+ Répondre à la discussion
Affichage des résultats 1 à 9 sur 9
  1. #1
    Mut
    Mut est déconnecté
    Membre confirmé Avatar de Mut
    Homme Profil pro
    Inscrit en
    mars 2003
    Messages
    918
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations forums :
    Inscription : mars 2003
    Messages : 918
    Points : 276
    Points
    276

    Par défaut Site perso sfr piraté

    Bonjour,

    Ce week-end, mon site à été visité (piraté). Il contient quelques pages html et un formulaire php seulement. Le malware se contentait de rediriger le site vers un autre site (argentin)

    J'ai tout réinstallé mais je souhaitais savoir comment éviter que cela se reproduise....

    J'ai essayé de comprendre comment ils avaient pu réussir et pour l'instant je ne vois qu'une chose possible, c'est la méthode brute force sur le serveur ftp (serveur sfr).

    J'ai donc changé les mots de passe mais sfr n'accepte pas les caractères spéciaux. Le mot de passe semble alors assez simple...(minuscule, majuscule, chiffres.)

    Je ne pense pas que ce soit par le biais du formulaire car la base de données n'a pas changé.

    Auriez-vous des conseils à me donner ? ou bien des idées ?

    J'aurais aimé limiter le nombre d'essais pour les mot de passe ainsi que la complexité du mot de passe mais sfr ne semble pas le permettre...


    Merci

  2. #2
    Responsable Qt


    Avatar de dourouc05
    Homme Profil pro
    Étudiant
    Inscrit en
    août 2008
    Messages
    19 687
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : août 2008
    Messages : 19 687
    Points : 77 619
    Points
    77 619

    Par défaut



    La faille provient peut-être d'un autre site hébergé sur le même serveur, dont une faille a été suffisamment critique pour permettre l'accès à tout le serveur !
    Vous souhaitez participer aux rubriques Qt ou PyQt/PySide (tutoriels, FAQ, traductions, sources) ? Contactez-moi par MP.

    Créer des applications avec Qt 5.

    Pas de question d'ordre technique par MP !

  3. #3
    Mut
    Mut est déconnecté
    Membre confirmé Avatar de Mut
    Homme Profil pro
    Inscrit en
    mars 2003
    Messages
    918
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations forums :
    Inscription : mars 2003
    Messages : 918
    Points : 276
    Points
    276

    Par défaut

    Salut

    Oui peut être car mes deux sites ont été piratés. Mais vu que le mot de passe FTP était le même pour les deux (oui je sais c'est pas bien )et qu'ils étaient sur le même serveur (sfr), je penche quand même pour la "faille" ftp...sachant que un site n'a pas de php et l'autre oui. Je pense cependant que mon formulaire est codé correctement pour éviter les injections sql (controle des données (test numérique, longueur) + fonction mysql_real_escape_string() ).

    Il n'y a pas un moyen pour bannir l'accés d'une ip sur un site hébergé par sfr ou bien permettre une meilleure compléxité des mots de passe chez sfr ?

    De plus avec google analytics, j'avais vu déjà depuis plusieurs mois que quelqu'un (soit disant d'argentine) se connectait régulièrement au site....hors ça m'étonnerait que mon site est un grand intéret pour ce pays....cependant les redirections effectuées après piratage étaient faite sur un site en .ar

  4. #4
    Rédacteur
    Avatar de sayce
    Inscrit en
    novembre 2009
    Messages
    243
    Détails du profil
    Informations personnelles :
    Âge : 21

    Informations forums :
    Inscription : novembre 2009
    Messages : 243
    Points : 397
    Points
    397

    Par défaut

    Plop,

    Met un long mot de passe mélangeant minuscule, majuscule et chiffre, sans que les lettres ne fasse un mot du dictionnaire.
    Met le maximum de caractère (au moins 10) et cela te protégera des attaques par brute force.

    Après il est possible que tes mdp ai été récupérés par un malware ce trouvant sur ton PC,
    Mon Espace personnel

    Ce n’est pas parce que je n’ai rien à cacher que j’aime ch*** en public. Cory Doctorow

  5. #5
    Mut
    Mut est déconnecté
    Membre confirmé Avatar de Mut
    Homme Profil pro
    Inscrit en
    mars 2003
    Messages
    918
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations forums :
    Inscription : mars 2003
    Messages : 918
    Points : 276
    Points
    276

    Par défaut

    Bonjour,

    Mon mdp avait 10 caractères avec Majuscule et chiffres et ne voulait absolument rien dire....

    Pour le malware je n'y crois pas vraiment car si la personne avait eu le code directement, elle n'aurait pas navigué régulièrement sur le site pendant environ 1 mois (stats de google analytics).

    Mais visiblement à part la complexité du mot de passe y'a pas grand chose à faire...

  6. #6
    Membre Expert
    Homme Profil pro
    Développeur .NET / Biztalk
    Inscrit en
    octobre 2008
    Messages
    1 044
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur .NET / Biztalk

    Informations forums :
    Inscription : octobre 2008
    Messages : 1 044
    Points : 1 637
    Points
    1 637

    Par défaut

    Si jamais ca vient de formulaire (même si apparemment ce n'est pas le cas), tu peux te dresser une liste d'IP à bannir, pour bloquer l'accès au site. Vu que tu as tout ce qui te faut avec google analytics, ça peut être utile.

    Sinon en effet appart mélanger chiffres avec lettre minuscule / majuscule, pas vraiment d'idées.
    Règle N° 1 : Si tout va bien, ne touchez à rien.

    Je ne réponds pas au MP technique, inutile donc de poser vos questions. Le forum est là pour ça

  7. #7
    Rédacteur
    Avatar de sayce
    Inscrit en
    novembre 2009
    Messages
    243
    Détails du profil
    Informations personnelles :
    Âge : 21

    Informations forums :
    Inscription : novembre 2009
    Messages : 243
    Points : 397
    Points
    397

    Par défaut

    Plop,


    Mon mdp avait 10 caractères avec Majuscule et chiffres et ne voulait absolument rien dire....
    Ah.. Je connaissais un site qui estimé le temps qu'il fallait pour casser un mdp qu'on lui donné mais je le trouve plus ..

    Un mdp min/maj/chiffre comme tu le décris n'est pas cassable par dictionnaire dejà, je crois pas trop à l'attaque par brute force ..

    Tu ne peux pas changer d'hébergeur ?
    Mon Espace personnel

    Ce n’est pas parce que je n’ai rien à cacher que j’aime ch*** en public. Cory Doctorow

  8. #8
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 4 042
    Points
    4 042

    Par défaut

    Il existe pas mal de sites qui évaluent les MdP, par exemple :

    http://www.passwordmeter.com/

    http://howsecureismypassword.net/

    https://www.grc.com/haystack.htm

    Steph
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  9. #9

    Homme Profil pro
    Forumeur.
    Inscrit en
    octobre 2012
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Forumeur.
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2012
    Messages : 16
    Points : -17
    Points
    -17

    Par défaut

    Bah après, déjà pour les Brute-Force tu peux sécuriser tes mots de passes depuis chez toi par des moyens de cryptage, après vu que ce n'est que majuscule/minuscule/nombres essaies de crypter ton mot de passe initiale en MD5, ça évitera le "forcing" sur ton mot de passe. Concernant le FTP, essaies de trouver une application comme j'ai faîte (Je ne peux pas encore vous la partagez), qui évites les Keylogger/Stealer et qui sécurise les entrées dans le FTP. Enfin, essaies de sécuriser un peu plus la base de donnée de ton site. Et vérifie aussi d'éventuelles autres failles (exemple : XST, XSS, CSRF etc)

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •