Tentativa de invasão
- Fabio Cardoso
-
Autor do Tópico
- Offline
- JCB! Hero
-
Menos
Mais
14 anos 1 mês atrás #54848
por Fabio Cardoso
"Vencer a si mesmo é a maior das vitórias."
[i:3c4s7sku]Platão[/i:3c4s7sku]
"Ensinar é mostrar que é possível. Aprender é tornar possível a si mesmo."
[i:3c4s7sku]Paulo Coelho[/i:3c4s7sku]
[b:3c4s7sku]Não respondo dúvidas sobre Joomla em MP. Use o fórum.[/b:3c4s7sku]
[color=#000080:3c4s7sku]
Criação e hospedagem de sites, e-commerce. Consultoria em Joomla.
<!--...
Fabio Cardoso created the topic: Tentativa de invasão
Prezados,
O site de um dos meus clientes teve perto de 90 tentativas de logon esta madrugada, todas realizadas precisamente às 3h21. Certo de que foi um processo automatizado, e que tenho o IP da máquina suspeita, pergunto:
Alguém já passou por isso? Verifiquei o site e a princípio nada foi alterado, porém mesmo assim eu solicitei a restauração do backup ao servidor de hospedagem.
Nesse caso não se aplica, mas e se o site fosse alterado? Quais as providências legais?
um abraço,
Fabio.
O site de um dos meus clientes teve perto de 90 tentativas de logon esta madrugada, todas realizadas precisamente às 3h21. Certo de que foi um processo automatizado, e que tenho o IP da máquina suspeita, pergunto:
Alguém já passou por isso? Verifiquei o site e a princípio nada foi alterado, porém mesmo assim eu solicitei a restauração do backup ao servidor de hospedagem.
Nesse caso não se aplica, mas e se o site fosse alterado? Quais as providências legais?
um abraço,
Fabio.
"Vencer a si mesmo é a maior das vitórias."
[i:3c4s7sku]Platão[/i:3c4s7sku]
"Ensinar é mostrar que é possível. Aprender é tornar possível a si mesmo."
[i:3c4s7sku]Paulo Coelho[/i:3c4s7sku]
[b:3c4s7sku]Não respondo dúvidas sobre Joomla em MP. Use o fórum.[/b:3c4s7sku]
[color=#000080:3c4s7sku]
Criação e hospedagem de sites, e-commerce. Consultoria em Joomla.
<!--...
Please Entrar ou Registrar to join the conversation.
- rodajr
-
- Offline
- JCB! Colaborador
-
Menos
Mais
- Postagens: 25
- Obrigados Recebidos: 0
14 anos 1 mês atrás #54853
por rodajr
rodajr replied the topic: Re: Tentativa de invasão
Fabio, passei por problema com hacker pouca semanas atras.
Se quiser ajuda tecnica sugiro ir direto no forum do joomla tem uma secao de seguranca la, tem um checklist e umas ferramentas que podem te ajudar a descobrir.
http://forum.joomla.org/
Agora providencias legais eh complicado. Pense assim, quem te hackeaou? quem tentou te hackear?
se vc pegou o ip, da onde eh? como aconteceu comigo, tinha um ip da africa, depois um da china, etc...
Ae vem outra coisa, q gera mta discussao entre o web designer e o host do site, de quem eh a culpa? em certos casos irao por a culpa um no outro, o que eh uma grande perda tempo.
Entao o que vc tem q pensar eh em vc, fazer um termo de contrato , compromisso que posso te ajudar se o cliente quiser te comprometer.
E para isso, se vc eh o web designer vc tem q verificar teu joomla q ele poder ser a porta de entrada do ataque. Ou seja vc tera q dar uma estuda nesse assunto por preucacao.
Entra no forum da joomla e da uma estuda no q tem la, nos posts fixos e tals.
Agora, falando na parte tecnica. Como vc sabe q houve a tentativa? vc checou os log do joomla? o error_log na raiz do joomla?
tem como colar ele aqui?
Se quiser ajuda tecnica sugiro ir direto no forum do joomla tem uma secao de seguranca la, tem um checklist e umas ferramentas que podem te ajudar a descobrir.
http://forum.joomla.org/
Agora providencias legais eh complicado. Pense assim, quem te hackeaou? quem tentou te hackear?
se vc pegou o ip, da onde eh? como aconteceu comigo, tinha um ip da africa, depois um da china, etc...
Ae vem outra coisa, q gera mta discussao entre o web designer e o host do site, de quem eh a culpa? em certos casos irao por a culpa um no outro, o que eh uma grande perda tempo.
Entao o que vc tem q pensar eh em vc, fazer um termo de contrato , compromisso que posso te ajudar se o cliente quiser te comprometer.
E para isso, se vc eh o web designer vc tem q verificar teu joomla q ele poder ser a porta de entrada do ataque. Ou seja vc tera q dar uma estuda nesse assunto por preucacao.
Entra no forum da joomla e da uma estuda no q tem la, nos posts fixos e tals.
Agora, falando na parte tecnica. Como vc sabe q houve a tentativa? vc checou os log do joomla? o error_log na raiz do joomla?
tem como colar ele aqui?
Please Entrar ou Registrar to join the conversation.
- rafael rocha
-
- Offline
- JCB! Senior
-
Menos
Mais
- Postagens: 116
- Obrigados Recebidos: 0
14 anos 1 mês atrás #54856
por rafael rocha
rafael rocha replied the topic: Re: Tentativa de invasão
Concordo com o rodajr , e fiquei com a mesma dúvida que ele também rs ? como voce sabe que houve essa tentativa ? como você monitora isso ? <!-- s:shock: --><img src="{SMILIES_PATH}/icon_eek.gif" alt=":shock:" title="Chocado" /><!-- s:shock: -->
Please Entrar ou Registrar to join the conversation.
- rodajr
-
- Offline
- JCB! Colaborador
-
Menos
Mais
- Postagens: 25
- Obrigados Recebidos: 0
14 anos 1 mês atrás #54859
por rodajr
rodajr replied the topic: Re: Tentativa de invasão
Rafael,
Assim, vc tem q checar todos os logs q vc tem disponivel. Se vc tem acesso ao servidor, vc tem como checar os logs de acesso http e ftp. No joomla vc tem o error_log na raiz dele.
Perguntei pq nos logs do servidor vc tera os bots do google acessando para verificar teu site e outros robots pela internet a fora.
Se vc esta tentando o primeiro contato com esse tipo de situacao vc deve aprender a enteder os logs e saber de onde vem os acessos.
No log do joomla, vc o hacker estiver tentando entrar por ele, as vezes aparece a tentativa de invasao la. algo como:
08-Ago-2011 11:30:05] PHP Fatal error: Class 'HsConfigController../../../../../../../../../../../../../../../../../../../../../../../..//proc/self/environ' not found in /home/
isso ae eh um ataque de php injection
E adiantando, pelo q pesquisei e pela experiencia q tive, ataques ao joomla acontecem na maioria das vezes por estar usando componentes desatualisados (antigos) ou usando joomla antigo mesmo.
Por isso um dos itens da checklist de seguranca dos caras do joomla eh usar coisas atuais. Simples assim.
Outra dica basica deles eh teus projetos, arquivos, etc... estarem limpos. Acontece do web designer pegar um script malicioso sem saber e infectar sua maquina local, sendo assim o projeto ja vai infectado para a internet, ou seja ja vai com porta aberta.
Assim, vc tem q checar todos os logs q vc tem disponivel. Se vc tem acesso ao servidor, vc tem como checar os logs de acesso http e ftp. No joomla vc tem o error_log na raiz dele.
Perguntei pq nos logs do servidor vc tera os bots do google acessando para verificar teu site e outros robots pela internet a fora.
Se vc esta tentando o primeiro contato com esse tipo de situacao vc deve aprender a enteder os logs e saber de onde vem os acessos.
No log do joomla, vc o hacker estiver tentando entrar por ele, as vezes aparece a tentativa de invasao la. algo como:
08-Ago-2011 11:30:05] PHP Fatal error: Class 'HsConfigController../../../../../../../../../../../../../../../../../../../../../../../..//proc/self/environ' not found in /home/
isso ae eh um ataque de php injection
E adiantando, pelo q pesquisei e pela experiencia q tive, ataques ao joomla acontecem na maioria das vezes por estar usando componentes desatualisados (antigos) ou usando joomla antigo mesmo.
Por isso um dos itens da checklist de seguranca dos caras do joomla eh usar coisas atuais. Simples assim.
Outra dica basica deles eh teus projetos, arquivos, etc... estarem limpos. Acontece do web designer pegar um script malicioso sem saber e infectar sua maquina local, sendo assim o projeto ja vai infectado para a internet, ou seja ja vai com porta aberta.
Please Entrar ou Registrar to join the conversation.
- rodajr
-
- Offline
- JCB! Colaborador
-
Menos
Mais
- Postagens: 25
- Obrigados Recebidos: 0
14 anos 1 mês atrás #54861
por rodajr
rodajr replied the topic: Re: Tentativa de invasão
ah outra coisa q esqueci de comentar a respeito de tentativas de invasao:
Quem esta tentando invadir, na maioria das vezes, nao tem um alvo especifico em mente, ele fica procurando sites vulneraveis ate achar um e comeca o ataque. E provalmente ele ja atacou outro site e esta usando ele pra atacar o alvo q ele achou, assim escondeu o rastro dele.
Por isso eh complicado implicar alguem.
Sabe uma maneira de procura alvos facil facil, google.
Isso mesmo, eh so ir la e digitar algumas coisas especificas como por exemplo:
inurl:index.php?page=
assim vc ira ver uma lista de sites pra vc testar a vulnerabilidade
Quem esta tentando invadir, na maioria das vezes, nao tem um alvo especifico em mente, ele fica procurando sites vulneraveis ate achar um e comeca o ataque. E provalmente ele ja atacou outro site e esta usando ele pra atacar o alvo q ele achou, assim escondeu o rastro dele.
Por isso eh complicado implicar alguem.
Sabe uma maneira de procura alvos facil facil, google.
Isso mesmo, eh so ir la e digitar algumas coisas especificas como por exemplo:
inurl:index.php?page=
assim vc ira ver uma lista de sites pra vc testar a vulnerabilidade
Please Entrar ou Registrar to join the conversation.