Por lo que parece me han atacado con DDOS o algo similar, me han tirado el sitio varias veces y por seguridad he deshabilitado la pagina y todo loq ue conlleva.
Aqui podeis ver el log. http://i.imgur.com/vAZD1.jpg Como podeis observar no tenemos mucha transferencia de datos, pero a partir del 12 FEB, es impresionante...
Hace unos dias la pagina pesaba 250MB con TODO, base de datos, PHP, FTP, etc. y despues de los ataques pesa 460MB y esto no me lo explico. Estoy utilizando un CMS (e107) y alguna cosilla mas que habia por ahi.
Lo que me gustaria saber es si "ellos" tienen alguna manera de acceder a mi base de datos (MySQL) o corromper los archivos. Ya os digo, no soy un experto y necesito consejo.
Despues del ultimo ataque (cuando em di cuenta) esto es lo que me salia en el dominio principal: Fatal error: session_start() [<a href='function.session-start'>function.session-start</a>]: Failed to initialize storage module: files (path: ) in /var/www/vhosts/oaksclan.com/httpdocs/class2.php on line 482
Pues bien. Yo tenia un subdominio (con su propia base de datos) en el cual trabajaba en el desarrollo de nuevos temas para la web, ese subdominio funcionaba perfectamente a si que pense que puede que algun archivo en el dominio principal, se volvio loco. Procedi a configurar el subdominio para que se conectara a la base del dominio principal y !zas!, el mismo error, al volver a cargar la base de datos correspondiente al subdominio, ahi se quedo, igual que el dominio principal, con ese error.
No se que hacer, por ahora he enviado un ticket de soporte al hosting y a esperar.
Por otra parte no consigo exportar la base de datos de myPHPadmin, en realidad si que consigo exportarla, pero no importarla ya que phpMYadmin solo me deja bases de datos inferiores a 2MB o igual. He pensado en exportar los usuarios y el foro, que es lo que realmente importa, y despues con una nueva instalacion simplemente sustituirlos. Es la solucion mas "chapuza" en cierto sentido, pero tambien la mas rapida, sencilla, y eficaz.
Iluminarme un poco, por el amor de dios, que tengo el cuerpo fatal...
Para importar, prueba con bigdump. ¿El servidor es tuyo o es un alojamiento web contratado? ¿Tenías el cms actualizado a la última versión?
Puedes comprobar mediante MD5 con los ficheros originales, si ha habido alguna modificación. Quiero decir, saca el MD5 del fichero que te está dando el error, y luego el MD5 del mismo archivo, pero en su estado original, me refiero al class2.php. O de todos los ficheros directamente...
Mira que no te hayan inyectado código ni ficheros ni nada. Mira el MD5 de todos los ficheros, o haz un comprimido, comprime los originales y saca el MD5 de los comprimidos. El aumento de peso puede ser logs de acceso y tal, o también de que hayan subido cosas :/
A lo mejor también hay servicios caídos por el ataque y por eso no puedes hacer cosas o te cascan errores por todas partes. Comprueba que esté levantado MySQL.
Intenta ubicar al atacante, mira logs de acceso a ver quién está generando tantas cargas de tu website.
Tampoco soy un experto en el tema pero me gustaría echarte un cable. Seguiré de cerca el hilo por si alguien puede aportar algo más, así tomo nota yo también por si acaso.
Última edición por oMega_3097; 16/02/2012 a las 00:01
la base de datos parece estar bien, lo que me preocupa es que al intentar leer la base de datos desde el subdominio, tambien se lo haya cargado.
Por ahora no puedo hacer nada, lo mire por encima y apague todos los servicios hasta que me contesten los del hosting y depaso te respondo a la primera pregunta. Si, es un hosting con plusdominios.es . Por otra parte, no tengo ni idea de como hacer lo que me has dicho.
El aumento en la base de datos yo tambien diría que puede ser por los logs. Si tu web por defecto registra y tiene un historial de las paginas que visita cada usuario yo creo que es normal que te haya aumentado bastante el tamaño de logs al recibir tantas visitas.
Entra en la base de datos y mira que tabla tiene más registros de lo normal, o cual de ellas tiene más, y así podras saber si el espacio extra que tienes ahora es de la base de datos o de que te han subido algo al FTP.
No tienes copias de seguridad de dias anteriores?
Por cierto, no pasa nada si quieres importar tu base de datos al phpmyadmin y pesa mas de 2 MB. Puedes comprimir tu base de datos en .tar.gz (o .zip, alli te pone que métodos soporta). Además que si aun y así la base de datos ocupa más, el phpmyadmin te permite subir el archivo y cuando se termina el tiempo de espera te devuelve a la pagina de importar de nuevo y si lo adjuntas otra vez y lo importas continúa desde donde lo había dejado antes. Eso no se si está en todas las versiones de phpmyadmin, pero en las ultimas si.
Última edición por Bakidok; 16/02/2012 a las 07:46
Bueno amigos! ante todo gracias a los que habeis respondido.
Gracias a dios me he podido recuperar completamente junto a toda la base de datos y borrando cualquier rastro de ello.
Hay que decir que de todos los errores se aprende asi que he instalado una medida de seguridad para evitar esto en un futuro: http://www.spambotsecurity.com/zbblock.php
Tambien he descubierto la fuente del ataque, mejor dicho, por dond entro. Entro a causa de una mala programacion en un archivo .php , ese archivo era un chat basado en javascript.
Esa funciona . Un compañero tiene una funcion de teclado que al mantener pulsada la tecla la deja repitiendo. Pues dejando el F5 la bagina le denego el acceso en "na y menos".
Estan atacando mi WEB
Citar
