Archief - De topics van lang geleden

Onze database werd alweer gehackt!

08-02-2005, 15:09 door Anoniem, 10 reacties
Zonder reclame te willen maken had ik toch graag de hulp ingeroepen van
iemand die wat van hacken afweet......Onze site is een datingsite en wordt
regelmatig gehackt. De gegevens in PhPMyAdmin worden telkenmale
aangepast, leden worden gewist etc..etc...
Ik verander van paswoord en databasenaam en op dezelfde dag nog zit de
hacker alweer in het systeem.
Ik zoek via deze weg mensen die het systeem dus met mijn toestemming
willen hacken zonder wijzigingen aan te brengen uiteraard ;-) en me op de
hoogte brengen van waar precies die onveilige lek zit.......
De link naar de site is http://www.12be.be
Je kan me mailen op [email]info@12be.be[/email]

Bedankt!
Reacties (10)
08-02-2005, 15:57 door Puk.vd.Pee
Heb je al in de logbestanden van je server gekeken?

Normaliter HUUR je iemand in om de security na te lopen, nu
doe je een oproep aan iedereen door te zeggen dat je een
onveilge website hebt. Misschien nog wel sterker... wie zegt
dat die site van jou is? Misschien wil jij wel wat
vervelends uithalen. Niet verstandig dus.

ieeuw... ebay-kleuren!
08-02-2005, 16:41 door Anoniem
Het feit dat je hem moet mailen op [email]info@12be.be[/email] zal wel
betekenen dat hij idd eigenaar of moderator is van die site.
Het is natuurlijk onmogelijk om hier effe alles uit te
klaren en je kan ook moeilijk verwachten dat mensen hier
effe je server gaan hacken. Ik kan je wel een aantal tips
geven waar je misschien het probleem moet gezocht worden.

- één van je deamons (bv apache,mysql, ftpserver enz..) is
niet up to date zodat er een aantal bekende exploits kunnen
toegepast worden, als je website op een iis server draait
kan hetzelfde probleem ervoor zorgen dat je site gehacked
wordt.
Dus moeten eigenlijk al de deamons of applicaties die je
website gebruikt up to date zijn. Zo niet kan dit voor een
veiligheidslek zorgen.

-wat ook mogelijk is dat je webapplicatie (de site) fouten
bevattten, waardoor bv sql injectie mogelijk is. Hiermee
kunnen ze rechtstreeks data in je sqldatabank pompen, eruit
halen gaat dus ook. Ook kan het zijn dat cross scripting
mogelijk is waardoor personen gegevens kunnen onderscheppen
waar ze bv mee kunnen inloggen als admin.
-Applicaties zoals awstats,phpBB enz.. die niet up to date
zijn kunnen ook gebruikt worden om zich een weg te hacken
naar je website.

Ik weet dat je probleem hiermee niet is opgelost, maar ik
hoop dat je er al iets verder mee komt. Als je het probleem
echt van de baan wilt hebben is het misschien wel
verstanding om iemand in te huren om te pen testen en om je
source code eens te bekijken.
08-02-2005, 16:51 door Anoniem
O ja vergeten... dien een klacht in bij het bedrijf dat je
website host. Zij kunnen dan misschien idd aan de hand van
logbestanden achterhalen wie er inbreekt in je website.
08-02-2005, 17:10 door Anoniem
Ik doe het voor 120 euro/uur.
08-02-2005, 17:16 door Anoniem
whahah stufffie das een goeie:-)

greetz chriz
09-02-2005, 10:00 door SirDice
Ik verander van paswoord en databasenaam en op dezelfde dag
nog zit de hacker alweer in het systeem.
Klinkt als iemand die een achterdeurtje heeft achter gelaten. Heb je die
server zelf in beheer of is dat gedeelte van je hosting provider? Als het door
je provider beheerd word dan kun je ze flink de oren wassen.
Is de server+OS in eigen beheer dan off-line halen en helemaal opnieuw
vanaf scratch installeren met de originele media. En natuurlijk niet
vergeten alles te updaten.

En de changelog van phpmyadmin geeft wellicht een hint:

Security fix against some crafted data allowing arbitrary program execution (if PHP safe mode is off and external transformations are activated)
Security fix against a possible attack on read_dump.php (if PHP safe mode is off)
Updaten dus.

En dat forum? Is dat een eigen brouwsel? Anders zou het ook een sql-injection kunnen zijn zoals een anonieme poster hierboven terecht opmerkte.

Heb je ook de wachtwoorden op MySQL veranderd? Welk wachtwoord verander je precies?
10-02-2005, 00:31 door Dr.NO
php 4.3.9 is niet veilig, en waarom is je phpmyadmin voor
iedereen bereikbaar? probleem zit er waarschijnlijk in, dat
iemand door een fout in je code, achter db users/pws is
gekomen en op die manier via phpmyadmin de boel kan wijzigen.

dus:

- upgraden naar php 4.3.10
- ALLE wachtwoorden wijzigen
- je phpmyadmin extra beveiligen (ip restricties)
- je systeem onderzoeken ivm eventuele backdoors / rootkits
- kijk na welke poorten er open staan (netstat -nap) en
welke daemons daar aanhangen

succes
10-02-2005, 02:09 door Anoniem
Je site wordt dus steeds gecracked en zoek je nu dus hackers
om deze crackers voortaan buiten de deur te houden.
10-02-2005, 12:20 door No Code__
Heb je al gekeken of er niet toevallig een r00tkit op je
systeem staat?
Patchen helpt dan niets, de voordeur staat dan toch al open.
10-02-2005, 13:10 door Anoniem
ga eens kijken op de volgende adressen als je denkt het probleem zelf op
te kunnen lossen. Denk eraan er is enige technische kennis vereist. Lukt
je dit niet dan zou ik toch hulp inroepen van een professioneel
webdesigner/webadministrator. Succes!!
http://www.securityfocus.com/infocus/1811
http://www.securityfocus.com/infocus/1820
http://www.securityfocus.com/infocus/1815
Wil je meer weten, er is echt genoeg over jouw onderwerp te vinden maar
het slagen van je project is afhankelijk van jouw inzet!
groetjes mark
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.