Ataki Code Injecton na strony robione w website x5 evolution 5 problem... 
Autor: Rafal P.
Visited 1972,
Followers 1,
Udostępniony 0
Od jakiegoś czasu otrzymuję wiadomosci mail ze znakami ";;" jestem pewien że to jest atak na serwer, próba wstrzykniecia kodu. Czy strony robione w website x5 evolution 9 są odporne na ataki Code injection? To jest bardzo ważn problem dla mnie i muszę jak najprędzej rozwiązać to zagadnienie... podejrzewam konkurencję, że wynajęła hackera po to by wiadomości i zapytania wysyłane przez przyszłych klientów docierała zamiast do mojej skrzynko to do skrzynki konkurencji. Potrzebują jak najszybszej pomocy.... Czy ktoś wie jak można mi pomóc?
Posted on the
Witaj Rafał,
Nie spotkaliśmy się jeszcze z takim problemem i raczej jest to wątpliwe - bardzo wiele zależy też od konfiguracji serwera (głównie PHP).
Czy możesz wkleić przykładową wiadomość, którą otrzymujesz? Może to po prostu jakiś robot spamujący trafił na Twój formularz i wysyła dziwne wiadomości? Podaj też adres swojej strony z formularzem.
Pozdrawiam
Autor
W obawie. że coś może narobić w skrzynce mailowej, usunąłem te wiadomości. Teraz już przestały przychodzić. Za 2 dni wrzucę nową wersje strony www.parkietpol.com i sprawdzę czy bedą nadal przychodzić te dziwne wiadomości. Ogólnie formularz jest ustawiony tak, że gdy przychodzi mail to wtedy prawidłowo powinien mail wygladać tak:
Temat: Montaż Parkietu - Stronka (lub pozostałe nazwy tematu w zależności od rodzaju podstronicy)
Nadawca: Mail podany w formularzu (na stronie www)
I jak sprawdzam formularz mail umieszczony na stronie działa to okazuje się, że jest wszystko jak najbardziej ok. więc napewno konstrukcja formularza jest prawidłowa. Teraz opisze jak wyglądają maile te dziwne, które przychodziły:
Temat: ;; lub ";;"
Nadawca: ;; lub ";;"
Treść: ;;
Formularz blokuje wysyłania wiadomości jeśli nadawca poda jakiś nieprawidłowy adres mailowy, a tutaj właśnie jest to ominięte bo adres jako ;; jest niepoprawny tak samo adres ";;" formularz znajduje się na kazdej podstronie www.parkietpol.com Można to jakoś sprawdzić czy to był jakiś bot typu xrumer, publiker itp. lub próba wstrzyknięcia złośliwego kodu? Maile przychodzą bezpośrednio na pocztę w gmail. więc dane na serwerze są bezpieczniejsze niż jak bym miał maila typu *** ?
Witaj Rafał,
Weryfikacja pól w formularzu odbywa się po stronie przeglądarki (skrypty JavaScript) i można ją łatwo ominąć (po prostu wyłączając obsługę JS).
Dodaj do swojego formularza filtrantyspamowy 'Captcha' (zakładka "Wysyłanie" w opcjach formularza) i takie wiadomości nie powinny już więcej przychodzić.
Pozdrawiam
Autor
Ok. dziękuję za radę. Wykorzystam ją już wkrótce. Jak nadal takie wiadomości bedą przychodzić wtedy ponownie o tym napiszę tutaj. Póki co dziękuję za pomoc i życzę wszystkiego dobrego.
Pozdrawiam
Rafał P
Autor
Witam,
Po wrzuceniu strony na serwer po ok. 6-7 dniach ponownie zostają wysyłane na maila puste wiadomości tym razem w załączniku przesyłam zdjęcia. To nie jest bład formularza bo gdyby tak było to wiadomości od razu zostały by wysyłane na skrzynke zaraz po wrzuceniu strony www na serwer. Tym razem włączone jest zabezpieczenie cache czy jak to sie pisze i mimo to sytuacja z mailami bez danych się powtarza. Co należy zrobić by namierzyć atakującego? Jak przed czymś takim sie zabezpieczyć?
Kolego zmień emaila np: na taki sam ale z @o2 na pare dni i zobacz czy bedzie to samo
Autor
To samo... zauważyłem pewien stosunek aktualizacji witryny do ilości wysyłanych dziwnych maili... Jak aktualizuje strone na serwerze to po kilku dniach dostaje wiadomości wyżej wymienione. Po ok. 2 dniach przestają dochodzić te wiadomości. Za każdym razem jak wgram na nowo stronę na serwer przychodzą puste wiadomości ( tak jak by ktoś włamywał się do kompa i gdy to sie udaje wstrzykuje złosliwy kod i znika, aż do momentu, gdy na nowo aktualizuję stronę). Co ciekawe... używam google adwords i zainteresowanie jest zerowe. W wynikach wyszukiwania google jesterm nr.1. Gdy na nowo aktualizuję stronę wtedy mam kilkanaście telefonów od klientów. Po otrzymaniu tych wiadomosci pustych wszystko zanika i sprowadza się do współczynnika 0. i mam tu na myśli telefony ale ilość odwiedzania strony jest ciągle taka sama. Ewidentnie ktoś gdzieś wstrzyknął kodzik zmieniający adresata i nr. tel. Potrzebuje pomocy. Zmiana maila z gmail na onet nic nie dała. Antywirusy nic nie wskazują wszystko jest ok. (teoretycznie) Ważna jest ta zależność, gdzie przed atakami mam sporo klientów, którzy dzwonią do mnie o zlecenia opierając się na dane zawarte na stronie www. Wiem, że istenieje mżliwość nałożnia " cenzury IP" na określony obszar lub określonych dostawców internetu. Hackerzy często ją stosują po to by ofiara nigdy nie dowiedziała się, ze żyje w małej bańce (widoczność strony lub kontaktu tylko dla użytkowniów tego samego dostawcy internetu) uktyta zmiana adresata wiadomosci mail. do innego odbiorcy to żadna nowość. Obawiam się Czy ktokolwiek posiada zdolności aby mi pomóc? Zważywszy na to, że wszystkie projekty i działania przeprowadzane są w programie website x5 evolution 9 pytanie głównie kieruję do twórców programu. Jak wyglada oficjalne stanowisko w sprawie ataków code injecton na strony robione za pomocą website x5 evolution 9? Prosze o dane szczegółowe. Jakie jest rozwiazanie mojego problemu? Ponosze spore straty i zależy mi na szybkim roziwazaniu tej sytuacji. Podejżewam konkurencje o zatrudnienie hackera, który będzie na bierząco odbierał klientów, którzy zamiast dotrzeć do mnie dotcierać bedą do konkurencji ale żeby to stwierdzić potrzebuje dowodów. W jaki sposób moge złapać takiego cwaniaczka i udowodnić mu oraz konkurencji przed sądem o zaistniałym układzie? To poważna sprawa, dlatego prosze o przedstawienie rozważnych możliwości takich by wszystko mogło przebiegać oficjalnie i zgodnie z prawem.
Z poważaniem Rafał P.
Jedyne co zostaje to wyczyszczenie całego serwera do zera zmiana haseł i przeswietlenia wszystkich plików strony recznie [podgląd] poza programem website.
Jak ktoś mógł ci zmienic kodzik przecież widzisz kontak na stronie od siebie ewentualnie zwsze możesz zrobic sobie test co jakiś dzień wysyłając sam do siebie zapytanie i sprwdzić jaka widomość do ciebie dojdzie i czy wogóle dojdzie jak dojdzie to znaczy niema opcji zeby ktoś coś podmienił jedyni sam mogłeś cos namieszać w konfiguracji w programu sekcja email i odsyłacze
Witaj Rafał,
Przekażę sprawę technikom, ale generalnie producent nigdzie nie deklaruje poziomu zabezpieczenia i 100% niezawodności formularzy generowanych przez program - możliwe, że istnieje jakiś sposób obejścia zastosowanych zabezpieczeń.
Ponadto, program nie jest przeznaczony do projektowania witryn, które powinny być silnie bezpieczne i niepodatne na wyrafinowane sposoby ataków - jeżeli masz takie wymagania, to powinieneś zainteresować się zupełnie innym typem oprogramowania, dla którego producent deklaruje stopień zabezpieczenia i niepodatności na znane typy ataków.
Wiadomości, które pokazałeś wyglądają jednak jak zwykły SPAM generowany przez automatyczne programy, tzw. "spam roboty", które są same w stanie obejść nawet zabezpieczenia typu "captcha". Powiązanie występowania wiadomości z czasem aktualizacji witryny to nic dziwnego - roboty spamujące często sprawdzają mapy witryn i daty aktualizacji strony - i najczęściej próbują rozsyłać niechciane wiadomości właśnie w okresie aktualizacji stron.
Poza tym, nie wiązałbym faktu braku telefonów od potencjalnych klientów z tymi wiadomościami - w końcu numer nadal przecież znajduje się na stronie (ja bez problemu mogę na nią wejść i w zakładce "Kontakt" widzę numery telefonów, a raczej wątpię żeby ten ktoś, kogo podejrzewasz o ataki, dodał mój adres IP do tej "bańki"). Jeżeli sam możesz skorzystać z formularza i wiadomości z niego docierają, to znaczy, że formularz działa i nie został. Możesz też połączyć się ze swoim serwerem FTP i bezpośrednio na serwerze sprawdzić czy pliki witryny są takie same jak te, które wygenerował program (ściągnąć z serwera na dysk lokalny i porównać). Ewentualnie, możesz poprosić administratora serwera o pełne logi - dostaniesz listę wszystkich połączeń ze swoją witryną i na podstawie adresu formularza będziesz mógł sprawdzić IP osoby, które rozsyła przez niego te wiadomości. Taki adres można zgłosić administratorowi do zablokowania na poziomie serwera lub zrobić to samodzielnie przy pomocy pliku htaccess (poszukaj informacji o tym u swojego usługodawcy, bo u każdego wygląda to inaczej).
Jeżeli masz realne podejrzenia, że ktoś dokonuje włamań na Twoją stronę/serwer lub na Twój komputer, to sprawę powinieneś zgłosić organom ścigania lub zlecić zewnętrznej firmie wykonanie badań zabezpieczeń swojego serwera/strony/komputera, które powinny dać jednoznaczną odpowiedź czy, a jeżeli tak, to w jaki sposób, możliwe jest dokonanie włamania. Niemniej, takie audyty to bardzo duży wydatek.
Pozdrawiam