di testo più popolari.

O controlla quale editor è il tuo editor di default per i file PHP e google qual è la sua estensione di file temporanei.

    
risposta data 05.01.2015 - 22:27
fonte

Leggi altre domande sui tag

Mobile Game Auth Token Stolen [chiuso] sqlmap - Scarica più colonne contemporaneamente? [chiuso]