Recientemente uno de mis sitios fue hackeado. El hacker utilizó la inyección de SQL para comprometer la seguridad. Después de obtener acceso a SQL, inyectó código en muchos lugares de la base de datos. Limpié muchos de ellos. Pero todavía me preocupa que pueda contener cualquier puerta trasera oculta.
¿Cómo puedo encontrar dicho código inyectado?
Sugeriría revisar las configuraciones de conexión para la base de datos, así como restablecer cualquier contraseña y verificar cualquier nombre de host para que los usuarios puedan conectarse a la base de datos. Además, asegúrese de haber agotado la fuente original de la intrusión. (Si tiene un registro de consultas, busque qué otras consultas sucedieron con las consultas malintencionadas, ya que los inyectables de inyección SQL en una consulta válida).
El problema más complicado sería si aloja contenido HTML fuera de la base de datos, en cuyo caso el atacante podría haber introducido páginas que permitirían una mayor inyección, pero sería muy difícil encontrar esos registros sin hacer una diferencia. descrito Esto también podría aplicarse si hicieron alguna elevación de permiso dentro del sistema que se ejecuta en la base de datos.
Puede haber otras cosas que valga la pena revisar, pero esas son las cosas inmediatas que vienen a la mente para las formas genéricas en que una base de datos SQL podría permanecer comprometida.
No confiaría en ningún tipo de revisión automatizada: un único falso negativo, y el servidor volverá a aparecer. Esperemos que tengas buenas copias de seguridad antes del ataque, de lo contrario será difícil saber en qué puedes confiar.
Lea otras preguntas en las etiquetas web-application backdoor sql-injection php