sécurité face au hackers [Résolu]

[xzéna]

bonjour,
je sais pas franchement où postuler mon problème.mais puisque c'est du PHP alors je croix c'est convenable ici..
Bon,dernièrement beaucoup de sites ont été hackés par certains hackers! on dirait des diables >.< alors mes 2 sites ont été parmi les victimes..
mes questions donc c'est comment se comporter face à tel attaque?faut reprogrammer à nouveau mon site ?si oui il faut modifier quoi au juste?changer quoi?..
surtout si y a des indications précis pour me concentré sera très gentil et merci pour tout aide.

[Benjamin Delespierre]

Hello

Y'a pas de solution magique contre le piratage, la sécurité informatique c'est par définition du cas par cas.
Néanmoins, voici quelques écueils qu'il faut à tout prix éviter:

• empêcher les attaques par injection (http://fr.wikipedia.org/wiki/Injection_SQL)
• > en sécurisant les données en entrée
• > et en utilisant des requêtes préparées
• se prémunir du vol de session (https://www.owasp.org/index.php/Session_fixation)
• bien vérifier les fichiers uploadés par les utilisateurs
• > et si possible des mettre dans un répertoire inaccessible

Il faut toujours considérer que l'utilisateur c'est le mal.Et dans ton système, la base de données c'est l'utilisateur, donc la base de données c'est le mal.
Il systématiquement tout vérifier. L'usage des filtres est une bonne pratique dans cette optique.

Enfin, il faut tenir PHP et Apache à jour pour éviter les failles. Pour constater une faille ou une faiblesse rien ne vaut une consultation régulière des logs d'accès. Il ne faut pas hésiter à bloquer les IP qui ont utilisés des URL louches.

Pour ma part, je considère que la plupart des sites sont vulnérables aux injections SQL. La faute à tous les tutoriaux pour débutant qu'on trouve un peu partout et qui véhiculent de très mauvais exemples en termes de sécurité (commentcamarche.net en est le parfait exemple, j'ai jamais rien vu d'aussi mauvais.)

[xzéna]

ok merci pour ta réponse.
alors j'ai pris ça en charge et j'ai re-hébergé le site.mais toujours le même problème.
Cad:dès que mon site s'ouvre il se redirige toujours vers un autre lien qui contient le msg du hacker.
je sais pas là quoi faire :s

[stealth35]

http://php.net/manual/fr/security.php

[Benjamin Delespierre]

T'as été victime d'une attaque XSS à tous les coups (sûrement dûe à une faille d'injection SQL).

La seule solution dans ce cas c'est d'aller purger la base de données à la main.

[xzéna]

Citation:

Envoyé par stealth35

http://php.net/manual/fr/security.php

oui merci j'ai consulté déjà le lien.et j'ai ajouté quelques fonctions au niveau de code pour éviter les injections sql.mais la redirection est toujours opérationnelle :s


@Benjamin :cad la vider et importer mon ancienne version qui était non-online ? ou bien en enlevé quelque chose précis ?

Merci pour les explications.

[SpaceFrog]

jette un oeil dans ton htaccess ...

[xzéna]

Citation:

Envoyé par SpaceFrog

jette un oeil dans ton htaccess ...

il est vide !

[Benjamin Delespierre]

Citation:

@Benjamin :cad la vider et importer mon ancienne version qui était non-online ? ou bien en enlevé quelque chose précis ?

C'est à dire trouver ou se cache le petit malin qu'a inséré <script ... quelque part

[xzéna]

Citation:

Envoyé par Benjamin Delespierre

C'est à dire trouver ou se cache le petit malin qu'a inséré <script ... quelque part

Merci pour l'idée.c'est vrai j'ai trouvé certains conneries..

[Benjamin Delespierre]

* mode inquisiteur on *

Il faut chasser la donnée hérétique ! Brulez la table qui est à l'origine de l'appartion du malin dans votre modèle de données ! Il faut détruire l'impie qui s'est insidieusement logé au sein même de notre sainte base et en à violé tous les cannons ! Purgez, peuple de l'internet ! Purgez vos modèles de toutes leurs souillure hérétiques !

* mode inquisiteur off *

Ahem... Bon bah vire moi tout ça

[xzéna]

Euuuuh
..faut alors après la suppression du script et certains enregistrements ajoutés par le hacker. il faut vider toute la base et après l'importer à nouveau c'est ça?
parce que même si je crie une nouvelle DB c'est nécessaire d'importer les données déjà remplis..
merci à vous.

[Benjamin Delespierre]

Non, ce n'est pas la peine de réimporter le modèle, s'il à été correctement purgé.

N'oublie pas de mettre les filtres en sortie pour éviter ce genre de bisbille à l'avenir.

Pour t'aider voici quelques exemples:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
// Récupération d'informations
$inputs = filter_input_array(INPUT_POST, array(
  'name' => FILTER_VALIDATE_STRING,
  'mail' => FILTER_VALIDATE_EMAIL,
));
 
// Le filtre renvoie false si les deux $_POST['name'] et/ou $_POST['mail']
// sont vides ou s'ils ne correspondent pas au filtre (adresse mail incorrecte
// par exemple)
 
if ($inputs === false) {
  echo "Saisie invalide ! Vous êtes un nul !";
}
 
echo "Bonjour {$inputs['name']} {$inputs['surname']} (age {$inputs['age']})"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
// Enregistrement en base
 
// avec l'extension PDO
// (les backquotes ` ne sont pas obligatoires mais c'est une bonne pratique de toujours les mettre)
$query = "INSERT INTO `table` SET `name`=:name, `surname`=:surname, `age`=:age";
$statement = $pdo->prepare($query);
// même $inputs que plus haut
if ($statement->execute($inputs)) {
  echo "Données enregsitrées";
}
 
// avec l'extension mysql (procédural)
foreach ($inputs as $key => $value)
  $inputs[$key] = mysql_real_escape_string($inputs[$key]);
 
$query = "INSERT INTO `table` SET `name`='{$inputs['name']}, `surname`='{$inputs['surname']}, `age`={$inputs['age']}";
 
if (mysql_query($query)) {
  echo "Données enregistrées";
}

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
// Lire des données depuis la BDD
 
// Ne JAMAIS utiliser *, toujours préférer une liste de colonnes !
$query = "SELECT `name`,`surname`,`age`  FROM `table`";
 
if ($stmt = $pdo->query($query)) {
  foreach ($stmt as $row) {
    // on peut également utiliser filter_var_array
    $name = filter_var($row['name'], FILTER_SANITIZE_STRING);
    $surname = filter_var($row['surname'], FILTER_SANITIZE_STRING);
    $age = filter_var($row['age'], FILTER_SANITIZE_NUMBER);
 
    echo "Bonjour {$name} {$surname} (age {$age})";
  }
}
 
// grosso modo la même chose avec mysql_query

Avec ça tu évite les injections SQL et les attaques XSS.

Note: les filtres sont excessivement pratiques à utiliser car il te dispensent des habituelles vérification isset($_POST[...]) et ne renvoie que les indexes définis dans le filtre (les variables supplémentaires ne sont pas prises en compte et n'apparaissent pas dans $inputs final).
Egalement, cette méthode te permet de valider que les données mandataires sont présentes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
$inputs = filter_input_array(INPUT_POST, array(
  'name' => FILTER_VALIDATE_STRING,
  'mail' => FILTER_VALIDATE_EMAIL,
));
 
if ($inputs === false) {
  echo "Saisie Invalide !";
}

Voir http://php.net/manual/fr/function.filter-var.php
Voir http://php.net/manual/en/function.fi...nput-array.php
Voir http://www.phpsecure.info/v2/article/XSS.php
Voir http://php.net/manual/fr/book.pdo.php

[xzéna]

Merci pour ces explications Benjamin . ça marche