Mi sitio fue hackeado y el atacante obtuvo datos del archivo de configuración [cerrado]

Navega tus respuestas
0

Hace unos días, mi sitio web fue hackeado. Descubrí que el "pirata informático" ejecutaba las consultas directamente en la base de datos, por lo que de alguna manera tuvo acceso a las credenciales de mi base de datos.

Estoy usando laravel 4 y el archivo de configuración se almacena fuera de la carpeta public_html en un archivo .env.production.php y se ve así: 

<?php 
return array(

'DB_NAME' => 'database_name',
'DB_USER' => 'database_user',
'DB_PASS' => 'my_password',
'DB_SERVER' => 'localhost'); ?>

El acceso a este archivo en el navegador no muestra nada, así que, ¿cómo obtuvieron los atacantes los datos? Una teoría sería que la empresa de hosting fue pirateada (estoy en hosting compartido. Ellos lo niegan y tengo razones para creerlos).

¿Qué otras posibilidades hay? Inclusión remota de archivos? Inclusión de archivos locales? Quiero saber qué podría causar que los datos en el archivo de configuración se vean comprometidos, así que sé qué debo verificar en mi aplicación.

    
pregunta blue_is_awesome 05.01.2015 - 12:07
fuente

3 respuestas

1

Su pregunta no puede ser respondida con la información dada.

Por lo que sabemos, puede que ni siquiera hayas sido hackeado. Puede comenzar por contarnos más sobre esas consultas y qué quiere decir con directly into the database . ¿Acceso remoto desde otra dirección IP o una consulta que no puede encontrar en sus scripts? Esas consultas pueden ser de Laravel o un complemento.

De todos modos, es imposible saber cómo fue pirateado sin conocer sus registros, scripts PHP y lo que sea que esté en este servidor. Incluso con acceso de raíz, es posible que no se pueda saber si el atacado limpiado o su registro no está cubriendo el vector de ataque.

El primer paso sería encontrar la hora del ataque y verificar los archivos de registro en este momento. Si no puede encontrar nada, compruebe el registro completo. Si encuentras algo que no entiendes en Google o haces una pregunta.

Si está seguro de que lo piratearon, es posible que desee involucrar a su proveedor. Se supone que deben saber que hay un servidor y pueden tener acceso a registros y herramientas que usted no conoce.

    
respondido por el PiTheNumber 05.01.2015 - 15:01
fuente
0

Parece que hay algunas vulnerabilidades conocidas que podrían haber sido su punto de partida. V4 tuvo un problema de CSRF en noviembre, por ejemplo.

Estoy de acuerdo con el comentarista que dijo que el primer paso está cambiando los detalles de autenticación de su base de datos.

enlace

    
respondido por el HalfAdd3r 05.01.2015 - 13:46
fuente
0

Supongo que el hacker accedió a tu archivo de configuración. Es posible que lo hayas editado recientemente; y los archivos temporales de PHP durante o después de la edición se mantienen en el directorio donde se almacenó el archivo de configuración. verifique si puede acceder a .php ~ php # php. guardar php.swp php.swo

Estos son los nombres de archivo temporales utilizados por los editores de texto más populares.

O compruebe qué editor es su editor predeterminado para archivos PHP y google cuál es su extensión de archivo temporal.

    
respondido por el Goli E 05.01.2015 - 22:27
fuente

Lea otras preguntas en las etiquetas

Token de autenticación de juego móvil robado [cerrado] ¿Por qué hay una ruta a un archivo .pdb en un exe que estoy intentando revertir?