Страница 1 из 1

Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.13, 11:58
rotting
Затерли базу данных, теперь там
To recover your lost Database and avoid leaking it: Send us 0.1 Bitcoin (BTC) to our Bitcoin address 17rDr5mbXjLdegWDFuWd61Ymhwm54GjtNK and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: portal . If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise.
В веб-программировании совсем начинающий, подскажите как можно узнать где у меня дыра, чтоб обезопасить себя на будущее?

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.13, 13:35
samdark
1. Торчат ли порты наружу?
2. Стойкий ли там пароль?
3. Проверить код на SQL Injection.

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.13, 14:14
rotting
Может логи запросов к mysql можно где посмотреть?

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.13, 19:59
proctoleha
rotting писал(а):
2019.05.13, 11:58
Затерли базу данных, теперь там
To recover your lost Database and avoid leaking it: Send us 0.1 Bitcoin (BTC) to our Bitcoin address 17rDr5mbXjLdegWDFuWd61Ymhwm54GjtNK and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: portal . If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise.
В веб-программировании совсем начинающий, подскажите как можно узнать где у меня дыра, чтоб обезопасить себя на будущее?
Что значит там? Вы заходите непосредственно в БД, у вас одна таблица, в ней одно поле, в этом поле такой текст? Или еще что-то? Вы на шаред хостинге пытаетесь зайти в БД через web интерфейс, и вам выскакивает такой текст? Опишите ваши действия максимально подробно, со скринами.
Плюс опишите какое у вас приложение. Yii2 bacsc, advanced? Конфиг приложения?

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.13, 20:23
proctoleha
В качестве примера могу привести:
и на пред. работе, и на настоящей, было получено несколько писем, что ваше почта взломана, тушите свет, платите деньги на биткоинт ....
Причем, если адрес почты my_address@my-site.com, то и письмо, якобы, было отправлено, именно с этого адреса. Т.е. в поле From стояло именно my_address@my-site.com. Причем все аккаунты на Яндексе.

Вот реальные заголовки письма
Received: from mxfront5o.mail.yandex.net ([127.0.0.1])
by mxfront5o.mail.yandex.net with LMTP id YFmBS9SE
for <my_address@my-site.com>; Thu, 25 Apr 2019 14:33:40 +0300
Received: from mail.avox.cz (mail.avox.cz [217.112.171.94])
by mxfront5o.mail.yandex.net (nwsmtp/Yandex) with ESMTP id K1ADB3cPRi-XcrO1VoM;
Thu, 25 Apr 2019 14:33:38 +0300
Return-Path: websys@avox.cz
X-Yandex-Front: mxfront5o.mail.yandex.net
X-Yandex-TimeMark: 1556192018.597
Authentication-Results: mxfront5o.mail.yandex.net; spf=pass (mxfront5o.mail.yandex.net: domain of avox.cz designates 217.112.171.94 as permitted sender, rule=[mx]) smtp.mail=websys@avox.cz
X-Yandex-Spam: 2
X-Yandex-Fwd: NDkwNjY0MTczODQ3ODc3MDgwMiwxMzY3NDI3NzU4OTMxNDMwMTE1
Received: from mail.viavox.cz (localhost [127.0.0.1])
by mail.viavox.cz (Postfix) with ESMTP id D29DA645A62
for <my_address@my-site.com>; Tue, 23 Apr 2019 02:16:09 +0200 (CEST)
Received: from [96-77-43-233-static.hfc.comcastbusiness.net] (unknown [96.77.43.233])
by mail.viavox.cz (Postfix) with ESMTPSA id 92FB56884BC
for <my_address@my-site.com>; Mon, 22 Apr 2019 16:26:40 +0200 (CEST)
Feedback-ID: 614297 aoqfjv azoadb k List(574282):179530:nstwla
List-Subscribe: 4/22/2019 16:26:40
X-aid: 7194057717
User-Agent: eZ Components
Message-ID: <d5qttihdb3btxplokjrs$fxmqkje8y1$tgxjp2wn30s9zkhc9sdlvnek81a3@yfyihaeylcu2xbct>
To: my_address@my-site.com
Errors-To: update+nfwno32oer1n0w@avox.cz
Content-Type: multipart/related;
boundary="6rikf6qv8p-2adh257v6a-rmzkfa6zkb-9p4vd7w1do-5abgm62c3y"
MIME-Version: 1.0
From: <my_address@my-site.com>
X-CSA-Complaints: whitelist-complaints@avox.cz
X-Mailer: Ubivox Mailengine 2.33.3 <https://www.ubivox.com>
Subject: lavrovoupak
X-Priority: 5 (Lowest)
Organization: Bdwmgsnzrykzand
List-Unsubscribe: <mailto:unsubscribe@avox.cz?subject=unsubscribe:7hmtjiob0fusyyv73wvm7pnv8kctdpesa70xmyfysg9anp8u6w7jjr0zb9dxfe1l380l9b4sv8qevxdt>
Date: Mon, 22 Apr 2019 16:26:41 +0200
X-AV-Checked: ClamAV using ClamSMTP
X-Yandex-Forward: f320c283e094f65aac2efdd9dd26a921

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.13, 22:27
samdark
При чём тут почта?

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.14, 05:02
proctoleha
samdark писал(а):
2019.05.13, 22:27
При чём тут почта?
Аналогия. Речь идет якобы о взломе. На самом деле развод. Поэтому и попросил уточнить детали

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.14, 06:56
leonenco
samdark писал(а):
2019.05.13, 13:35
1. Торчат ли порты наружу?
2. Стойкий ли там пароль?
3. Проверить код на SQL Injection.
вопрос, возможно ли инжектировать yii2? если навыков нет, соответственно все было из коробки?

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.14, 07:00
leonenco
leonenco писал(а):
2019.05.14, 06:56
samdark писал(а):
2019.05.13, 13:35
1. Торчат ли порты наружу?
2. Стойкий ли там пароль?
3. Проверить код на SQL Injection.
вопрос, возможно ли инжектировать yii2? если навыков нет, соответственно все было из коробки?
мы ведь не пишем запрос напрямую в БД, или по крайней мере пытаемся, все через AR. Саня, я как знаю даже в MS Sever чтоб минимизировать риски SQL injection можно через процедуры дергать. Возможно ли такое в Yii?

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.14, 08:36
SiZE
все параметры не указанные напрямую в запросе экранируются.

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.14, 14:08
Йож
rotting писал(а):
2019.05.13, 14:14
Может логи запросов к mysql можно где посмотреть?
Проверьте целостность самой базы. Может, просто deface сделан (замена главной страницы).
А так логи к mysql не помогут, взломать могли через любое другое место (даже соседний сайт) и выгрузить себе базу.

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.14, 15:42
maleks
rotting писал(а):
2019.05.13, 14:14
Может логи запросов к mysql можно где посмотреть?
Это если такие логи ведутся, что совсем не факт. Гуглите - mysql general log.
Уязвимостей очень много разных бывает, доступ к базе и через php могли получить.

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.15, 15:34
rotting
Базы данных нет, в ней просто одна таблица, в ней запись с сообщением.

Восстановил из бекапа, вопрос как обезопасить себя на будущее.

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.15, 15:56
maleks
да вы хоть обозначьте где этот сайт хостится.

С чего вы решили что yii имеет к этой проблеме вообще отношение?
Если делалось по документации, то в самом коде фреймворка дыр быть не должно, а что вы там поверх придумали, кто знает. Подумайте например вы никогда параметры в SQL запросы не конкатенируете к тексту запроса?

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.15, 16:29
rotting
Сайт на своем сервере, был открыт наружу SSH на не стандартном порту и порт 3306, сейчас по закрывал.

Хочу спросить есть ли дыры в самом фреймворке.

Re: Взломали базу данных, можно ли узнать как?

Добавлено: 2019.05.15, 18:09
samdark
В самом фреймворке, в его последней версии, известных дыр нет. В приложении понаделать дыр вполне можно при этом.