Взломали базу данных, можно ли узнать как?

Общие вопросы по использованию второй версии фреймворка. Если не знаете как что-то сделать и это про Yii 2, вам сюда.
Ответить
rotting
Сообщения: 56
Зарегистрирован: 2016.07.28, 15:50

Взломали базу данных, можно ли узнать как?

Сообщение rotting » 2019.05.13, 11:58

Затерли базу данных, теперь там
To recover your lost Database and avoid leaking it: Send us 0.1 Bitcoin (BTC) to our Bitcoin address 17rDr5mbXjLdegWDFuWd61Ymhwm54GjtNK and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: portal . If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise.
В веб-программировании совсем начинающий, подскажите как можно узнать где у меня дыра, чтоб обезопасить себя на будущее?

Аватара пользователя
samdark
Администратор
Сообщения: 9175
Зарегистрирован: 2009.04.02, 13:46
Откуда: Воронеж
Контактная информация:

Re: Взломали базу данных, можно ли узнать как?

Сообщение samdark » 2019.05.13, 13:35

1. Торчат ли порты наружу?
2. Стойкий ли там пароль?
3. Проверить код на SQL Injection.

rotting
Сообщения: 56
Зарегистрирован: 2016.07.28, 15:50

Re: Взломали базу данных, можно ли узнать как?

Сообщение rotting » 2019.05.13, 14:14

Может логи запросов к mysql можно где посмотреть?

Аватара пользователя
proctoleha
Сообщения: 263
Зарегистрирован: 2016.07.10, 19:00

Re: Взломали базу данных, можно ли узнать как?

Сообщение proctoleha » 2019.05.13, 19:59

rotting писал(а):
2019.05.13, 11:58
Затерли базу данных, теперь там
To recover your lost Database and avoid leaking it: Send us 0.1 Bitcoin (BTC) to our Bitcoin address 17rDr5mbXjLdegWDFuWd61Ymhwm54GjtNK and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: portal . If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise.
В веб-программировании совсем начинающий, подскажите как можно узнать где у меня дыра, чтоб обезопасить себя на будущее?
Что значит там? Вы заходите непосредственно в БД, у вас одна таблица, в ней одно поле, в этом поле такой текст? Или еще что-то? Вы на шаред хостинге пытаетесь зайти в БД через web интерфейс, и вам выскакивает такой текст? Опишите ваши действия максимально подробно, со скринами.
Плюс опишите какое у вас приложение. Yii2 bacsc, advanced? Конфиг приложения?
Вот за что я не люблю линукс, так это за свои кривые, временами, руки

Аватара пользователя
proctoleha
Сообщения: 263
Зарегистрирован: 2016.07.10, 19:00

Re: Взломали базу данных, можно ли узнать как?

Сообщение proctoleha » 2019.05.13, 20:23

В качестве примера могу привести:
и на пред. работе, и на настоящей, было получено несколько писем, что ваше почта взломана, тушите свет, платите деньги на биткоинт ....
Причем, если адрес почты my_address@my-site.com, то и письмо, якобы, было отправлено, именно с этого адреса. Т.е. в поле From стояло именно my_address@my-site.com. Причем все аккаунты на Яндексе.

Вот реальные заголовки письма
Received: from mxfront5o.mail.yandex.net ([127.0.0.1])
by mxfront5o.mail.yandex.net with LMTP id YFmBS9SE
for <my_address@my-site.com>; Thu, 25 Apr 2019 14:33:40 +0300
Received: from mail.avox.cz (mail.avox.cz [217.112.171.94])
by mxfront5o.mail.yandex.net (nwsmtp/Yandex) with ESMTP id K1ADB3cPRi-XcrO1VoM;
Thu, 25 Apr 2019 14:33:38 +0300
Return-Path: websys@avox.cz
X-Yandex-Front: mxfront5o.mail.yandex.net
X-Yandex-TimeMark: 1556192018.597
Authentication-Results: mxfront5o.mail.yandex.net; spf=pass (mxfront5o.mail.yandex.net: domain of avox.cz designates 217.112.171.94 as permitted sender, rule=[mx]) smtp.mail=websys@avox.cz
X-Yandex-Spam: 2
X-Yandex-Fwd: NDkwNjY0MTczODQ3ODc3MDgwMiwxMzY3NDI3NzU4OTMxNDMwMTE1
Received: from mail.viavox.cz (localhost [127.0.0.1])
by mail.viavox.cz (Postfix) with ESMTP id D29DA645A62
for <my_address@my-site.com>; Tue, 23 Apr 2019 02:16:09 +0200 (CEST)
Received: from [96-77-43-233-static.hfc.comcastbusiness.net] (unknown [96.77.43.233])
by mail.viavox.cz (Postfix) with ESMTPSA id 92FB56884BC
for <my_address@my-site.com>; Mon, 22 Apr 2019 16:26:40 +0200 (CEST)
Feedback-ID: 614297 aoqfjv azoadb k List(574282):179530:nstwla
List-Subscribe: 4/22/2019 16:26:40
X-aid: 7194057717
User-Agent: eZ Components
Message-ID: <d5qttihdb3btxplokjrs$fxmqkje8y1$tgxjp2wn30s9zkhc9sdlvnek81a3@yfyihaeylcu2xbct>
To: my_address@my-site.com
Errors-To: update+nfwno32oer1n0w@avox.cz
Content-Type: multipart/related;
boundary="6rikf6qv8p-2adh257v6a-rmzkfa6zkb-9p4vd7w1do-5abgm62c3y"
MIME-Version: 1.0
From: <my_address@my-site.com>
X-CSA-Complaints: whitelist-complaints@avox.cz
X-Mailer: Ubivox Mailengine 2.33.3 <https://www.ubivox.com>
Subject: lavrovoupak
X-Priority: 5 (Lowest)
Organization: Bdwmgsnzrykzand
List-Unsubscribe: <mailto:unsubscribe@avox.cz?subject=unsubscribe:7hmtjiob0fusyyv73wvm7pnv8kctdpesa70xmyfysg9anp8u6w7jjr0zb9dxfe1l380l9b4sv8qevxdt>
Date: Mon, 22 Apr 2019 16:26:41 +0200
X-AV-Checked: ClamAV using ClamSMTP
X-Yandex-Forward: f320c283e094f65aac2efdd9dd26a921
Вот за что я не люблю линукс, так это за свои кривые, временами, руки

Аватара пользователя
samdark
Администратор
Сообщения: 9175
Зарегистрирован: 2009.04.02, 13:46
Откуда: Воронеж
Контактная информация:

Re: Взломали базу данных, можно ли узнать как?

Сообщение samdark » 2019.05.13, 22:27

При чём тут почта?

Аватара пользователя
proctoleha
Сообщения: 263
Зарегистрирован: 2016.07.10, 19:00

Re: Взломали базу данных, можно ли узнать как?

Сообщение proctoleha » 2019.05.14, 05:02

samdark писал(а):
2019.05.13, 22:27
При чём тут почта?
Аналогия. Речь идет якобы о взломе. На самом деле развод. Поэтому и попросил уточнить детали
Вот за что я не люблю линукс, так это за свои кривые, временами, руки

Аватара пользователя
leonenco
Сообщения: 125
Зарегистрирован: 2017.01.30, 22:42

Re: Взломали базу данных, можно ли узнать как?

Сообщение leonenco » 2019.05.14, 06:56

samdark писал(а):
2019.05.13, 13:35
1. Торчат ли порты наружу?
2. Стойкий ли там пароль?
3. Проверить код на SQL Injection.
вопрос, возможно ли инжектировать yii2? если навыков нет, соответственно все было из коробки?

Аватара пользователя
leonenco
Сообщения: 125
Зарегистрирован: 2017.01.30, 22:42

Re: Взломали базу данных, можно ли узнать как?

Сообщение leonenco » 2019.05.14, 07:00

leonenco писал(а):
2019.05.14, 06:56
samdark писал(а):
2019.05.13, 13:35
1. Торчат ли порты наружу?
2. Стойкий ли там пароль?
3. Проверить код на SQL Injection.
вопрос, возможно ли инжектировать yii2? если навыков нет, соответственно все было из коробки?
мы ведь не пишем запрос напрямую в БД, или по крайней мере пытаемся, все через AR. Саня, я как знаю даже в MS Sever чтоб минимизировать риски SQL injection можно через процедуры дергать. Возможно ли такое в Yii?

Аватара пользователя
SiZE
Сообщения: 2698
Зарегистрирован: 2011.09.21, 12:39
Откуда: Perm
Контактная информация:

Re: Взломали базу данных, можно ли узнать как?

Сообщение SiZE » 2019.05.14, 08:36

все параметры не указанные напрямую в запросе экранируются.
в поиске работы

Аватара пользователя
Йож
Сообщения: 571
Зарегистрирован: 2015.08.26, 03:05

Re: Взломали базу данных, можно ли узнать как?

Сообщение Йож » 2019.05.14, 14:08

rotting писал(а):
2019.05.13, 14:14
Может логи запросов к mysql можно где посмотреть?
Проверьте целостность самой базы. Может, просто deface сделан (замена главной страницы).
А так логи к mysql не помогут, взломать могли через любое другое место (даже соседний сайт) и выгрузить себе базу.

Аватара пользователя
maleks
Сообщения: 1764
Зарегистрирован: 2012.12.26, 12:56

Re: Взломали базу данных, можно ли узнать как?

Сообщение maleks » 2019.05.14, 15:42

rotting писал(а):
2019.05.13, 14:14
Может логи запросов к mysql можно где посмотреть?
Это если такие логи ведутся, что совсем не факт. Гуглите - mysql general log.
Уязвимостей очень много разных бывает, доступ к базе и через php могли получить.

rotting
Сообщения: 56
Зарегистрирован: 2016.07.28, 15:50

Re: Взломали базу данных, можно ли узнать как?

Сообщение rotting » 2019.05.15, 15:34

Базы данных нет, в ней просто одна таблица, в ней запись с сообщением.

Восстановил из бекапа, вопрос как обезопасить себя на будущее.

Аватара пользователя
maleks
Сообщения: 1764
Зарегистрирован: 2012.12.26, 12:56

Re: Взломали базу данных, можно ли узнать как?

Сообщение maleks » 2019.05.15, 15:56

да вы хоть обозначьте где этот сайт хостится.

С чего вы решили что yii имеет к этой проблеме вообще отношение?
Если делалось по документации, то в самом коде фреймворка дыр быть не должно, а что вы там поверх придумали, кто знает. Подумайте например вы никогда параметры в SQL запросы не конкатенируете к тексту запроса?

rotting
Сообщения: 56
Зарегистрирован: 2016.07.28, 15:50

Re: Взломали базу данных, можно ли узнать как?

Сообщение rotting » 2019.05.15, 16:29

Сайт на своем сервере, был открыт наружу SSH на не стандартном порту и порт 3306, сейчас по закрывал.

Хочу спросить есть ли дыры в самом фреймворке.

Аватара пользователя
samdark
Администратор
Сообщения: 9175
Зарегистрирован: 2009.04.02, 13:46
Откуда: Воронеж
Контактная информация:

Re: Взломали базу данных, можно ли узнать как?

Сообщение samdark » 2019.05.15, 18:09

В самом фреймворке, в его последней версии, известных дыр нет. В приложении понаделать дыр вполне можно при этом.

Ответить