Discussion :

[Istrella]

Bonjour,

J'ai développé un site web avec une interface d'admin. Mon site étant en php/SQL je poste ici, ne sachant pas trop si je suis au bon endroit.

récemment, je me suis fait hacké. Rien de bien méchant, mais pour éviter que ça se reproduise et que ça le devienne, j'ai mené ma petite enquête :

1) Il a utilisé l'interface d'admin pour insérer son contenu.

2) Il possédait les codes d'accès en cryptés en md5 (je le sais car il les a affiché sur le web, défiant ceux qui souhaitent de hacker le site). Avec ça, facile de se connecter à l'admin puisqu'il existe foultidude de logiciels permettant en plus ou moins de temps de les décoder.

Mon souci, c'est plutôt : Comment s'est-il procuré les passwords depuis la base de donnée ?
Il a du avoir accès à la base de donnée pour lire les codes. Comment s'y est-il pris ? Auriez-vous une idée à me suggérer ?

Merci de votre aide.

Istrella

[gototog]

si tu es sur de ton 1, je pense plutot qu'il a trouvé ton mdp admin, puis l'a crypté pour l'afficher
si il est passé par l'interface admin c'est qu'il a forcé les mdp de ton interface admin (méthode bruteforce) ou qu'il a fait une injection sql. (ou en tout cas qu'il n'avais pas directement accès a la bdd, sinon c'est bien plus facile et efficace de passer par la bdd)

[Invité]

Il possédait les codes d'accès en cryptés en md5 (je le sais car il les a affiché sur le web, défiant ceux qui souhaitent de hacker le site). Avec ça, facile de se connecter à l'admin puisqu'il existe foultidude de logiciels permettant en plus ou moins de temps de les décoder.

Il a forcément fait une injection SQL, utilises-tu des requêtes préparés avec PDO pour appeller la BDD ?

[ABCIWEB]

Il a forcément fait une injection SQL...

Je pense aussi que c'est le plus probable.

A moins qu'il ait réussi à piquer les identifiants de connexion à la bdd mais c'est très peu probable.

Si tu n'utilise pas les requêtes préparées pour ta connexion à l'espace admin, il faudrait au moins utiliser mysql_real_escape_string dans de bonnes conditions. Montres-nous ta requête de connexion (sans les identifiants de connexion évidemment) pour vérifier ce point si tu veux pouvoir éliminer cette piste.


EDIT : sinon le minimum "syndical" aujourd'hui c'est sha256, laisse tomber md5. Mais cela ne protège pas pour autant des injections sql.

[Istrella]

En effet, c'était bien une injection sql.

il y avait bien une faille dans mon code, qui effectivement permettait d'accéder à l'admin.

Merci pour votre aide !