Tweet
Novos membros entram para o deface diariamente, e com eles, vários grupos surgem. Hoje em dia, talvez seja impossível encontrar um programador que, por mais experiente que seja, não tenha uma história de desfiguração para contar.
Neste tutorial vou mostrar como você deve proceder quando você for uma vítima.
É sexta-feira. Seu expediente está terminando e você não vê a hora de ir para casa quando aquele camarada do suporte para em frente à sua mesa, dizendo que tem um cliente puto da vida no telefone querendo falar com você.
Você já vai selecionando os melhores palavrões para dizer ao cliente quando vem a confirmação: o site do cliente está invadido.
E agora? O que fazer?
O primeiro passo é manter-se tranquilo, pois isso é absolutamente normal. Inicie cortando o acesso ao website.
Agora você precisa saber de uma coisa: a falha foi sua ou não?
Verifique manualmente ou no Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... se foi ou não um Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., no qual é explorada uma vulnerabilidade em um kernel desatualizado para se conseguir privilégios de root e poder modificar todas as páginas hospedadas ali.
Se não foi o caso, realmente a falha pode ter sido sua. Por isso, entre no CPanel e procure ler os logs de acesso. Ali você terá os IPs dos visitantes e seus requests. Procure os requests no qual o visitante conseguiu invadir sua página, para saber qual foi a vulnerabilidade explorada. Caso queira denunciar o IP, mesmo que isso não dará em nada, denuncie ao Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar.... Conseguiu descobrir a vulnerabilidade?
Ainda sem liberar o acesso, retorne o último backup do servidor, geralmente na raiz do FTP. Após isso, corrija a vulnerabilidade. Então, utilize o Nikto, Websecurify e Acunetix (sem dispensar o trabalho manual) para procurar mais vulnerabilidades em seu website.
Pode ser também que você não consiga descobrir a vulnerabilidade por diversos motivos. Então, procure na página deixada pelo atacante alguma informação de contato. Caso não haja, procure por listas de notificação de gerenciadores de mirrors (como o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...) do grupo ou de integrantes do grupo por esses dados.
Não comece com perguntas do tipo "por que você fez isso?", e muito menos comece a amaldiçoar toda a família dele. Fale calmamente e, no final, surpreenda-o agradecendo pelo teste e pelo conhecimento adquirido.
Isso evita muitos problemas e perdas de tempo. É relativamente útil você conhecer as técnicas de invasão e aplicá-las contra seus próprios websites.
Ressaltando, isto é comum nos dias de hoje. Mais comum do que ser roubado (será?).
Até a próxima.
Neste tutorial vou mostrar como você deve proceder quando você for uma vítima.
É sexta-feira. Seu expediente está terminando e você não vê a hora de ir para casa quando aquele camarada do suporte para em frente à sua mesa, dizendo que tem um cliente puto da vida no telefone querendo falar com você.
Você já vai selecionando os melhores palavrões para dizer ao cliente quando vem a confirmação: o site do cliente está invadido.
E agora? O que fazer?
O primeiro passo é manter-se tranquilo, pois isso é absolutamente normal. Inicie cortando o acesso ao website.
Agora você precisa saber de uma coisa: a falha foi sua ou não?
Verifique manualmente ou no Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... se foi ou não um Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., no qual é explorada uma vulnerabilidade em um kernel desatualizado para se conseguir privilégios de root e poder modificar todas as páginas hospedadas ali.
Se não foi o caso, realmente a falha pode ter sido sua. Por isso, entre no CPanel e procure ler os logs de acesso. Ali você terá os IPs dos visitantes e seus requests. Procure os requests no qual o visitante conseguiu invadir sua página, para saber qual foi a vulnerabilidade explorada. Caso queira denunciar o IP, mesmo que isso não dará em nada, denuncie ao Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar.... Conseguiu descobrir a vulnerabilidade?
Ainda sem liberar o acesso, retorne o último backup do servidor, geralmente na raiz do FTP. Após isso, corrija a vulnerabilidade. Então, utilize o Nikto, Websecurify e Acunetix (sem dispensar o trabalho manual) para procurar mais vulnerabilidades em seu website.
Pode ser também que você não consiga descobrir a vulnerabilidade por diversos motivos. Então, procure na página deixada pelo atacante alguma informação de contato. Caso não haja, procure por listas de notificação de gerenciadores de mirrors (como o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...) do grupo ou de integrantes do grupo por esses dados.
Não comece com perguntas do tipo "por que você fez isso?", e muito menos comece a amaldiçoar toda a família dele. Fale calmamente e, no final, surpreenda-o agradecendo pelo teste e pelo conhecimento adquirido.
Isso evita muitos problemas e perdas de tempo. É relativamente útil você conhecer as técnicas de invasão e aplicá-las contra seus próprios websites.
Ressaltando, isto é comum nos dias de hoje. Mais comum do que ser roubado (será?).
Até a próxima.
Comment