Segurança - Invasão

Configuração PHP / Ambiente / Performance
#1

Srs boa noite, hoje minha aplicação foi invadida novamente. Por favor, vejam o que encontrei dentro do diretório abaixo:

/public_html/nome_diretorio/_lib/tmp
b374k.php
oloquinhoentramsm.php
(imagens em anexo)

faz sentido o que eu digo?
realmente é invasão ?

Minha senha da Aplicação já foi alterada algumas vezes no MYSQL, e estou mudando, mas eles estão alterando constantemente.

Estou muito preocupado… me ajudem por favoooooor !!

01
Screen Shot 2019-06-14 at 22.34.01.png752×443 56.2 KB
59
Screen Shot 2019-06-14 at 22.36.59.png1057×750 303 KB

#2

@HenriqueB @aoliveirajr @marcia.scriptcase
Veja se não é o teu caso.




Ocorria na versão 8, 7 e anteriores.
Como podem ver dentro dos tópicos acima há links quebrados devido a mudança para o novo fórum. Perdemos muita informação que se podia achar fácil com isto.
Espero então que o pouco que está escrito nos links sirva para diagnosticar de onde vem a invasão.
Não sei se usa estas versões. Mas se for apague este plugin.
E reveja no prod todas as bibliotecas desatualizadas no Scriptcase junto aos seus desenvolvedores.
Se há relatos sobre invasão ou quebra de segurança.
Qualquer uma delas pode ser usada para invadir pelo fato do " Framework" demorar a ter atualizado as bibliotecas de terceiros.
Até o velho e morto php 7.0 e anteriores com certeza tem furos de segurança.

3 Curtidas
#3

O Alexandre esta corretíssimo sempre em estar cobrando atualização da NETMAKE, referente ao PHP, plugins, bibliotecas de terceiros.

Tem muita gente que coloca o SC na WEB produção/desenvolvimento e não bloqueia também,
os diretórios/pastas para não serem escaneados pelos robôs de pesquisa tipo do google, e ainda
não atualizam o SC, PHP, etc.
Um exemplo olhem o tanto de sistemas do SC com diretórios em aberto, que podem estar vulneráveis ou não.

06.15.2019-13.48.png1122×220

Metasploit

Ai os ‘Loquinhos vão invadir mesmo’.

1 Curtida
#4

este exploit é para windows geral, nada a ver com o SC…

se a vulnerabilidade for do servidor pode colocar a segurança que for no sistema que não vai adiantar.

No Caso do aojunioro tem que verificar se tem algum upload sem controle de extensão, algum select no banco sem controle de injeção nas variáveis do where, até recebimentos via GET / POST de uma blank/controle.

Alem é claro, como falado, as libs externas que podem ser vulneráveis

Independente do php todo programa feito em qualquer linguagem tem que ser feito com cuidado.

1 Curtida
Injeção de código malicioso no código gerado no desenvolvimento?
#5

Boa tarde Jair, o problema realmente estava nas extensões dos Uploads. Eles conseguiram subir arquivos dentro do FTP por este caminho.

no campo da Imagem MultiUpload,
em Extensions to allow: coloquei apenas estes: jpg;jpeg;png;gif;pdf

obrigado a todos pelas dicas. vlwwwww

1 Curtida