una tienda en línea basada en xt-commerce de un amigo mío fue hackeada recientemente. El atacante envió por correo electrónico que la tienda es vulnerable, mostró los datos extraídos (básicamente, abandonó las bases de datos y descifró los hashes md5, que no estaban salados) y pidió algunos bitcoins.
Mi amigo contrató a una compañía de seguridad, que realizó un escaneo de la aplicación web (bastante mal) utilizando el escáner web Accunetix. La salida fue casi ilegible, ya que contenía casi un 98% de falsos positivos (distribuidos en unas 40-50 páginas pdf). Así que me pidió que realizara un segundo análisis y encontré 4-5 inyecciones de SQL y algunos XSS, una versión obsoleta de Apache, así como PHP y MySQL. Las inyecciones de SQL fueron parcheadas y verifiqué los parches, ya que ya no pude realizar ningún SQLi.
Ahora, los usuarios de la tienda fueron informados sobre el incumplimiento y se les pidió que cambiaran su contraseña. Sin embargo, hace algunas horas, el hacker logró realizar un pedido falso en xt-commerce.
Me pregunto qué podrían hacer ahora los dueños de la tienda.
- El no habilitó el registro de MySQL ya que esto llenaría la memoria rápidamente.
- Les pedí que inspeccionaran los registros de Apache para ver qué sucedió en el momento en que se realizó el pedido falso.
- Les pedí que buscaran PHP / Web-Shells, que podrían haber sido colocados en el servidor web.
- Me pregunto si es posible analizar de alguna manera el contenido de la base de datos para detectar anomalías.
- Por supuesto, existe la posibilidad de seguir teniendo agujeros de seguridad en la aplicación web.
- Si el atacante elige explotar el servidor web, php-daemon o el servidor mysql, tendríamos dificultades para rastrear esto, ¿verdad? ¿Deberíamos así activar el registro del sistema de archivos?
¿Podrías sugerirme qué otros pasos tomar o quizás simplemente decirme tu instinto sobre esta situación?