I morse blev min sida www.rpm.nu hackad. Som tur är så är den så nystartad att det spelar ingen roll att nyheterna är borta - dock väldigt störande. Jag antar att det är SQL injektion, men jag har ingen aning vart eller hur det går/gick till.

Är det någon som vet vart säkerhets missen ligger?
Det är fritt fram att testa att hacka sidan!

Denna site låg uppe på flashback för några dagar sedan om jag inte misstar mig.
Dessutom skrev nån som utgav sig för att vara dig, att det var "fritt fram att testa att hacka sidan".

Gör du någon validering av e-postadresser på serversidan eller är det bara på klientsidan?

Kontrollera alla .php filer som tar emot $_GET och $_POST variabler. Jag kollade lite snabbt och dessa bör du kolla: lan.php, index.php och sample.php. Sample.php ser ut att kunna vara en risk. Filtrera alla inkommande fält.

Det är bara koll om den ser ut som en riktig adress.

hmm.. Några tips på vad jag ska söka på för att hitta tråden?

Tack för tipset, ska dra iväg ett argt brev till programmerarna med denna info!

Har du tillgång till webhotellets accessloggar? Om du vet ungefärligen tiden för hackningen är det lätt via accessloggarna att se hur hackningen gick till. Det går också att se vilken ip-adress hackern använde.

Alla GET-, POST- och COOKIE-variabler som ska sättas in i databasen ska du köra mysql_real_escape_string på.

Yes, och dessutom bör du ju köra backup på sidan med jämna mellanrum i vilket fall som helst... Då hade du inte ens förlorat nyheterna. Otroligt många som gör bort sig genom att inte köra backups och förlitar sig helt på webbhotellen.

Jag lånar tråden lite: jag hade en joomlainstallation som blev hackad och nertagen, där tanken var att den skulle uppdateras med en egenutvecklad sida, nu blir det inte så, och troligtvis blir det ytterligare en Joomlainstallation, tills vidare. Är det någon som har tips på hur man kan säkra upp joomla på bästa sätt...

Eller PDO med prepared statements....

Koda eget :ph34r:

För majoriteten av Joomla-användarna är det nog inte lönsamt att göra det. Eventuella säkerhetsbrister i Joomla bör väl redan finnas dokumenterade?

Uppgradera till senaste versionen och uppgradera fortlöpande. Vad jag förstår är riskerna små med en uppdaterad version medan luckorna i äldre versioner är välkända.

Ett alternativ kan också vara att använda något som är mindre använt. Joomla är så stort och brett använt att det är mycket lönsamt för amatörerna att hacka där.

Skaffa en vps, lägg in mod_security och sen är koden inte så viktig längre ;)

Jag använder PHP-Nuke och det går att få ett visst skydd via .htaccess filen. Sök på Joomla och .htaccess för att få tips om vad du kan lägga till för skydd där. Det går helt säkert att bannlysa speciella länder med mycket hackers. Själv bannlyser jag turkiska ip-adresser.

I PHP-Nuke fungerar följande mot cross scripting och hackerbotar , som är det vanliga hackerförsöket:

RewriteEngine On

RewriteCond %{THE_REQUEST} .*http:\/\/.* [OR]
RewriteCond %{THE_REQUEST} .*http%3A%2F%2F.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^libwww(-FM|-perl) [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library

RewriteRule ^.* - [F]

Vi kör mod_security skarpt i vår delade miljö men det hjälper ändå inte alltid. Joomla (eller framförallt dess olika plugins) är till exempel så full av hål att det inte alltid hjälper med mod_security-plåstren. Vissa säkerhetshål är helt enkelt för subtila för att en allmän säkerhetsregel ska fånga upp hacket, inte bara i Joomla utan även i andra syste,.

I Wordpress uppdagades nyligen ett hål som ger tillgång till admin-kontot utan att använda SQL-injektioner:
http://packetstormsecurity.org/0809-...ess261-sql.txt
(vad jag förstår patchat i 2.6.2)

Allmänt gäller att kör man en färdig lösning så ska man se till att hålla den uppdaterad. Uppdatera minst en gång i månaden om det kommit en ny version, helst samma dag som den nya versionen släpps.

Tack, ett sakligt informativt svar, det blir tyvärr mer och mer ovanligt.

Vidare, spelar styrkan på lösenordet någon roll ? Är det idé med ytterligare säkerhet i form av plugins/extensions, t.ex. jSecure Authentication ?