Foros del Web » Administración de Sistemas » Seguridad y redes »

Me sestán hackeando ¿qué hago?

Estas en el tema de Me sestán hackeando ¿qué hago? en el foro de Seguridad y redes en Foros del Web. Hola hoy hemos recibido un correo en el que alguien me ha dado los usuarios y las claves de varios usuarios de unos de los ...
  #1 (permalink)  
Antiguo 12/07/2009, 19:59
Avatar de mafima  
Fecha de Ingreso: abril-2003
Ubicación: Medellin-Colombia
Mensajes: 1.109
Antigüedad: 21 años, 8 meses
Puntos: 24
Me sestán hackeando ¿qué hago?

Hola hoy hemos recibido un correo en el que alguien me ha dado los usuarios y las claves de varios usuarios de unos de los sitios para los que trabajo.

Ha dicho que está muy bajo en seguridad. Y que quiere habalr con nosotros. Supongo que va a pedir algo.

Lo que quiero es saber donde tengo el problem. por donde comenzar... y que hacer

alguna ayuda?
gracias de antemano.
  #2 (permalink)  
Antiguo 12/07/2009, 20:20
Avatar de De_la_Cuesta_13  
Fecha de Ingreso: abril-2009
Ubicación: Cali, Colombia.
Mensajes: 265
Antigüedad: 15 años, 8 meses
Puntos: 14
Respuesta: Me sestán hackeando ¿qué hago?

Si trabajas guardando los datos en MySQL, lo mejor será que encriptes con MD5 las contraseñas (es muy sencillo), y con esa parte no tendrás más problemas. MD5 es un algoritmo de encriptación muy seguro y confiable.
  #3 (permalink)  
Antiguo 12/07/2009, 20:24
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 18 años, 6 meses
Puntos: 2135
Respuesta: Me sestán hackeando ¿qué hago?

Tema trasladado desde PHP
  #4 (permalink)  
Antiguo 12/07/2009, 20:56
 
Fecha de Ingreso: abril-2009
Mensajes: 371
Antigüedad: 15 años, 8 meses
Puntos: 22
Respuesta: Me sestán hackeando ¿qué hago?

si me das la url por pm te digo asi por encima los fallos de seguridad que teneis, que me aburro y no puedo dormir

aunque si ya tienen datos de vuestros usuarios en realidad estais jodidos aunque arregleis el fallo
  #5 (permalink)  
Antiguo 12/07/2009, 21:04
Avatar de David
Moderador
 
Fecha de Ingreso: abril-2005
Ubicación: In this planet
Mensajes: 15.720
Antigüedad: 19 años, 8 meses
Puntos: 839
Respuesta: Me sestán hackeando ¿qué hago?

Más que encriptar, MD5 es un algoritmo irreversible para creación de un "hash".

Por otro lado, si te dio la lista de contraseñas, lo más probable es que hayan obtenido esa información de la base de datos; puede ser debido a que los valores recibidos en formularios no son filtrados adecuadamente permitiendo Inyección SQL.

Saludos.
__________________
Por favor, antes de preguntar, revisa la Guía para realizar preguntas.
  #6 (permalink)  
Antiguo 13/07/2009, 14:17
Avatar de mafima  
Fecha de Ingreso: abril-2003
Ubicación: Medellin-Colombia
Mensajes: 1.109
Antigüedad: 21 años, 8 meses
Puntos: 24
Respuesta: Me sestán hackeando ¿qué hago?

Si. yo me imagino que tiene que ser algo de inyeccion sql... como me doy cuenta donde tengo las vulnerabilidades?

en cuanto a las contraseñas lo que hariamos es cambiarlas.... no tenemos otra solucion. lo que queremos es evitar que vuelva a suceder... detectando el problema.
  #7 (permalink)  
Antiguo 13/07/2009, 14:35
Avatar de chwc  
Fecha de Ingreso: julio-2008
Ubicación: Buenos Aires ! :D
Mensajes: 814
Antigüedad: 16 años, 4 meses
Puntos: 103
Respuesta: Me sestán hackeando ¿qué hago?

pon la url de tu web, y nosotros te diremos.
__________________
Hangouts de JavaScript todos los jueves 20hs GMT, Unite !
https://plus.google.com/u/0/108504944676960830886
  #8 (permalink)  
Antiguo 13/07/2009, 14:46
Avatar de maycol_alvarez  
Fecha de Ingreso: julio-2009
Mensajes: 31
Antigüedad: 15 años, 5 meses
Puntos: 1
Respuesta: Me sestán hackeando ¿qué hago?

Primero especifica la plataforma del sistema, PHP o ASP, base de datos, etc. Deberias implementar SSL para solventar este tipo de inconvenientes
  #9 (permalink)  
Antiguo 13/07/2009, 21:12
Avatar de mafima  
Fecha de Ingreso: abril-2003
Ubicación: Medellin-Colombia
Mensajes: 1.109
Antigüedad: 21 años, 8 meses
Puntos: 24
Respuesta: Me sestán hackeando ¿qué hago?

Tienes razon. Usamos PHP y MYSQL.

la url no quiero ponerla en publico por que me da miedo que alguien malintencionado la use explotando sus errores.
  #10 (permalink)  
Antiguo 13/07/2009, 23:15
Avatar de Calizman
Organiza competencias CSS
 
Fecha de Ingreso: octubre-2008
Ubicación: Ciudad de Guatemala, Guatemala
Mensajes: 1.122
Antigüedad: 16 años, 2 meses
Puntos: 83
Respuesta: Me sestán hackeando ¿qué hago?

Cita:
Iniciado por mafima Ver Mensaje
Tienes razon. Usamos PHP y MYSQL.

la url no quiero ponerla en publico por que me da miedo que alguien malintencionado la use explotando sus errores.
Saludos!!

Lamentablemente, creo que vas a tener que arriesgarte. Para que alguien te ayude a ver que errores tienes en la base de datos, pues... Hay que ver la base de datos! Y la base de datos se encuentra en tu pagina. Por lo tanto, habria que ver tu pagina. Aun no llegamos a la capacidad de los adivinos, pero si alguien se anima seguro te ayuda!

Nada, si quieres que te ayuden mas, creo que tendrás que tomar el riesgo (Luego tendrás obligatoriamente que cambiar las contraseñas de todos los usuarios inventando que "cada cierto tiempo se renuevan" para que la gente no desconfie de tu sitio)

Hasta Luego!!
__________________
[ Mi Sitio Personal ]
"La felicidad no es una estacion de llegada... Es un modo de viajar"
Tom Schreiter
  #11 (permalink)  
Antiguo 14/07/2009, 01:21
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 4 meses
Puntos: 2237
Respuesta: Me sestán hackeando ¿qué hago?

Antes de colocar la URL de tu sitio haz un respaldo de todo (base de datos, imagenes, scripts, etc.) y cuando hayas solucionado el problema, sigue el consejo de CaLiZzZ respecto al cambio de claves de los usuarios.
__________________
- León, Guanajuato
- GV-Foto
  #12 (permalink)  
Antiguo 14/07/2009, 08:42
Avatar de mafima  
Fecha de Ingreso: abril-2003
Ubicación: Medellin-Colombia
Mensajes: 1.109
Antigüedad: 21 años, 8 meses
Puntos: 24
Respuesta: Me sestán hackeando ¿qué hago?

OK, haré lo que me dicen. A los que me lo han pedido les he enviado por privado la URL del sitio.

Como aprendo a detectar en que campos de mis formulario podrían ejecutar sql injection?

Creo que antes de cambiar claves es lo primero que tengo que corregir. Hay alguien más que quiera/pueda ayudarme. estoy enviando la URL por privado.

Muchas gracias por sus concejos de verdad que son un apoyo.
  #13 (permalink)  
Antiguo 14/07/2009, 10:09
 
Fecha de Ingreso: abril-2009
Mensajes: 371
Antigüedad: 15 años, 8 meses
Puntos: 22
Respuesta: Me sestán hackeando ¿qué hago?

Cita:
Iniciado por CaLiZzZ Ver Mensaje
Luego tendrás obligatoriamente que cambiar las contraseñas de todos los usuarios inventando que "cada cierto tiempo se renuevan" para que la gente no desconfie de tu sitio
!!! pero tu te das cuenta de lo que estas diciendo?

mafima, si quieres te digo donde tienes fallos de seguridad (tu web esta llena de fallos de distintos tipos) y como arreglarlos (y de paso te explico como encriptar los passwords en la base de datos, que los tienes en texto plano)

ademas, deberias hacer los backups al disco duro, no a una tabla aparte (asi como tienes montada la web ahora cualquiera te puede borrar los datos y los backups)

pero ni de coña voy a ayudarte si tienes pensado mentir a tus usuarios como te propone el tipo de ahi arriba
lo que tienes que hacer es arreglar los fallos, cambiar los passwords y luego mandar emails a todos tus usuarios explicando el problema y comunicandoles cual es el password que ha sido comprometido para que lo cambien en sus demas cuentas, su email, etc.
  #14 (permalink)  
Antiguo 14/07/2009, 10:41
Avatar de Calizman
Organiza competencias CSS
 
Fecha de Ingreso: octubre-2008
Ubicación: Ciudad de Guatemala, Guatemala
Mensajes: 1.122
Antigüedad: 16 años, 2 meses
Puntos: 83
Respuesta: Me sestán hackeando ¿qué hago?

Cita:
Iniciado por mpeg
pero ni de coña voy a ayudarte si tienes pensado mentir a tus usuarios como te propone el tipo de ahi arriba
lo que tienes que hacer es arreglar los fallos, cambiar los passwords y luego mandar emails a todos tus usuarios explicando el problema y comunicandoles cual es el password que ha sido comprometido para que lo cambien en sus demas cuentas, su email, etc.
Si, lo dije porque ¿Que pensarías de un sitio en el que te registras y te envían un mail diciendo "Disculpa, nuestro sistema de encriptacion no fue correcto y todas las contraseñas, usuarios y demás datos personales fueron públicos por X tiempo"?

Ahora bien, creo que no eres el único aquí con conocimientos sobre bases de datos, encriptacion y demás cosas... Si no quieres ayudar, es simple: Dejas de contestar y listo.

Aun no entiendo cómo algunos usuarios no aprenden a escribir... Antes de venir aquí insultando, alegando y diciendo cosas fuera de lugar, piensa bien lo que vas a escribir. Nunca sabes a quien te dirijes, ni quien te está leyendo.

Nada, simplemente no tiene caso seguirle la corriente a gente de este tipo. Como te dije, si quieres contestar, contesta... Si no, simplemente vete y deja de crear más problemas de los que has creado en el foro.
__________________
[ Mi Sitio Personal ]
"La felicidad no es una estacion de llegada... Es un modo de viajar"
Tom Schreiter
  #15 (permalink)  
Antiguo 14/07/2009, 10:49
 
Fecha de Ingreso: abril-2009
Mensajes: 371
Antigüedad: 15 años, 8 meses
Puntos: 22
Respuesta: Me sestán hackeando ¿qué hago?

Cita:
Iniciado por CaLiZzZ Ver Mensaje
Si, lo dije porque ¿Que pensarías de un sitio en el que te registras y te envían un mail diciendo "Disculpa, nuestro sistema de encriptacion no fue correcto y todas las contraseñas, usuarios y demás datos personales fueron públicos por X tiempo"?
claro, es mucho mejor un sitio que no te dice que les han robado tu contraseña y te expone a un robo de identidad o de dinero
si la has cagado tienes que asumir las consecuencias
Cita:
Ahora bien, creo que no eres el único aquí con conocimientos sobre bases de datos, encriptacion y demás cosas... Si no quieres ayudar, es simple: Dejas de contestar y listo.
no estaba hablando contigo, sino con mafima, por que te das por aludido? el me ha pedido ayuda por PM y yo le digo que le ayudare siempre que no te haga caso a ti, puede que haya mas gente aqui que pueda ayudarle, y que?

siento haberte ofendido pero si tu respuesta me parece poco etica entiende que no voy a recomendar a nadie que te haga caso, que tal si aprendes a evitar los ad hominem y me explicas por que es tan buena idea jugar con los datos personales de la gente como tu propones
  #16 (permalink)  
Antiguo 14/07/2009, 11:01
Avatar de Calizman
Organiza competencias CSS
 
Fecha de Ingreso: octubre-2008
Ubicación: Ciudad de Guatemala, Guatemala
Mensajes: 1.122
Antigüedad: 16 años, 2 meses
Puntos: 83
Respuesta: Me sestán hackeando ¿qué hago?

Cita:
Iniciado por mpeg
siento haberte ofendido pero si tu respuesta me parece poco etica entiende que no voy a recomendar a nadie que te haga caso, que tal si aprendes a evitar los ad hominem y me explicas por que es tan buena idea jugar con los datos personales de la gente como tu propones
Poco ético? ¡¡Leete!! Qué vas a saber tu de ética...

Realmente ya me estas desesperando, y no voy a ponerme a discutir contigo... Si quiero darme por aludido o no, será muy mi problema. Ponerme a explicarte porqué es buena idea la mía seria completamente inútil, por lo que voy a evitar contestarte para no desperdiciar mi tiempo contestando tus preguntitas.

Por mi, este hilo ha acabado. No tengo más que agregar ni más que decir... Simplemente espero que el creador de el hilo tenga suerte con su proyecto. No voy a seguir discutiendo ni poner en riesgo mi nombre ni mi usuario por gente de este tipo.

Hasta Luego!
__________________
[ Mi Sitio Personal ]
"La felicidad no es una estacion de llegada... Es un modo de viajar"
Tom Schreiter
  #17 (permalink)  
Antiguo 14/07/2009, 11:05
 
Fecha de Ingreso: abril-2009
Mensajes: 371
Antigüedad: 15 años, 8 meses
Puntos: 22
Respuesta: Me sestán hackeando ¿qué hago?

Cita:
Iniciado por CaLiZzZ Ver Mensaje
Poco ético? ¡¡Leete!! Qué vas a saber tu de ética...
ves, mas ad hominem

no se exactamente donde me he metido yo contigo, te debo dinero o algo?
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Tema Cerrado




La zona horaria es GMT -6. Ahora son las 21:24.