cómo evitar que se inyecten scripts en mi sitio web [cerrado]

Navega tus respuestas
1

Tengo un servidor de API en Digitalocean. Ayer me dijeron que tengo "una gran inundación de tráfico de uno o más de sus servidores que está interrumpiendo el flujo de tráfico normal para otros usuarios".

Revisé mis procesos en ejecución y parece que alguien inyectó un script y lo ejecutó con el permiso root . La foto es la siguiente:

la cosa es que ni siquiera puedo encontrar este archivo udp_flood.txt . y ni siquiera sé cómo se puede obtener tan fácilmente el permiso root ...

Mi opinión está en mi backend Tengo una API que permite al usuario cargar sus imágenes en el sitio. Y luego recorté / redimensioné la imagen y la subí a AWS. Pero no puedo estar seguro de que esta sea la causa del problema, por lo que tampoco sé cómo prevenir inyecciones futuras.

Así que mis preguntas son:

  1. ¿cómo lo hizo para inyectar scripts y ejecutar como root?
  2. ¿Cómo prevenirlo? ¿Es seguro decir que la causa proviene de la funcionalidad de carga?
  3. ¿Cómo registrarlo para que en el futuro se que estoy siendo atacado? (en lugar de que mi proveedor de servicios me lo diga)
pregunta Shih-Min Lee 16.11.2015 - 05:43
fuente

1 respuesta

4
  

¿Cómo lo hizo para inyectar scripts y ejecutar como root?

Esto no se conoce debido a los pocos detalles que ha proporcionado. Puede ser a través de inicios de sesión SSH de fuerza bruta. También puede combinarse con varios problemas. Una carga simple no es suficiente porque el atacante también debe encontrar formas de ejecutar el código y también debe haber encontrado un problema de seguridad que le permita obtener acceso de root a un usuario normal (existen varias vulnerabilidades para esto en sistemas Linux sin parches).

  

¿Cómo prevenirlo? ... ¿cómo registrarlo para que en el futuro se que estoy siendo atacado? (en lugar de que mi proveedor de servicios me lo diga)

Use un sistema completamente parcheado, encuentre y solucione problemas de seguridad en su aplicación, use contraseñas seguras para el inicio de sesión remoto (o mejores claves) ... Hay muchas preguntas similares sobre este tema ya.

Basándose en el conocimiento actual que tiene, busque un sistema administrado para mantener el sistema seguro y busque experiencia en seguridad de aplicaciones web para hacer que la aplicación sea segura. Hay mucho que buscar y no se puede mostrar en detalle solo en una respuesta (demasiado amplia).

  

¿es seguro decir que la causa proviene de la funcionalidad de carga?

No sin hacer un análisis forense adecuado del sistema.

Vea también fui hackeado, pero No sé por qué .

    
respondido por el Steffen Ullrich 16.11.2015 - 07:01
fuente

Lea otras preguntas en las etiquetas

Explotaciones de Windows 7 ¿Cómo puedo ver los sitios web visitados por los clientes de mi WLAN?