ATAK na sklep Internetowy

[Inco]

Może podaj adres strony, łatwiej będzie rozpoznać typ ataku.

[dexter_78]

Nie dzięki tajne przez poufne . Od tego jest audyt . Forum jest od nakierowania mnie na trop.

Zlecę Audt zabezpieczeń i to napewno. Bo nie chcę już tego typu ataków mieć. Nie mniej jedank to strasznie irytuje jak się nie wie. Atak był za krutki aby cokolwiek wykryć.

Wprowadzę jakiś system wykrywania włamań i zastawię pułapki. Taki mam plan.

[KazioR]

Jak masz wpisane na stałe login i hasło w Total Commander przy wejściu po ftp to mnie tak trafili na wiosnę, zmieniłem hasła a dalej mi walili na stronę wpisy dopiero podpowiedzieli mi z onetu, podali iż hasło główne jako ich użytkownik też działa przy ftp dopiero po zmianie i tego hasła uspokoiło się. Ja miałem plik index na kompie o wiele mniejszy niż index na serwerze. Co nagrałem plik to wpisy ich znikały działało do następnego dnia i znów mi dołożyli swoje.

[Mion]

Wprowadzę jakiś system wykrywania włamań i zastawię pułapki. Taki mam plan.

Wynajmij firmę ochroniarską niech pilnuje serwera

[slawek22]

Total commander, na początek i żaden audyt ani płatny sklep nie pomoże jak zapisujesz hasła. Albo jak te hasła to 12345.

Atak po FTP charakteryzuje się tym, że zmiana widoczna jest natychmiast na każdej podstronie. Automatyczny XSS... jest zbyt skomplikowany do wykonania przez roboty. Chyba, że sklep jest ogromny i to konkretny atak na konkretną witrynę. SQL Injection tak samo (chociaż dużo prościej niż xss).

Pomyśl, gdybyś sam chciał przeprowadzić taki atak to najbardziej zyskowne byłoby właśnie targetowanie paru darmowych skryptów + wyciąganie haseł z FTP. Możesz sobie nawet zainstalować w systemie oprogramowanie które te hasła będzie wyciągać przez przetwarzanie pakietów (bo ruch nie jest szyfrowany).

Wprowadzę jakiś system wykrywania włamań i zastawię pułapki

Chcesz prowadzić sklep czy honeypota? Takie zabawy są bezsensowne, jak już złapiesz chińczyka to co zrobisz? Pojedziesz do chin czy innego pakistanu?

[dexter_78]

Skanowanie kodu nic nie przyniosło.

Sprawdzałem pliki i też tam nic nie ma. Dziwne to jest.

Atak był przeprowadzony dwa razy i wdziałem to na dwóch różnych komputerach. Potem znikło wszystko bez śladu. Odwiedzałem tą samą stronę chwile później i nic czysto. Kod też już przejrzałem i nie ma zdanych głupot. Wszystko ok.

Od razu zrobiłem dodatkowy backup i kilka innych w celu udokumentowania ataków. Backupy będzie analizować firma zajmująca się audytem. Być może dowiem się co tak naprawdę się stało.

Czy ten najnowszy Total commander już szyfruje Hasła ? Czy dalej można z niego wykraść hasła ?

Może to atak na sesję ?

Pukic co obstawiam xss.

[Mion]

Czy ten najnowszy Total commander już szyfruje Hasła ? Czy dalej można z niego wykraść hasła ?

To nie jest kwestia czy szyfruje tylko jakiego protokołu używasz jeśli nadal FTP to nadal wysyła hasła nieszyfrowane.

[tomekf]

Zmień hasło do FTP i łącz się darmowym klientem FTP FileZilla.

[dexter_78]

Kolego za Total Commandera zapłaciłem za kilka licencji do całej firmy i nie chcę go teraz wywalać. Widzę, że on też obsługuje szyfrowanie w najnowszej wersji – czyli poprawiono ten błąd dotyczący przechowywania hasła.

Widzę też, że to Total Commander obsługuje szyfrowanie FTP, ale potrzebne mu są biblioteki open ssl. Zaraz ściągnę. Hasła zawsze używam typu : t#AFu929jx?fdv?e083 lub coś takiego.

Czy wtedy Total commander będzie już bezpieczny waszym zdaniem, czy jeszcze nie ?

Mam też Ptaynie czy istnieje możlwiść kradzieży hasła z Przeglądarki ?

OPERA

MOZILLA

IE7 lub IE8 - tu i tak nie używam zapamiętywania haseł.

bo używam tych trzech .

[Mion]

Nie istotne jest skomplikowanie hasła, ale jego sposób wysłania! Powtarzam ci kolejny raz, że protokół FTP wysyła hasło "takie jak jest" wiec jeśli masz zainstalowane oprogramowanie szpiegujące, login, hasło i host zostanie przechwycony i wysłane do programu włamującego się. Jeśli zastosujesz protokół SFTP będzie to niemożliwe.

Istnieje możliwość przechwycenia wszystkich danych w komunikacji klient <> serwer które nie są szyfrowane. Aby to uniemożliwić wymyślono SSL.

[sebau]

jesli duzy sklep to ja postawiłbym na XSS - tym bardziej, ze ten fragment kodu sami pisaliście a że nie ma po przeglądzie źłośliwego kodu w bazie - to jak ktoś pyka w te klocki, to po całej akcji mógł usunąć złośliwie wstrzyknięty kod do bazki dzięki niemu samemu i śladu nie zobaczysz Daj na PW linka i napisz gdzie to się stało to w wolnej chwili spróbuje cosik wstrzyknąć.

[slawek22]

Total Commander to bardzo dobry program. Co do FTP - to nie powinno tego w ogóle być na serwerze. Po prostu zmień na SFTP.

W TP (jeśli nie masz trojana w systemie) to jeszcze nie problem ale różne jaja się dzieją na osiedlówkach. Poza tym niezbyt fajnie jak ktoś przechwyci pliki z danymi backupu i ustawieniami baz danych.

[dexter_78]

Zwiększam zabezpieczenia w pliku .htaccess aby zablokować ataki xss .

Jeszcze tylko musze ściągnąć bilioteki open ssl do total commandera, aby wysyłać po SFTP dane.

Siedzę na English oscommerce i czytam jak zwiększyć zabezpieczenia sklepu i szukam nowe dziury. Nawet sobie książkę kupiłem o bezpieczeństwie oscommerce i najnowszych typach ataków na strony internetowe.

Czyli co nas nie zniszczy to nas wzmocni.