Erick, seria interessante, se possível e já corrigido seu problema, apontar a falha, para que outras pessoas possam se precaver do problema. No caso se confirmar a suspeita do WP, reportar à comunidade, para que eles possam corrigir este problema.
Att, Vinicius Cruz 71 8821-8799 http://www.zime.com.br/ Em 14 de abril de 2011 13:40, Erick Patrick <[email protected]>escreveu: > Pessoal, > > Voltando para agradecer a ajuda de vocês e para avisar que o problema, a > priori foi com o WordPress. Qualquer novidade a mais, trago aqui nessa > thread ou então, crio um off-topic, até porque, creio que muitos aqui > também > trabalham com o WordPress, não é? > > Abraços e até mais. > > > > > > 2011/4/14 Rafael Mattioni <[email protected]> > > > Com certeza! hehe > > > > Em 14 de abril de 2011 12:00, Eric Saboia <[email protected]> escreveu: > > > > > haeuhaeuhaeuh esse ai foi o FAIL do ano... por isso o "passado" entre > > > aspas, ainda ocorre, lógico, mas hoje em dia existem N formas > > "automáticas" > > > de se precaver disso. > > > > > > Como eu disse, vale a pena testar a falha, simulando um SQL Injection, > > mas > > > como o chará já fez isso também, volto a dizer que deveria pensar em > > outras > > > falhas de segurança. > > > > > > > > > 2011/4/14 Rafael Mattioni <[email protected]> > > > > > >> Acho que o Injection não é "tão do passado" assim. > > >> > > >> > > >> > > > http://br-linux.org/2011/site-oficial-mysql-com-invadido-via-sql-injection/ > > >> > > >> Em 14 de abril de 2011 11:26, Eric Saboia <[email protected]> > escreveu: > > >> > > >> Chará, > > >>> > > >>> Ele escapa todas as aspas que você envia em requests. > > >>> > > >>> 2011/4/14 Erick Patrick <[email protected]> > > >>> > > >>> > Eric Saboia: > > >>> > - Fiz uns testes aqui antes mesmo de mandar para cá esse e-mail. > > Tanto > > >>> que > > >>> > foi por isso que perguntei quais os métodos e contra o que o CI > > >>> realmente > > >>> > se > > >>> > protege. Espero que não seja no CI e tenha sido algum outro > problema > > >>> que > > >>> > esteja além das nossas mãos (digo, mãos dos programadores). > > >>> > > > >>> > Anderson: > > >>> > Como falei no primeiro e-mail, estamos usando a versão 3.1.1 que é > a > > >>> > estável > > >>> > mais atual. > > >>> > > > >>> > Obrigado a todos, > > >>> > > > >>> > > > >>> > > > >>> > > > >>> > > > >>> > 2011/4/14 Eric Saboia <[email protected]> > > >>> > > > >>> > > Se você ta com essa desconfiança, porque não tenta fazer um SQL > > >>> Injection > > >>> > > num form do CI? garanto que se o XSS_filtering ta ativo, você não > > vai > > >>> > > conseguir nada. Isso sem contar que o próprio PHP tem uma > diretiva, > > >>> que > > >>> > se > > >>> > > não me engano, a partir do PHP 5, vem habilitada por default e > que > > >>> também > > >>> > > previne o escape de aspas em inputs. > > >>> > > > > >>> > > SQL Injection é coisa do "passado", eu procuraria por outro tipo > de > > >>> > falha. > > >>> > > > > >>> > > 2011/4/14 Erick Patrick <[email protected]> > > >>> > > > > >>> > > > Jairo: > > >>> > > > - Trabalhamos numa empresa que prover serviços de internet via > > >>> rádio em > > >>> > > > nossa cidade. Os servers de nossas aplicações ficam aqui mesmo > na > > >>> > cidade. > > >>> > > > Quem tem acesso ao DB somos os 2 programadores e 1 admin. > Segundo > > o > > >>> > > pessoal > > >>> > > > que trabalha com a segurança dos servidores, sofremos ataques > > todos > > >>> os > > >>> > > > dias, > > >>> > > > mas não somos invadidos há pelo menos 3 anos. Daí a dúvida em > ser > > >>> no > > >>> > > > Wordpress ou no CI; > > >>> > > > > > >>> > > > Segundo o user_guide do CI, as chamadas a métodos da Classe > Input > > é > > >>> > > > escapado > > >>> > > > automaticamente, como diz essa página aqui > > >>> > > > http://codeigniter.com/user_guide/libraries/input.html e, como > > >>> disse > > >>> > > > antes, > > >>> > > > o *XSS_filtering* estava ativado no momento. Não usamos SQL > > >>> própria, > > >>> > > > somente > > >>> > > > os comandos do active record. > > >>> > > > > > >>> > > > No formulário de login que a aplicação tem, não usamos captcha. > E > > >>> não, > > >>> > > não > > >>> > > > salvamos nenhum dos comandos DML no banco e mesmo que o > > fizessemos, > > >>> > acho > > >>> > > > meio dificil que ficasse guardado em algum dos backups se tiver > > >>> sido > > >>> > > algum > > >>> > > > SQL-injection, já que a database foi apagada por completo. > > >>> > > > > > >>> > > > E como você comentou, não é o caso de apagar dados de uma > tabela > > >>> com > > >>> > > > *delete > > >>> > > > cascade* como foi o seu, a gente realmente teve a base de dados > > >>> > apagada. > > >>> > > > > > >>> > > > No mais, obrigado mais uma vez. > > >>> > > > > > >>> > > > > > >>> > > > > > >>> > > > > > >>> > > > > > >>> > > > 2011/4/14 Jairo <[email protected]> > > >>> > > > > > >>> > > > > Precisa analisar se a invasão veio de outras fontes. > > >>> > > > > O banco tá num servidor em 'casa' ou hospedado fora ? > > >>> > > > > Quem tem senha de acesso ao DB ? > > >>> > > > > Tem rotina de backup automatizada ? Mexeram no script ? > > >>> > > > > > > >>> > > > > Falando do CI, temos alguns pontos : > > >>> > > > > - acesso direto a alguma página não daria, o próprio CI > > protege; > > >>> > > > > - algum campo de algum FORM que não esteja "escapado", > > permitiria > > >>> o > > >>> > sql > > >>> > > > > injection (?!); > > >>> > > > > - Brute force, provavelmente só numa tela de login. Usou > > captcha > > >>> ? > > >>> > > > > Escape ? Congelou o login por 15 minutos em 3 tentativas > > erradas, > > >>> > > > > etc... ? > > >>> > > > > - vc. usa logs dos comandos DML no banco ? usuário, IP, > etc... > > >>> > > > > > > >>> > > > > A muito tempo atrás, ainda no DataFlex, eu cometi um erro > > >>> grosseiro > > >>> > de > > >>> > > > > lógica de programação mesmo. Rolava um delete cascade onde > não > > >>> > deveria. > > >>> > > > > Só que ele apagava apenas uma tabela, parece que não é seu > > caso, > > >>> pois > > >>> > o > > >>> > > > > banco todo sumiu ! > > >>> > > > > > > >>> > > > > -- > > >>> > > > > Abs, > > >>> > > > > > > >>> > > > > Jairo > > >>> > > > > Sao Paulo / SP - Brasil > > >>> > > > > > > >>> > > > > > > >>> > > > > On Thu, 2011-04-14 at 09:41 -0300, Erick Patrick wrote: > > >>> > > > > > Pessoal, > > >>> > > > > > > > >>> > > > > > No local onde trabalhamos, por algum motivo do destino, a > > base > > >>> de > > >>> > > dados > > >>> > > > > do > > >>> > > > > > CI está no mesmo local que a base de dados de uma > instalação > > >>> > > wordpress > > >>> > > > > > 3.1.1. De ontem para hoje, tivemos ambas as base de dados > > >>> > deletadas. > > >>> > > > Por > > >>> > > > > > esse motivo, gostaria de saber se alguém sabe quais os > > métodos > > >>> anti > > >>> > > > > > SQL-injection, anti XSS e quaisquer outras medidas que o CI > > usa > > >>> > para > > >>> > > > > poder > > >>> > > > > > proteger a aplicação contra ataques. Além disso, para > deixar > > >>> > avisado, > > >>> > > > já > > >>> > > > > vi > > >>> > > > > > no user_guide que eles fazem escape no *$this->input;* o > > >>> > > > > > *XSS_filtering*estava ativado quando a base de dados foi > > >>> deletada; > > >>> > e > > >>> > > > > > estavamos usando o > > >>> > > > > > *Active Record* para acessar as consultas SQL. > > >>> > > > > > > > >>> > > > > > Será que o problema foi alguma possibilidade de hacking > > através > > >>> do > > >>> > > > > Wordpress > > >>> > > > > > ou um puro e simples brute-force com possíveis usuários e > > senha > > >>> na > > >>> > > base > > >>> > > > > de > > >>> > > > > > dados? > > >>> > > > > > > > >>> > > > > > Desde já, agradeço qualquer ajuda, > > >>> > > > > > > >>> > > > > > > >>> > > > > > > >>> > > > > _______________________________________________ > > >>> > > > > [email protected] > > >>> > > > > http://www.codeigniter.com.br > > >>> > > > > > > >>> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > >>> > > > > > > >>> > > > > --------------------------- > > >>> > > > > Oportunidade de negócio > > >>> > > > > http://www.franquiasargohost.net > > >>> > > > > --------------------------- > > >>> > > > > > > >>> > > > _______________________________________________ > > >>> > > > [email protected] > > >>> > > > http://www.codeigniter.com.br > > >>> > > > > > >>> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > >>> > > > > > >>> > > > --------------------------- > > >>> > > > Oportunidade de negócio > > >>> > > > http://www.franquiasargohost.net > > >>> > > > --------------------------- > > >>> > > > > > >>> > > > > >>> > > > > >>> > > > > >>> > > -- > > >>> > > Eric Saboia - eric.saboia.org > > >>> > > > > >>> > > Beautiful is better than ugly, > > >>> > > Explicit is better than implicit, > > >>> > > Simple is better than complex, > > >>> > > Complex is better than complicated. > > >>> > > > > >>> > > The Zen of Python, by Tim Peters > > >>> > > _______________________________________________ > > >>> > > [email protected] > > >>> > > http://www.codeigniter.com.br > > >>> > > > > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > >>> > > > > >>> > > --------------------------- > > >>> > > Oportunidade de negócio > > >>> > > http://www.franquiasargohost.net > > >>> > > --------------------------- > > >>> > > > > >>> > _______________________________________________ > > >>> > [email protected] > > >>> > http://www.codeigniter.com.br > > >>> > > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > >>> > > > >>> > --------------------------- > > >>> > Oportunidade de negócio > > >>> > http://www.franquiasargohost.net > > >>> > --------------------------- > > >>> > > > >>> > > >>> > > >>> > > >>> -- > > >>> Eric Saboia - eric.saboia.org > > >>> > > >>> Beautiful is better than ugly, > > >>> Explicit is better than implicit, > > >>> Simple is better than complex, > > >>> Complex is better than complicated. > > >>> > > >>> The Zen of Python, by Tim Peters > > >>> _______________________________________________ > > >>> [email protected] > > >>> http://www.codeigniter.com.br > > >>> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > >>> > > >>> --------------------------- > > >>> Oportunidade de negócio > > >>> http://www.franquiasargohost.net > > >>> --------------------------- > > >>> > > >> > > >> > > > > > > > > > -- > > > Eric Saboia - eric.saboia.org > > > > > > Beautiful is better than ugly, > > > Explicit is better than implicit, > > > Simple is better than complex, > > > Complex is better than complicated. > > > > > > The Zen of Python, by Tim Peters > > > > > > > > _______________________________________________ > > [email protected] > > http://www.codeigniter.com.br > > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > > > --------------------------- > > Oportunidade de negócio > > http://www.franquiasargohost.net > > --------------------------- > > > _______________________________________________ > [email protected] > http://www.codeigniter.com.br > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > --------------------------- > Oportunidade de negócio > http://www.franquiasargohost.net > --------------------------- > _______________________________________________ [email protected] http://www.codeigniter.com.br http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br --------------------------- Oportunidade de negócio http://www.franquiasargohost.net ---------------------------
