Tentative de hack par l'url !

defacta · 29/10/2011, 22h15

Salut,

J'ai un site sur lequel on a fait des tentatives de hack, dans les url ils ont ajouté:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

book.php?b=16/**/union/**/select/**/1,2,3,4,5,6,7,8,9/**/from+user/**/

une autre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

book.php?b=999999.9+UNION+ALL+SELECT+0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x3130323534383030

une autre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

book.php?b=9999+and+1%3D1

allez, une dernière pour la route:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

book.php?b=16/**/union/**/select/**/1,2,3,4,5,6,version(),8,9/**/from+user/**/

Il y a en a plus d'une cinquantaine comme ça !
Mais dans mon code au tout début du fichier book.php, il y a:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
foreach ($_POST as $key => $value) {
  $_POST[$key] = mysql_real_escape_string($value);
}
foreach ($_GET as $key => $value) {
  $_GET[$key] = mysql_real_escape_string($value);
}

Vous croyez que ca a suffit pour me protéger ? Qu'est qu'il a essayé de faire avec ces unions et autres codes bizarres comme 1%3D1 ?

J'ai vérifié d'où venait l'addresse IP qui a fait ces tentatives de hack, et elle vient de : IRAN, ISLAMIC REPUBLIC OF

Iran ! Y a pas grand chose à faire, non ? Je vais pas essayer d'avertir les autorités compétentes...non ?

Merci pour votre éclaircissement

rawsrc · 30/10/2011, 10h17

Bonjour,

si tu as absolument protégé tous tes filtres avec mysql_real_escape_string(), je pense sincèrement que rien n'a été compromis. Dans tous les cas, regardes du côté du journal des requêtes exécutées sur le serveur mysql et tu devrais voir comment les données ont été présentées.

J'avais lu un poste similaire sur cette attaque ici.
Ensuite pour la suite à donner, je suis dubitatif quant à l'efficacité. Dépose une plainte pour tentative d'intrusion dans un système automatisé de traitement de données.
J'avais gardé ce lien dans mes archives. Bon ça date mais tu auras déjà de quoi ronger un os.
Essaies tant bien que mal de maintenir à jour tes versions de softs parce que les versions obsolètes sont à la longue dangereuses. Je t'invite quand même (si ce n'est déjà fait) à blinder à mort la gestion de tes logs tant du côté du PHP que de la base de données.

defacta · 30/10/2011, 11h08

Salut,

Qu'est ce que tu veux dire par filtre ? Toutes les variables sont parsée mysql_real_escape()...

Sinon, la personne avant de faire ces tentatives d'injection SQL était ici: (history_url)
http://www.yougetsignal.com/tools/we...on-web-server/

Donc, à mon avis ce n'est pas moi qui était visé mais plutôt le serveur sur lequel tourne mon site...pour peut-être attaquer un autre site.

On peut accéder au journal des requêtes exécutées sur le serveur mysql avec phpMyadmin ?

Merci.

stealth35 · 30/10/2011, 16h01

si t'es en utf8 pense bien a mettre le mysql_set_charset qui lui agis aussi le mysql_real_escape_string

Celira · 31/10/2011, 11h33

Juste pour expliquer les codes "bizarres"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

book.php?b=9999+and+1%3D1

L'idée est d'ajouter 1=1 comme condition dans une requête. Comme 1=1 est toujours vrai, ça supprime toutes les autres conditions de ta requête et retourne toute(s) la(les) table(s) de la requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

book.php?b=16/**/union/**/select/**/1,2,3,4,5,6,7,8,9/**/from+user/**/

L'idée cette fois est d'ajouter l'affichage de ta table des utilisateurs, pour récupérer au moins les identifiants et des informations comme les adresses, voire les mots de passe si ils sont stockés en clair (ce qui n'est pas une bonne idée)

Doksuri · 31/10/2011, 12h14

pour que tu y vois plus clair dans les requetes de l'url : cherche "asciifull" comme image

pour l'explication book.php?b=9999+and+1%3D1
dans la colonne "Hx" (de l'image) tu cherche 3D (tu vois que ca correspond au caractere '=')
donc %3D sera interprete comme un '='.
=> donc ca donnera le fameux 1=1 explique par Celira
(c'est souvent utilise.)

s.n.a.f.u · 07/11/2011, 11h13

Petite note au passage : utiliser PDO et les requêtes préparées aide grandement à se prémunir de ce genre de plaisanteries....

30/10/2011, 10h17	#2
rawsrc Expert Confirmé Martin Dev indep Inscription : mars 2004 Messages : 1 462 Détails du profil Informations personnelles : Nom : Martin Âge : 35 Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur) Informations professionnelles : Activité : Dev indep Informations forums : Inscription : mars 2004 Messages : 1 462 Points : 2 552 Points : 2 552	Bonjour, si tu as absolument protégé tous tes filtres avec mysql_real_escape_string(), je pense sincèrement que rien n'a été compromis. Dans tous les cas, regardes du côté du journal des requêtes exécutées sur le serveur mysql et tu devrais voir comment les données ont été présentées. J'avais lu un poste similaire sur cette attaque ici. Ensuite pour la suite à donner, je suis dubitatif quant à l'efficacité. Dépose une plainte pour tentative d'intrusion dans un système automatisé de traitement de données. J'avais gardé ce lien dans mes archives. Bon ça date mais tu auras déjà de quoi ronger un os. Essaies tant bien que mal de maintenir à jour tes versions de softs parce que les versions obsolètes sont à la longue dangereuses. Je t'invite quand même (si ce n'est déjà fait) à blinder à mort la gestion de tes logs tant du côté du PHP que de la base de données. __________________ # Dans la Création, tout est permis mais tout n'est pas utile...
	00

30/10/2011, 11h08	#3
defacta Membre habitué Inscription : mai 2004 Messages : 383 Détails du profil Informations forums : Inscription : mai 2004 Messages : 383 Points : 129 Points : 129	Salut, Qu'est ce que tu veux dire par filtre ? Toutes les variables sont parsée mysql_real_escape()... Sinon, la personne avant de faire ces tentatives d'injection SQL était ici: (history_url) http://www.yougetsignal.com/tools/we...on-web-server/ Donc, à mon avis ce n'est pas moi qui était visé mais plutôt le serveur sur lequel tourne mon site...pour peut-être attaquer un autre site. On peut accéder au journal des requêtes exécutées sur le serveur mysql avec phpMyadmin ? Merci.
	00

30/10/2011, 16h01	#4
stealth35 Modérateur Inscription : septembre 2010 Messages : 7 133 Détails du profil Informations forums : Inscription : septembre 2010 Messages : 7 133 Points : 8 493 Points : 8 493	si t'es en utf8 pense bien a mettre le mysql_set_charset qui lui agis aussi le mysql_real_escape_string __________________ http://blog.stealth35.com/
	00

31/10/2011, 11h33	#5
Celira Modératrice Développeuse PHP/Java Inscription : avril 2007 Messages : 3 661 Détails du profil Informations personnelles : Sexe : Âge : 27 Localisation : France Informations professionnelles : Activité : Développeuse PHP/Java Informations forums : Inscription : avril 2007 Messages : 3 661 Points : 5 388 Points : 5 388	Juste pour expliquer les codes "bizarres" Code : Sélectionner tout - Visualiser dans une fenêtre à part book.php?b=9999+and+1%3D1 L'idée est d'ajouter 1=1 comme condition dans une requête. Comme 1=1 est toujours vrai, ça supprime toutes les autres conditions de ta requête et retourne toute(s) la(les) table(s) de la requête : Code : Sélectionner tout - Visualiser dans une fenêtre à part book.php?b=16//union//select//1,2,3,4,5,6,7,8,9//from+user// L'idée cette fois est d'ajouter l'affichage de ta table des utilisateurs, pour récupérer au moins les identifiants et des informations comme les adresses, voire les mots de passe si ils sont stockés en clair (ce qui n'est pas une bonne idée) __________________ Modératrice PHP Aucun navigateur ne propose d'extension boule-de-cristal : postez votre code et vos messages d'erreurs*. (Rappel : "ça ne marche pas*" n'est pas un message d'erreur) Pour afficher votre code en couleurs : [CODE=php][/CODE] (bouton # de l'éditeur)
	00

31/10/2011, 12h14	#6
Doksuri Membre Expert Tiger Scott Développeur Web Inscription : juin 2006 Messages : 1 248 Détails du profil Informations personnelles : Nom : Tiger Scott Âge : 42 Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : juin 2006 Messages : 1 248 Points : 1 506 Points : 1 506	pour que tu y vois plus clair dans les requetes de l'url : cherche "asciifull" comme image pour l'explication book.php?b=9999+and+1%3D1 dans la colonne "Hx" (de l'image) tu cherche 3D (tu vois que ca correspond au caractere '=') donc %3D sera interprete comme un '='. => donc ca donnera le fameux 1=1 explique par Celira (c'est souvent utilise.) __________________ La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins. N'oubliez pas le Le tag resolu. Need_!
	00

07/11/2011, 11h13	#7
s.n.a.f.u Modérateur Développeur Web Inscription : août 2006 Messages : 2 700 Détails du profil Informations personnelles : Sexe : Âge : 37 Localisation : France, Loire Atlantique (Pays de la Loire) Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : août 2006 Messages : 2 700 Points : 3 357 Points : 3 357	Petite note au passage : utiliser PDO et les requêtes préparées aide grandement à se prémunir de ce genre de plaisanteries.... __________________ Avant de poser une question, n'hésitez pas à chercher dans la FAQ et les forums Merci d'utiliser les balises de code (# dans l'éditeur) Si votre problème est réglé, merci d'utiliser le bouton *S.N.A.F.U*
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email