Witam.

Posiadam dość dużą stronę internetową która bardzo często jest atakowana.
Użytkownikom bardzo się to nie podoba i zaczęli już odchodzić.

Atakujący w jakiś sposób wykrada dane do bazy danych a następnie "na luzie" loguje się do phpmyadmin i robi co chce.
Autorem skryptu php/całej strony jestem ja, znam każdą linijkę i wiem jak działa.

Stosuję wiele zabezpieczeń przed mysql injection lecz niestety nie pomagają.
Dane wejściowe w tym formularze, ciastka, sesje, zmienne get i post są filtrowane funkcjami addslashes oraz mysql_escape_string.
Prześledziłem temat SQL Injection/Insertion i również zastosowałem zabezpieczenia poruszane w tym temacie.
Niestety jestem bezradny. Ataki wciąż się powtarzają a ja tylko rozkładam ręce i przywracam kopie bazy danych.
Plik typu config.php nawiązujący połączenie z bazą znajduje się poza katalogiem public_html a dane takie jak user, hasło baza i host nie są przechowywane w żadnych zmiennych lecz wpisane bezpośrednio w funkcję mysql_connect.
Po zakończeniu skryptu używam mysql_close.

Logi apache wykazują, że atakujący wchodzi na stronę phpmyadmin i w 1-3 sekundy loguje się już do niego otrzymując własny token.
Nieprawdopodobne wydaje się, że loguje się on tak szybko ponieważ loginy i hasła są długie i bezpieczne (tak więc wydaje mi się, że robi to jakiś skrypt/bot odpalany na komputerze hakera).
Atakującym zawsze jest ta sama osoba.
Logi nie wykazują aby ten adres ip był kiedykolwiek na stronie. Jego pierwsze wejście to już /phpmyadmin.
Hasło jest wielokrotnie zmieniane. Raz nawet zdażyło się, że strona została zaatakowana kilka minut po zmianie haseł.

Bardzo proszę o pomoc.
Podkreślam, że szukam już bardzo długo zarówno na polskich jak i na anglojęzycznych stronach dotyczących zabezpieczeń skryptów php/mysql niestety te które znalazłem nic nie pomagają
Czekam na pomysły.
Pozdrawiam.

A gdzie trzymasz dane do połączenia ftp? są zapamiętane w jakimś programie? jaki system na serwerze?

Dane do ftp mam zapamiętane w programie filezilla.
Na serwerze jest zainstalowany linux jednak nie posiadam dostępu do plików systemowych ponieważ posiadam serwer wirtualny.

Był swego czasu (i pewnie nadal jest) wirus, który wykradał zapamiętane dane z klientów FTP, głównie tyczyło się to Total Commandera.
Radzę pozmieniać hasła do FTP i nie zapamiętywać ich.

Ok dzięki tak zrobię. Znajdę jeszcze może coś lepszego/bezpieczniejszego niż program filezilla bo ona zapamiętuje dane i hasła nawet z tych szybkich połączeń które nie są zapisywane na stałe w programie.
Pisałem również w tej sprawie do administracji hostingu, twierdzą oni, że "podobno" logi ftp nie wykazują logowania z innego adresu ip niż mój. Usługodawca w ogóle nie wykazuje chęci pomocy czy współpracy.

Hej, a ja mam dla Ciebie propozycję, jeśli dasz radę a twój phpmyadmin znajduje się pod adresem: http://www.twojastronka.pl/phpmyadmin
To ustaw sobie plik htaccess żeby wywalał wszystkie ip poza Twoim które będą chciały się dobrać do tego adresu.
Może pomoże...

atak ktory przed chwila opisales, to nie jest sql injection


moze gdzie wyswietlasz zawartosc jakiegos pliku ? czy gdziekolwiek uzywasz funkcji ktora odwoluje sie do pliku i nie jest phpowym include ? jesli tak to to miejsce jest podejrzane


ctrl+c, ctrl+v


jak wspomnial kolega wyzej, zbanuj w phpmyadmin wszystkie adresy poza swoim lub swoja siecia


skasuj cala witryne i uploaduj na nowo z wersji co do ktorej masz pewnosc ze jest "czysta"


problemem moze byc zle zabezpieczony serwer wirtualny. Skrypty innych uzytkownikow moga miec dostep do Twoich danych. Zmien hosting


tym bardziej zmien hosting

Skad pochodzi wspomniane IP atakujacego ? sproboj podrazyc i dobrac sie temu komus do tylka, moze to jakis debil ktory wlamuje sie ze stalego ip z domu:) moze jakis szaleniec wykorzystuje do tego shella na uczelni w ktorej sie uczy ? warto pomacać

poza tym warto sie zastanowic kto i w jakim celu sie wlamuje. Czy chce/moze osiagnac z tego powodu jakies korzysci ? Skad wziela sie motywacja do ataku na akurat Twoj serwer ? Moze sie okazac, ze do Twojej sieci wlamuje sie konkurencja, ale moze to byc tez syn sasiada ktory nasluchuje na Twoim wifi, a wlamuje sie bo moze:)

A może jakiś fajny kolega zainstalował ci keyloggera albo w jakiś sposób nasłuchuje ruch sieciowy wychodzący z twojego komputera (sieć lokalna?) snifferem i ma już opracowany schemat wyłapywania twoich haseł spróbuj zalogować się korzystając z sftp jeśli twój hosting daje taką możliwość, jeśli nie - zmień hosting. Rozwiązanie twojego problemu zależy od tego na jakim poziomie są przechwytywane twoje hasła

Jeśli to keylogger lub coś w tym stylu, o czym może świadczyć szybka reakcja na zmianę hasła. To spróbuj zmienić hasło z innego kompa. Najlepiej jeszcze z innej sieci dla wykluczenia przechwytywania pakietów.

Chciałem w taki sposób zrobić lecz nie jest to dobry pomysł ponieważ nie będę wtedy posiadał logów atakujacego a będzie on mógł wejsć do phpmyadmina z innej domeny lub poprostu ip serwera.

używam tylko include

często sprawdzam każde pliki na ftp porównując z czystymi. Tylko raz zdarzyło się, że plik był zmodyfikowany (w pliku był kod który dnia 30 marca miał wyczyścić tabele w bazie)

Administracja hostingu twierdzi, że serwer jest bezpieczny i uważa, że to moja wina/wadliwy skrypt.


Ip jest z Poznania. Ja jestem z Warszawy. Na 99% jestem pewien kto to robi, posiadam imię i nazwisko delikwenta i jest to strona konkurencyjna o podobnej tematyce która chce pozbyć się konkurencji.
Byłem już raz na policji w podobnej sprawie lecz sprawa trwająca dwa miesiące została umorzona z powodu nie odnalezienia sprawcy.
Dziękuję za pomoc. Teraz najbardziej prawdopodobne wydaje mi się wykradanie hasła ftp i sprawdzanie danych do bazy w pliku config.

Nie będzie mógł wejść z innego ip niż Twój

To wiem. Ale będzie mógł wejść do tego samego phpmyadmina z innej domeny (niekoniecznie mojej) a tam już nie będzie blokady ip w htaccess.