Me sestán hackeando ¿qué hago?

Hola hoy hemos recibido un correo en el que alguien me ha dado los usuarios y las claves de varios usuarios de unos de los sitios para los que trabajo.

Ha dicho que está muy bajo en seguridad. Y que quiere habalr con nosotros. Supongo que va a pedir algo.

Lo que quiero es saber donde tengo el problem. por donde comenzar... y que hacer

alguna ayuda?
gracias de antemano.

Si trabajas guardando los datos en MySQL, lo mejor será que encriptes con MD5 las contraseñas (es muy sencillo), y con esa parte no tendrás más problemas. MD5 es un algoritmo de encriptación muy seguro y confiable.

Tema trasladado desde PHP

si me das la url por pm te digo asi por encima los fallos de seguridad que teneis, que me aburro y no puedo dormir

aunque si ya tienen datos de vuestros usuarios en realidad estais jodidos aunque arregleis el fallo

Más que encriptar, MD5 es un algoritmo irreversible para creación de un "hash".

Por otro lado, si te dio la lista de contraseñas, lo más probable es que hayan obtenido esa información de la base de datos; puede ser debido a que los valores recibidos en formularios no son filtrados adecuadamente permitiendo Inyección SQL.

Saludos.

Si. yo me imagino que tiene que ser algo de inyeccion sql... como me doy cuenta donde tengo las vulnerabilidades?

en cuanto a las contraseñas lo que hariamos es cambiarlas.... no tenemos otra solucion. lo que queremos es evitar que vuelva a suceder... detectando el problema.

pon la url de tu web, y nosotros te diremos.

Primero especifica la plataforma del sistema, PHP o ASP, base de datos, etc. Deberias implementar SSL para solventar este tipo de inconvenientes

Tienes razon. Usamos PHP y MYSQL.

la url no quiero ponerla en publico por que me da miedo que alguien malintencionado la use explotando sus errores.

Saludos!!

Lamentablemente, creo que vas a tener que arriesgarte. Para que alguien te ayude a ver que errores tienes en la base de datos, pues... Hay que ver la base de datos! Y la base de datos se encuentra en tu pagina. Por lo tanto, habria que ver tu pagina. Aun no llegamos a la capacidad de los adivinos, pero si alguien se anima seguro te ayuda!

Nada, si quieres que te ayuden mas, creo que tendrás que tomar el riesgo (Luego tendrás obligatoriamente que cambiar las contraseñas de todos los usuarios inventando que "cada cierto tiempo se renuevan" para que la gente no desconfie de tu sitio)

Hasta Luego!!

Antes de colocar la URL de tu sitio haz un respaldo de todo (base de datos, imagenes, scripts, etc.) y cuando hayas solucionado el problema, sigue el consejo de CaLiZzZ respecto al cambio de claves de los usuarios.

OK, haré lo que me dicen. A los que me lo han pedido les he enviado por privado la URL del sitio.

Como aprendo a detectar en que campos de mis formulario podrían ejecutar sql injection?

Creo que antes de cambiar claves es lo primero que tengo que corregir. Hay alguien más que quiera/pueda ayudarme. estoy enviando la URL por privado.

Muchas gracias por sus concejos de verdad que son un apoyo.

!!! pero tu te das cuenta de lo que estas diciendo?

mafima, si quieres te digo donde tienes fallos de seguridad (tu web esta llena de fallos de distintos tipos) y como arreglarlos (y de paso te explico como encriptar los passwords en la base de datos, que los tienes en texto plano)

ademas, deberias hacer los backups al disco duro, no a una tabla aparte (asi como tienes montada la web ahora cualquiera te puede borrar los datos y los backups)

pero ni de coña voy a ayudarte si tienes pensado mentir a tus usuarios como te propone el tipo de ahi arriba
lo que tienes que hacer es arreglar los fallos, cambiar los passwords y luego mandar emails a todos tus usuarios explicando el problema y comunicandoles cual es el password que ha sido comprometido para que lo cambien en sus demas cuentas, su email, etc.

Si, lo dije porque ¿Que pensarías de un sitio en el que te registras y te envían un mail diciendo "Disculpa, nuestro sistema de encriptacion no fue correcto y todas las contraseñas, usuarios y demás datos personales fueron públicos por X tiempo"?

Ahora bien, creo que no eres el único aquí con conocimientos sobre bases de datos, encriptacion y demás cosas... Si no quieres ayudar, es simple: Dejas de contestar y listo.

Aun no entiendo cómo algunos usuarios no aprenden a escribir... Antes de venir aquí insultando, alegando y diciendo cosas fuera de lugar, piensa bien lo que vas a escribir. Nunca sabes a quien te dirijes, ni quien te está leyendo.

Nada, simplemente no tiene caso seguirle la corriente a gente de este tipo. Como te dije, si quieres contestar, contesta... Si no, simplemente vete y deja de crear más problemas de los que has creado en el foro.

claro, es mucho mejor un sitio que no te dice que les han robado tu contraseña y te expone a un robo de identidad o de dinero
si la has cagado tienes que asumir las consecuencias
no estaba hablando contigo, sino con mafima, por que te das por aludido? el me ha pedido ayuda por PM y yo le digo que le ayudare siempre que no te haga caso a ti, puede que haya mas gente aqui que pueda ayudarle, y que?

siento haberte ofendido pero si tu respuesta me parece poco etica entiende que no voy a recomendar a nadie que te haga caso, que tal si aprendes a evitar los ad hominem y me explicas por que es tan buena idea jugar con los datos personales de la gente como tu propones

Poco ético? ¡¡Leete!! Qué vas a saber tu de ética...

Realmente ya me estas desesperando, y no voy a ponerme a discutir contigo... Si quiero darme por aludido o no, será muy mi problema. Ponerme a explicarte porqué es buena idea la mía seria completamente inútil, por lo que voy a evitar contestarte para no desperdiciar mi tiempo contestando tus preguntitas.

Por mi, este hilo ha acabado. No tengo más que agregar ni más que decir... Simplemente espero que el creador de el hilo tenga suerte con su proyecto. No voy a seguir discutiendo ni poner en riesgo mi nombre ni mi usuario por gente de este tipo.

Hasta Luego!

ves, mas ad hominem

no se exactamente donde me he metido yo contigo, te debo dinero o algo?