hack php

Hoy me han comentado que una accion comun para hacking de servidores reside en sobrecargar un fichero php de tu web, de tal forma que se ve el php, y ven la ruta del archivo donde tienes el fichero con el nombre de usuario y contraseña de la base de datos para conectar el mysql.
Esto al parecer lo consiguen haciendo miles de llamadas a la vez a esa pagina, hasta que en una de las veces el servidor no puede y directamente muestra como resultado el php sin procesar.

Esto lo repiten en el fichero de la conexion y ven tu user y pass. De tal forma que podrian entrar el mysql, borrar todo, o incluso si guardas en el fichero el user y pass de administracion de la web y es el mismo que tu ftp (por coincidencia) entrar a tu ftp.....


¿Hasta que punto todo esto es verdad?

Lo que puedes hacer es guardar la información importante fuera del directorio donde se publica la página web de esa forma no hay posibilidad de que puedan copiar el código. También te recomiendo que no muestres los errores para que entonces no puedan ver información sobre donde falló y que código tiene.

Bueno no me refiero a los errores, y lo que dices... aunque estén fuera de las carpetas da exactamente igual, como he comentado arriba, tienes que poner los includes de los ficheros, y cuando vean el codigo php veran la linea de include y verán donde está.... con lo que estamos en las mismas...

No es así. Vamos a suponer que vieron la línea del include ¿cómo van a poder ver la información del include si no pueden acceder a ella ya que no está en el directorio que se usa para publicar información a la web?

Lo mejor es proteger el servidor de ese tipo de ataques DDoS

Abimaelrc ¿dices que la ruta que usas para hacer el include en el script realmente no existe?
Como puedes hacer un include de un fichero que realmente no está en esa carpeta? No creo que esto sea posible :S

La información del fichero que incluyes la ven haciendo el ataque que comentaba al abrir el mensaje y que al parecer segun responde Triby si que es posible hacer.

Triby, ¿cual de los ataques DOS es el necesario para esta acción? He leido el articulo de wikipedia, pero realmente sobre esto no explica nada.

Cuales serian las medidas para proteger el servidor? o almenos donde puedo encontrar info sobre esto en concreto? o como se llama este tipo de accion para informarme mas?

La mayoria de servidores actuales tienen instalados sistemas de seguridad para prevenir este tipo de ataques donde normalmente se bloquea durante cierto tiempo las direcciones IP que envian multiples y repetidas peticiones (mail, http, etc.), por lo que no deberias preocuparte demasiado, a menos que el servidor donde tienes tu sitio sea vulnerable.

En cuanto a lo que te sugeria Abimael, en tu servicio de hosting tienes una ruta raiz en el disco del servidor que, generalmente no es accesible por http, solo por ftp o lectura de directorios por script, de manera que lo que este un nivel por detras de la raiz de la web, no sera visible desde un navegador.

Ejemplo: Cuando te conectas por FTP es posible que la ruta de acceso sea (raiz del servicio):
/var/www/tusitio

Pero, la carpeta donde se almacenan los scripts, imagenes, paginas, etc. del sitio es (raiz de la web):
/var/www/tusitio/public_html

La verdad es que no acabo de entender esta forma de dar seguridad que comentais.
Realmente los ficheros se guardan en vez de en
/var/www/tusitio/funciones/
en
/var/www/funciones/

??


No se si en mi servidor esto es posible... aunque supongo que si es una cosa comun si que podrá por que es un dedicado linux

Como se llama esto? para leerme un tutorial.

Saludos.

A ver, cuando contratas hosting se te asigna espacio de disco, para tener acceso a ese espacio, te crean una carpeta donde se almacenara todo, estadisticas, correos, paginas, imagenes, etc.

En servidores Linux con Apache, por lo general la ruta para ese espacio es del tipo:
/var/www/dominio.com

Cuando ingresas por FTP esta es la carpeta a la que tienes acceso, donde podras ver el contenido (logicamente solo los nombres, no la ruta completa) que puede ser mas o menos:
/var/www/dominio.com/mail -- Aqui se almacenan todos los correos
/var/www/dominio.com/logs -- Aqui se guardan registros de acceso y errores
/var/www/dominio.com/htdocs -- Esta es la carpeta donde estan las paginas de tu sitio, en este nivel, es la unica visible para navegadores

Si tu creas la carpeta:
/var/www/dominio.com/seguridad

Ahi guardas tu config.php, despues, en tus scripts (que estan dentro de htdocs) incluyes el archivo, ya sea con ruta absoluta o relativa:

include '/var/www/dominio.com/seguridad/config.php
include '../seguridad/config.php';

Asi puedes guardar archivos criticos que son accesibles para tus scripts, pero no para cualquier usuario.

Valla!!!! no tenia ni idea que esto fuese tecnicamente posible. Pensé que la navegación interna de scripts empezaba en public_html siempre, y que era imposible a acceder a las carpetas anteriores.

Tendré en cuenta esto para el proyecto actual.

En el localhost tb se podria seguir está regla, o es mejor simplemente cambiar las rutas de los uincludes cuando suba todo online?

Gracias!!

No creo que puedan llegar a ver la contraseña nunca de la manera que dices haciendo peticiones para que muestre errores. Como mucho verían alguna ruta, y el usuario de mysql, pero nunca la contraseña.

Lo que puedes hacer es poner las funciones error_reporting(0) y display_errors(0) y te evitas esos problemas. (Quitalo cuando programes)

Dudo mucho que apache permita la visualización del código...

El servidor para poder devolverte lo que está entre <php ?> tiene que procesarlo, sino no lo puede mostrar... es lo que me parece... por parte del servidor apache...

Yo no creo que sea posible, pero una vez me paso, que buscando imagenes en Google, me mostro por al menos 0.8 segundos, un codigo larguísimo... A pesar de que Google no está programado en PHP, según lo que me informaron, pero fue por tan poco tiempo que no tuve tiempo de tomar una Screenshot para ver si era código JavaScript... Aunque igual no debería ser mostrado :S Talvez aún halla inseguridad en los lenguajes...

Yo una vez... me digo un amigo de un amigo... señores no creemos mitos, que luego leen esto usuarios que lleguen de google o poco experimentados y les entra un tembleque por que su big code puede ser vulnerado.

No es posible que apache siendo "doseado" con un DOS o DDOS te muestre el código php. Apache cascaria antes por no tener memoria que mostrar una salida medio buferizadas en un script compilado a medias, aun asi el código seria binario o una chorrillera de bits sin sentido para un humano.

Pero bueno si quieren seguir creyendo en big foots, cada cual con sus creencias ;)

Cuando un servidor es atacado vía DDoS lo que sucede es tal cual el nombre, se crea una negación de servicio, lo cual es que el servidor web no puede procesar ni mucho menos responder las peticiones que están llegando, cuando el ataque llega a su punto máximo el servidor de plano no responde y el navegador envía un error de página no disponible o error de conexión, así que, olvida que tus archivos PHP se muestren sin procesar, ya que el servidor ni si quiera podría procesar la solicitud, así que mucho menos responder y enviar el archivo sin procesar

Valla! me alegra saber que esto no es posible segun vuestra experiencia. SIempre he tenido esta duda sobre la posibilidad de atacar un script o snifearlo.

Es cierto que la forma logica de pensar es que si el servidor no puede procesar un script ni siquiera podrá mostrar nada por pantalla por que el server está totalmente bloqueado, casi OFF, y ni tan siquiera lanzará el codigo como si de un txt se tratase o un html sin ejecutar el codigo php..... Pero claro, tenia que confirmarlo.

De todas formas si alguien cree que esto es posible que postee.

Si no, proteges todas las carpetas con un .htpdocs y listo, bloqueas las entradas de ucalqueri manera y no te tendrian que poder hacer algo

mmm creo que en estos casos eso no tiene nada de utilidad, lo que normalmente se hace es filtrar las peticiones y denegar el acceso a las IP's atacantes, aunque en un ataque a gran escala es muy difícil detener un ataque de este tipo por completo, las empresas de hosting normalmente lo que hacen aparte de filtrar peticiones es distribuirlas y así intentar no saturar los servidores para que en cierta medida los servidores sigan trabajando y respondiendo peticiones reales sin que estos mueran en el intento >.<

bueno yo puedo decir que probe lo que comentaron aqui y no me funciono

cree una carpeta justo donde esta el htdocs

la llame include

entonces tengo un archivo que llama un include en la siguiente ruta htdocs/alumnos/pagina.php

dentro de esta pagina llamo el include asi

y me da un error como que no encuentra el archivo a directorio, alguien sabe porque pasa esto

¿Cómo creaste los directorios? Visualiza lo que está haciendo el código que indicaste. Se va dos directorios anteriores y desde ahí llama un directorio llamado include y un archivo llamado conexion.php.

Valla! claro!! esta otra opcion no se me habia ocurrido, crear un .htaccess con redirecciones en los ficheros susceptibles.

Bueno vosotros hablais de un httdocs que será casi lo mismo supongo...

Johhan creo que lo haces mal. Imaginate que tienes en el directorio inicial (el public_html) la carpeta includes y la carpeta alumnos. Pues en la carpeta includes es donde hay que colocar el fichero de conexion y el httdocs que vosotros hablais, en mi caso el htaccess. Luego en el fichero alumnos/pagina.php tienes que poner el include("../includes/conexion.php").

De esta forma en el htdocs que está en la carpeta de includes hay que decir que ahi no tengan acceso.

Yo normalmente pongo el htaccess en el directorio principal directamente (en el public_html) pero bueno esto es a gustos, ya que desde el principal puedes gestionar todos lis directorios al completo en sus redirecciones y demas cosas que se le quieran poner.

Buena aportacion el tema del htaccess!

Entre eso y los includes en directorios inferiores al public_html las opciones para protegerse de algo (que podria no pasar al parecer xD) mejoran!

lo que pasa que lo que en tu servidor se llama public_html en el mio se llama htdocs

entonces segun mi servidor yo debo subir todos mis archivos a htdocs para que se puedan visualizar, yo intentando hacer lo que aqui dijeron realizace lo siguiente:



y me da el error que mencione anteriormente

pues en el tema de los subniveles para el include parece entonces que lo haces bien, que lo haces como explicaban que se debia hacer.

El htaccess no entiendo por ke lo pusistes junto a la carpeta htdocs si supuestamente via navegador web ahi es imposible acceder.

ese .htaccess esta alli por defecto, ya que el servidor es gratuito, y los dueños lo tienen alli