Desculpem. Acho que o stress me fez ler apenas a primeira linha da mensagem do Eric... rsrs Mas considere a possibilidade de reportar à comunidade do WP :)
Att, Vinicius Cruz 71 8821-8799 http://www.zime.com.br/ Em 14 de abril de 2011 13:55, Vinicius Cruz <[email protected]> escreveu: > Erick, > > seria interessante, se possível e já corrigido seu problema, apontar a > falha, para que outras pessoas possam se precaver do problema. No caso se > confirmar a suspeita do WP, reportar à comunidade, para que eles possam > corrigir este problema. > > Att, > Vinicius Cruz > 71 8821-8799 > http://www.zime.com.br/ > > > > Em 14 de abril de 2011 13:40, Erick Patrick > <[email protected]>escreveu: > > Pessoal, >> >> Voltando para agradecer a ajuda de vocês e para avisar que o problema, a >> priori foi com o WordPress. Qualquer novidade a mais, trago aqui nessa >> thread ou então, crio um off-topic, até porque, creio que muitos aqui >> também >> trabalham com o WordPress, não é? >> >> Abraços e até mais. >> >> >> >> >> >> 2011/4/14 Rafael Mattioni <[email protected]> >> >> > Com certeza! hehe >> > >> > Em 14 de abril de 2011 12:00, Eric Saboia <[email protected]> escreveu: >> > >> > > haeuhaeuhaeuh esse ai foi o FAIL do ano... por isso o "passado" entre >> > > aspas, ainda ocorre, lógico, mas hoje em dia existem N formas >> > "automáticas" >> > > de se precaver disso. >> > > >> > > Como eu disse, vale a pena testar a falha, simulando um SQL Injection, >> > mas >> > > como o chará já fez isso também, volto a dizer que deveria pensar em >> > outras >> > > falhas de segurança. >> > > >> > > >> > > 2011/4/14 Rafael Mattioni <[email protected]> >> > > >> > >> Acho que o Injection não é "tão do passado" assim. >> > >> >> > >> >> > >> >> > >> http://br-linux.org/2011/site-oficial-mysql-com-invadido-via-sql-injection/ >> > >> >> > >> Em 14 de abril de 2011 11:26, Eric Saboia <[email protected]> >> escreveu: >> > >> >> > >> Chará, >> > >>> >> > >>> Ele escapa todas as aspas que você envia em requests. >> > >>> >> > >>> 2011/4/14 Erick Patrick <[email protected]> >> > >>> >> > >>> > Eric Saboia: >> > >>> > - Fiz uns testes aqui antes mesmo de mandar para cá esse e-mail. >> > Tanto >> > >>> que >> > >>> > foi por isso que perguntei quais os métodos e contra o que o CI >> > >>> realmente >> > >>> > se >> > >>> > protege. Espero que não seja no CI e tenha sido algum outro >> problema >> > >>> que >> > >>> > esteja além das nossas mãos (digo, mãos dos programadores). >> > >>> > >> > >>> > Anderson: >> > >>> > Como falei no primeiro e-mail, estamos usando a versão 3.1.1 que é >> a >> > >>> > estável >> > >>> > mais atual. >> > >>> > >> > >>> > Obrigado a todos, >> > >>> > >> > >>> > >> > >>> > >> > >>> > >> > >>> > >> > >>> > 2011/4/14 Eric Saboia <[email protected]> >> > >>> > >> > >>> > > Se você ta com essa desconfiança, porque não tenta fazer um SQL >> > >>> Injection >> > >>> > > num form do CI? garanto que se o XSS_filtering ta ativo, você >> não >> > vai >> > >>> > > conseguir nada. Isso sem contar que o próprio PHP tem uma >> diretiva, >> > >>> que >> > >>> > se >> > >>> > > não me engano, a partir do PHP 5, vem habilitada por default e >> que >> > >>> também >> > >>> > > previne o escape de aspas em inputs. >> > >>> > > >> > >>> > > SQL Injection é coisa do "passado", eu procuraria por outro tipo >> de >> > >>> > falha. >> > >>> > > >> > >>> > > 2011/4/14 Erick Patrick <[email protected]> >> > >>> > > >> > >>> > > > Jairo: >> > >>> > > > - Trabalhamos numa empresa que prover serviços de internet via >> > >>> rádio em >> > >>> > > > nossa cidade. Os servers de nossas aplicações ficam aqui mesmo >> na >> > >>> > cidade. >> > >>> > > > Quem tem acesso ao DB somos os 2 programadores e 1 admin. >> Segundo >> > o >> > >>> > > pessoal >> > >>> > > > que trabalha com a segurança dos servidores, sofremos ataques >> > todos >> > >>> os >> > >>> > > > dias, >> > >>> > > > mas não somos invadidos há pelo menos 3 anos. Daí a dúvida em >> ser >> > >>> no >> > >>> > > > Wordpress ou no CI; >> > >>> > > > >> > >>> > > > Segundo o user_guide do CI, as chamadas a métodos da Classe >> Input >> > é >> > >>> > > > escapado >> > >>> > > > automaticamente, como diz essa página aqui >> > >>> > > > http://codeigniter.com/user_guide/libraries/input.html e, >> como >> > >>> disse >> > >>> > > > antes, >> > >>> > > > o *XSS_filtering* estava ativado no momento. Não usamos SQL >> > >>> própria, >> > >>> > > > somente >> > >>> > > > os comandos do active record. >> > >>> > > > >> > >>> > > > No formulário de login que a aplicação tem, não usamos >> captcha. E >> > >>> não, >> > >>> > > não >> > >>> > > > salvamos nenhum dos comandos DML no banco e mesmo que o >> > fizessemos, >> > >>> > acho >> > >>> > > > meio dificil que ficasse guardado em algum dos backups se >> tiver >> > >>> sido >> > >>> > > algum >> > >>> > > > SQL-injection, já que a database foi apagada por completo. >> > >>> > > > >> > >>> > > > E como você comentou, não é o caso de apagar dados de uma >> tabela >> > >>> com >> > >>> > > > *delete >> > >>> > > > cascade* como foi o seu, a gente realmente teve a base de >> dados >> > >>> > apagada. >> > >>> > > > >> > >>> > > > No mais, obrigado mais uma vez. >> > >>> > > > >> > >>> > > > >> > >>> > > > >> > >>> > > > >> > >>> > > > >> > >>> > > > 2011/4/14 Jairo <[email protected]> >> > >>> > > > >> > >>> > > > > Precisa analisar se a invasão veio de outras fontes. >> > >>> > > > > O banco tá num servidor em 'casa' ou hospedado fora ? >> > >>> > > > > Quem tem senha de acesso ao DB ? >> > >>> > > > > Tem rotina de backup automatizada ? Mexeram no script ? >> > >>> > > > > >> > >>> > > > > Falando do CI, temos alguns pontos : >> > >>> > > > > - acesso direto a alguma página não daria, o próprio CI >> > protege; >> > >>> > > > > - algum campo de algum FORM que não esteja "escapado", >> > permitiria >> > >>> o >> > >>> > sql >> > >>> > > > > injection (?!); >> > >>> > > > > - Brute force, provavelmente só numa tela de login. Usou >> > captcha >> > >>> ? >> > >>> > > > > Escape ? Congelou o login por 15 minutos em 3 tentativas >> > erradas, >> > >>> > > > > etc... ? >> > >>> > > > > - vc. usa logs dos comandos DML no banco ? usuário, IP, >> etc... >> > >>> > > > > >> > >>> > > > > A muito tempo atrás, ainda no DataFlex, eu cometi um erro >> > >>> grosseiro >> > >>> > de >> > >>> > > > > lógica de programação mesmo. Rolava um delete cascade onde >> não >> > >>> > deveria. >> > >>> > > > > Só que ele apagava apenas uma tabela, parece que não é seu >> > caso, >> > >>> pois >> > >>> > o >> > >>> > > > > banco todo sumiu ! >> > >>> > > > > >> > >>> > > > > -- >> > >>> > > > > Abs, >> > >>> > > > > >> > >>> > > > > Jairo >> > >>> > > > > Sao Paulo / SP - Brasil >> > >>> > > > > >> > >>> > > > > >> > >>> > > > > On Thu, 2011-04-14 at 09:41 -0300, Erick Patrick wrote: >> > >>> > > > > > Pessoal, >> > >>> > > > > > >> > >>> > > > > > No local onde trabalhamos, por algum motivo do destino, a >> > base >> > >>> de >> > >>> > > dados >> > >>> > > > > do >> > >>> > > > > > CI está no mesmo local que a base de dados de uma >> instalação >> > >>> > > wordpress >> > >>> > > > > > 3.1.1. De ontem para hoje, tivemos ambas as base de dados >> > >>> > deletadas. >> > >>> > > > Por >> > >>> > > > > > esse motivo, gostaria de saber se alguém sabe quais os >> > métodos >> > >>> anti >> > >>> > > > > > SQL-injection, anti XSS e quaisquer outras medidas que o >> CI >> > usa >> > >>> > para >> > >>> > > > > poder >> > >>> > > > > > proteger a aplicação contra ataques. Além disso, para >> deixar >> > >>> > avisado, >> > >>> > > > já >> > >>> > > > > vi >> > >>> > > > > > no user_guide que eles fazem escape no *$this->input;* o >> > >>> > > > > > *XSS_filtering*estava ativado quando a base de dados foi >> > >>> deletada; >> > >>> > e >> > >>> > > > > > estavamos usando o >> > >>> > > > > > *Active Record* para acessar as consultas SQL. >> > >>> > > > > > >> > >>> > > > > > Será que o problema foi alguma possibilidade de hacking >> > através >> > >>> do >> > >>> > > > > Wordpress >> > >>> > > > > > ou um puro e simples brute-force com possíveis usuários e >> > senha >> > >>> na >> > >>> > > base >> > >>> > > > > de >> > >>> > > > > > dados? >> > >>> > > > > > >> > >>> > > > > > Desde já, agradeço qualquer ajuda, >> > >>> > > > > >> > >>> > > > > >> > >>> > > > > >> > >>> > > > > _______________________________________________ >> > >>> > > > > [email protected] >> > >>> > > > > http://www.codeigniter.com.br >> > >>> > > > > >> > >>> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >> > >>> > > > > >> > >>> > > > > --------------------------- >> > >>> > > > > Oportunidade de negócio >> > >>> > > > > http://www.franquiasargohost.net >> > >>> > > > > --------------------------- >> > >>> > > > > >> > >>> > > > _______________________________________________ >> > >>> > > > [email protected] >> > >>> > > > http://www.codeigniter.com.br >> > >>> > > > >> > >>> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >> > >>> > > > >> > >>> > > > --------------------------- >> > >>> > > > Oportunidade de negócio >> > >>> > > > http://www.franquiasargohost.net >> > >>> > > > --------------------------- >> > >>> > > > >> > >>> > > >> > >>> > > >> > >>> > > >> > >>> > > -- >> > >>> > > Eric Saboia - eric.saboia.org >> > >>> > > >> > >>> > > Beautiful is better than ugly, >> > >>> > > Explicit is better than implicit, >> > >>> > > Simple is better than complex, >> > >>> > > Complex is better than complicated. >> > >>> > > >> > >>> > > The Zen of Python, by Tim Peters >> > >>> > > _______________________________________________ >> > >>> > > [email protected] >> > >>> > > http://www.codeigniter.com.br >> > >>> > > >> > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >> > >>> > > >> > >>> > > --------------------------- >> > >>> > > Oportunidade de negócio >> > >>> > > http://www.franquiasargohost.net >> > >>> > > --------------------------- >> > >>> > > >> > >>> > _______________________________________________ >> > >>> > [email protected] >> > >>> > http://www.codeigniter.com.br >> > >>> > >> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >> > >>> > >> > >>> > --------------------------- >> > >>> > Oportunidade de negócio >> > >>> > http://www.franquiasargohost.net >> > >>> > --------------------------- >> > >>> > >> > >>> >> > >>> >> > >>> >> > >>> -- >> > >>> Eric Saboia - eric.saboia.org >> > >>> >> > >>> Beautiful is better than ugly, >> > >>> Explicit is better than implicit, >> > >>> Simple is better than complex, >> > >>> Complex is better than complicated. >> > >>> >> > >>> The Zen of Python, by Tim Peters >> > >>> _______________________________________________ >> > >>> [email protected] >> > >>> http://www.codeigniter.com.br >> > >>> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >> > >>> >> > >>> --------------------------- >> > >>> Oportunidade de negócio >> > >>> http://www.franquiasargohost.net >> > >>> --------------------------- >> > >>> >> > >> >> > >> >> > > >> > > >> > > -- >> > > Eric Saboia - eric.saboia.org >> > > >> > > Beautiful is better than ugly, >> > > Explicit is better than implicit, >> > > Simple is better than complex, >> > > Complex is better than complicated. >> > > >> > > The Zen of Python, by Tim Peters >> > > >> > > >> > _______________________________________________ >> > [email protected] >> > http://www.codeigniter.com.br >> > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >> > >> > --------------------------- >> > Oportunidade de negócio >> > http://www.franquiasargohost.net >> > --------------------------- >> > >> _______________________________________________ >> [email protected] >> http://www.codeigniter.com.br >> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >> >> --------------------------- >> Oportunidade de negócio >> http://www.franquiasargohost.net >> --------------------------- >> > > _______________________________________________ [email protected] http://www.codeigniter.com.br http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br --------------------------- Oportunidade de negócio http://www.franquiasargohost.net ---------------------------
